Skip Ribbon Commands
Skip to main content

STRATÉGIES DE SÉCURITÉ POUR LE MARCHÉ INTERMÉDIAIRE

2011-10-27


Nous vivons dans un monde caractérisé par des marchés, une réglementation et des communications interconnectées axées sur les TI de plus en plus complexes où l’information de haute qualité en temps opportun est vitale à toute organisation. Sans elle, il nous est impossible de prendre de bonnes décisions d’affaires et de gestion. De la conformité réglementaire (loi SOX, PCIDSS, loi HIPAA, confidentialité) aux nouvelles technologies (infonuagique, réseautage social, AVEC), en passant par l’écosystème du crime de plus en plus sophistiqué (cybercriminels, crime organisé, fraude interne), la sécurité de l’information est une question sur laquelle il est difficile de fermer les yeux. Il n’est pas nécessaire, cependant, que le traitement de cette question soit compliqué. Lorsque les risques de sécurité, les contrôles et les objectifs d’entreprise sont alignés, la protection des actifs informationnels peut procurer une véritable valeur à votre organisation.

Priorisez vos efforts

Planifiez votre stratégie de sécurité et harmonisez-la avec vos objectifs d’affaires et vos besoins en matière de gestion du risque. Bien que la sécurité puisse être onéreuse, il n’y a aucun doute que l’absence de sécurité peut l’être encore plus. Les dommages peuvent prendre la forme d’une incidence financière directe, comme une perte de productivité, la perte de produits ou un litige ou toute autre chose plus difficile à quantifier, comme l’atteinte à la réputation et à la marque sur le marché. Gérez votre exposition au risque et aux coûts en vous assurant que vos contrôles de sécurité soient harmonisés de façon appropriée avec votre propension au risque en matière de sécurité.

1. Évaluation des risques

Les menaces ont évolué de façon importante au fil des années – tout comme devrait le faire votre stratégie pour les gérer!

Sachez ce que vous voulez protéger.

  • Quelles sont les données et applications les plus précieuses de votre organisation?
  • Où se trouvent-elles?
  • Quelle sera l’incidence d’une perte de données ou d’un temps d’indisponibilité du système découlant d’une attaque?

Au moment de la collecte de données, assurez-vous de la participation de parties prenantes importantes qui comprennent la valeur des données et des applications, et qui savent lesquelles ont besoin de protection.

  • Déterminez, de façon générale, les menaces ou points faibles potentiels qui pourraient être exploités.
  • Identifiez les contrôles.

Priorisez et classez les risques.

Faites connaître l’initiative, favorisez une prise de conscience et assurez-vous que tous comprennent l’importance de la sécurité de l’information.

2. Évaluation de vulnérabilité

Effectuez une évaluation de vulnérabilité pour déterminer où des brèches de sécurité sont susceptibles de survenir, ce qui consiste notamment à identifier quels sont les systèmes d’exploitation, services et autres logiciels utilisés et à savoir si chaque système est à jour en matière de sécurité.

Envisagez le recours à des outils qui automatisent le processus de balayage des systèmes afin de trouver des mises à jour des systèmes d’exploitation et de sécurité ainsi que le processus d’identification des activités de correction.

3. Priorisez vos efforts

Les organisations du marché intermédiaire ont les mêmes objectifs et besoins en matière de sécurité que les organisations plus grandes et complexes; la différence est qu’elles ont habituellement moins de ressources à leur disposition.

Comparez les résultats de l’évaluation de vulnérabilité avec votre évaluation du risque afin d’identifier les systèmes qui traitent des données et des applications de grande valeur qui présentent également un risque élevé de brèche de sécurité. Concentrez d’abord vos efforts sur ces systèmes et traitez toutes les faiblesses qu’ils présentent, puis traitez les systèmes dont la valeur et le risque sont faibles.

4. « Défense en profondeur » et sécurité à plusieurs couches

Que de choix! Analysez les risques et déterminez la façon la plus efficiente de les traiter. Une solide stratégie de défense en profondeur et de sécurité à plusieurs couches assurera que si un contrôle est compromis, d’autres contrôles prendront la relève pour protéger vos informations importantes.

Une stratégie de « défense en profondeur » fait appel à une approche globale en matière de sécurité et vise les politiques, la planification des activités, la formation de l’utilisateur, les mesures de sécurité relatives à l’accès physique et les mesures de sécurité techniques afin de protéger vos informations. De même, une approche en matière de sécurité à plusieurs couches regroupe plusieurs contrôles de sécurité d’atténuation pour protéger vos données et systèmes. Établissez une fondation efficiente de sécurité de l’information au sein de votre organisation, du réseau aux postes de travail, en passant par la sécurité des données. À titre d’exemple, les contrôles au niveau du périmètre neutraliseront les menaces qui tentent de pénétrer votre réseau; d’autres contrôles au sein de votre réseau vous protégeront contre les agresseurs qui ont pénétré votre périmètre et, plus précisément, contre la menace interne.

Envisagez l’adoption de normes de contrôle minimales :

Élaborez des politiques relatives à la sécurité de l’information et systématisez les processus clés.

  • Rédigez des politiques de sécurité personnalisées qui traitent de votre stratégie en la matière.
  • Systématisez les processus de sécurité essentiels, comme la gestion de l’accès des utilisateurs, l’accès privilégié, les normes relatives aux mots de passe, la sécurité physique et la gestion des correctifs. Votre réseau évolue, et donc votre exposition au risque de sécurité. Des balayages de vulnérabilité périodiques vous aideront à identifier les systèmes qui peuvent ne plus être conformes. Envisagez de recruter un expert-conseil indépendant pour effectuer la tâche, car il est plus susceptible de trouver davantage de lacunes que vous n’en trouveriez par vous-même.
  • Faites observer la conformité.

Utilisez la technologie.

  • Utilisez des solutions contre les logiciels malveillants, les virus et les pourriels.
  • Protégez votre réseau au moyen de pare-feux au niveau du périmètre et de l’hôte.
  • Sécurisez les réseaux sans fil et utilisez des réseaux virtuels privés pour un accès à distance sécuritaire.
  • Chiffrez les données critiques, surtout sur les appareils mobiles.

Sensibilisez vos utilisateurs et mettez en œuvre des mesures de sensibilisation à la sécurité.

  • Ne sous-estimez pas la force d’un programme efficace de sensibilisation à la sécurité. Bien que les contrôles de sécurité techniques sont une composante essentielle de la sécurité de l’information, leur valeur suit une courbe descendante.
  • Les gens sont le maillon le plus faible. Les politiques de sécurité, même celles rédigées le plus minutieusement possible, sont inefficaces si les employés ne comprennent pas leurs obligations ou ne s’y conforment pas activement. Sensibilisez les utilisateurs aux types de documents qui sont considérés comme sensibles et à la façon de les traiter, en expliquant précisément ce qui est permis et ce qui ne l’est pas.
  • Intégrez une formation sur la sécurité dans l’orientation des nouveaux employés. Des rappels réguliers au sujet des meilleures pratiques de sécurité et un calendrier de formation sur la sécurité devraient être établis.
  • La formation sur la sécurité devrait traiter plus particulièrement des attaques d’ingénierie sociale, et comprendre des exemples d’attaques fréquentes, afin que les utilisateurs puissent les reconnaître. Il arrive fréquemment que même le plus rigoureux des systèmes de sécurité n’arrive pas à résister à une attaque d’ingénierie sociale efficace, notamment lorsqu’un agresseur amène un employé autorisé à divulguer de l’information sensible ou son mot de passe. Souvent, ces agresseurs se font passer pour du personnel des services de TI qui effectuent des mises à niveau ou de la résolution de problème.

5. Audits de sécurité et suivi continu

La sécurité en continu est un processus plutôt qu’un événement. La technologie et les processus changent, tout comme le personnel. Après avoir élaboré votre plan de sécurité initial, tirez parti de vos efforts en mettant en œuvre un processus permanent d’amélioration continue et en validant votre situation de sécurité.

Le mot de la fin

En définissant un programme de sécurité qui met l’accent sur ce que vous désirez protéger et qui priorise vos efforts en fonction de l’incidence et de l’exposition, et en mettant en œuvre quelques processus de base, la technologie et, plus important encore, un programme de sensibilisation à la sécurité, vous pouvez mettre en place des contrôles efficients afin de protéger vos actifs informationnels et procurer de la valeur pour votre organisation. ​

Le présent article a été rédigé à titre indicatif seulement, et à aucune autre fin. Nous n’assumons aucune responsabilité pour toute perte liée à l’information qui y est présentée. Il nous fera plaisir de discuter avec vous des problèmes survenus dans vos circonstances particulières. Veuillez communiquer avec Walter Moschella,CPA, CA, CIA, CRMA, IAS.A/ICD.D, Associé, Risques d'entreprises, situé au bureau de Montréal.