Comment élaborer une politique en matière de cybersécurité

Les professionnels des TI et les hauts dirigeants de toutes les industries se doivent de se préoccuper de la sécurité des données et d’éviter que les cybercriminels s’en emparent. Bien qu’il y ait de bonnes raisons pour que la cybersécurité constitue une priorité fondamentale pour les personnes qui en sont chargées, l’enjeux doit tout de même avoir une importance primordiale pour tous les employés d’une organisation.                       

Des recherches démontrent que la gravité des atteintes s’intensifie, car les cybercriminels continuent à cibler la propriété intellectuelle. Cela peut potentiellement compromettre la réputation des entreprises et accroître leur responsabilité financière¹. En même temps, les employés et les autres utilisateurs des systèmes de TI de l’entreprise sont souvent des maillons faibles dans la chaîne de cybersécurité. Il peuvent parfois partager des mots de passe, ouvrir par mégarde des pièces jointes malveillantes, utiliser des applications de nuagique non approuvées ou négliger de crypter des fichiers sensibles².

C’est ici qu’une politique de cybersécurité entre en jeu. Le but d’une telle politique est de veiller à ce que tout le monde joue un rôle dans la protection des données de l’organisation et dans la mise en œuvre de mesures pour assurer une défense contre les cyberattaques. De façon plus spécifique, elle explique les procédures que doivent suivre les employés et les autres pour protéger les systèmes de TI et les données de l’organisation, elle attribue les rôles et les responsabilités en la matière pour que chaque personne soit au fait de ses tâches respectives et elle détaille les conséquences potentielles en cas de non-respect ou de violation délibérée de la politique³. 

Il n’existe pas d’approche universelle pour la création d’une politique de cybersécurité efficace. Le contenu repose sur les actifs, les besoins et les enjeux particuliers de votre organisation, qui peuvent être définis par une évaluation du risque. Cependant, il y a plusieurs aspects communs dont il faut tenir compte, notamment : 

• Une utilisation acceptable d’Internet : Les employés, les entrepreneurs, les fournisseurs et les autres personnes pouvant accéder à votre Internet doivent être éduqués sur les mesures de sécurité à prendre en ligne. Cela signifie qu’il leur faut éviter les fraudes d’ingénierie sociale comme l’hameçonnage et reconnaître les sites qui ne sont pas dignes de confiance, surtout ceux qui incitent les utilisateurs à télécharger du contenu pouvant servir à infecter l’appareil par des logiciels malveillants^4,5.
  
  
• La création de mots de passe robustes : Les mots de passe faibles demeurent l’un des principaux problèmes de sécurité auxquels font face les organisations. Votre politique doit inciter les employés à créer des mots de passe plus robustes en énonçant des règles spécifiques, comme l’obligation d’utiliser une combinaison de majuscules et de minuscules, de chiffres et de caractères spéciaux ou la première lettre de chaque mot d’une phrase pour constituer un mot de passe unique⁶.

• Le transfert de données : Les pirates informqtiques peuvent voler des données pendant leur transfert. Parmi les pratiques exemplaires recommandées pour le transfert sécuritaire des données figurent le cryptage de données, l’utilisation d’un protocole de transfert de fichiers nécessitant un nom d’utilisateur et un mot de passe pour téléverser et télécharger des fichiers, l’utilisation d’un protocole de transfert de fichiers sécurité nécessitant l’accès à un serveur, un nom d’utilisateur et un mot de passe, de même que l’installation d’une messagerie confidentielle qui crypte les courriels avant de les transférer⁷.
  
  
• Les mises à jour de logiciels : Les mises à jour de logiciels comportent souvent des améliorations de sécurité reposant sur les attaques et virus récents ⁸. Les employés, surtout ceux qui utilisent leurs propres appareils dans le cadre de leur travail, doivent actualiser leurs logiciels du mieux possible. Parmi les pratiques exemplaires figurent l’activation des mises à jour automatiques pour le système d’exploitation, l’utilisation de navigateurs Web sécuritaires offrant des mises à jour de sécurité automatiques et l’actualisation des modules d’extension des navigateurs⁹.
  
  
• Le télétravail : Le télétravail accentue les défis en matière de sécurité, puisque les mesures de protection ne sont souvent pas les mêmes qu’au bureau. Les renseignements de nature sensible peuvent être protégés par l’établissement d’une connexion VPN sécurisée, des copies de sauvegarde et des mécanismes de cryptage, de même qu’en limitant l’accès des employés aux renseignements dont ils ont besoin pour faire leur travail. Entre-temps, les appareils peuvent être protégés par des pratiques comme l’authentification multi-facteur et l’utilisation d’écrans de sauvegarde dotés de mots de passe¹⁰.

Outre les pratiques exemplaires relatives à des secteurs spécifiques, votre politique de cybersécurité doit indiquer les rôles et les responsabilités des individus. Cela inclut le nom des personnes ayant émis la politique, des personnes responsables de sa mise en application, des personnes appelées à former les employés en lien avec les enjeux de sécurité, des personnes appelées à intervenir à la suite d’un incident de sécurité et de résoudre celui-ci, des façons de faire à cet égard et des personnes détenant des droits d’administrateur et des mécanismes de contrôle¹¹.

Si vous songez à élaborer une politique de cybersécurité, il existe de nombreux modèles disponibles en ligne pour amorcer votre travail. Les experts recommandent également un examen de la réglementation en matière de cybersécurité au moment de l’élaboration d’un plan, pour veiller au respect des mesures législatives en vigueur¹². Vous aurez sans doute avantage à consulter les experts juridiques de votre organisation.            

Au fil de l’évolution constante du monde du travail et de l’intensification des cybermenaces, il est essentiel de se doter d’un plan de cybersécurité solide, de même que d’autres mesures de protection, comme de l’assurance. Communiquez avec votre courtier pour voir si vous avez besoin de garanties de sécurité supplémentaires dans votre solution de cyberassurance.

¹“Grand Theft Data II – The Drivers and Shifting State of Data Breaches,” McAfee, 20 avril 2019 
² “How Cybersecurity Policies and Procedures Protect Against Cyberattacks,” MCafee
³ “Creating an internet security policy for your business,” Tech Radar, 4 août 2012
^4,6 “How to develop a robust cyber security policy,” IT Governance, 27 février 2020 
⁵ “Top 3 Security Flaws with File Sharing Software,” Boost IT
⁷ “5 Ways of Securing Data Transfer,” TechEngage,” 23 février 2020 
⁸ “Cybersécurité et petites entreprises : pourquoi les mises à jour logicielles sont essentielles", Gouvernement du Canada, janvier 2020
⁹ “Cyber Security Basics: Keeping Employee Software Updated,” Red River, 7 mars 2019
¹⁰ Conseils de sécurité pour les organisations dont les employés travaillent à distance, Centre canadien pour la cybersécurité, mai 2020
^{11, 12} “How to create a successful cyber security policy,” Malwarebytes Labs, mis à jour le 25 janvier 2019