Les bases de la cybersécurité pour les contrats gouvernementaux

La cybersécurité est la pratique qui consiste à protéger les systèmes informatiques, les réseaux, les actifs numériques et les personnes contre les accès non autorisés, les dommages ou le vol de données, afin de garantir la confidentialité, l’intégrité et la disponibilité des informations, des systèmes et des technologies qui traitent, stockent et transmettent des informations.

Les cybermenaces contre lesquelles les organisations doivent se protéger sont les suivantes :

• Cyberattaques – Tentatives délibérées et malveillantes d’exploiter les vulnérabilités des systèmes ou réseaux informatiques. Les types les plus courants sont les logiciels malveillants, l’hameçonnage, les rançongiciels et les attaques par déni de service.
• Violation de données – Accès non autorisé à des données sensibles ou confidentielles, entraînant souvent l’exposition d’informations à des personnes ou des groupes non autorisés.
• Vol d’identité – Utilisation non autorisée des renseignements personnels d’une personne, tels que ses identifiants de connexion ou ses données financières, à des fins frauduleuses.
• Pirate psychologique – Manipuler des individus pour qu’ils divulguent des informations confidentielles par la manipulation psychologique, souvent en utilisant des pratiques trompeuses.
• Vulnérabilités – Faiblesses dans les logiciels, le matériel ou les configurations de réseau qui pourraient être exploitées par des attaquants pour compromettre la sécurité d’un système.
• Logiciel malveillant – Logiciel malveillant conçu pour endommager ou exploiter les systèmes informatiques, y compris les virus, les vers, les chevaux de Troie et les logiciels espions.

Les pratiques exemplaires en cybersécurité consistent à maintenir un niveau de préparation et des rituels quotidiens pour garantir un certain niveau de sécurité. Le Centre canadien pour la cybersécurité fournit de bonnes informations sur ce qui est considéré comme des pratiques exemplaires de base en matière de sécurité. Voici quelques éléments à garder à l’esprit :

Protection des réseaux et des points d’accès

• Protégez votre périmètre avec des logiciels antivirus et anti-logiciels malveillants, des logiciels de gestion des menaces mobiles, des pare-feu et des systèmes de détection et de prévention des intrusions.
• Segmentez vos réseaux pour empêcher le trafic de circuler vers des zones sensibles ou restreintes.
• Surveillez en permanence les passerelles internet et les appareils mobiles, le trafic réseau, les points d’accès sans fil et les journaux d’audit afin d’identifier les anomalies.
• Faites la rotation des clés cryptographiques utilisées pour protéger les systèmes, authentifier les utilisateurs distants et vos sites web.
• Surveillez votre DNS (système de noms de domaine) pour vous assurer que votre site reste fiable et jouit de la confiance des utilisateurs.
• Mettez en œuvre des DNS de protection pour empêcher les utilisateurs de visiter par inadvertance des domaines potentiellement malveillants sur l’internet.
• Mettez en œuvre un système de gestion des informations et des événements de sécurité (GIES) pour permettre une surveillance continue en temps réel si les ressources sont disponibles.

Protection du système

• Mettez en œuvre des mises à jour et des correctifs automatiques, en particulier pour les services et les systèmes exposés à l’internet, pour votre micrologiciel, votre matériel, vos logiciels et votre système d’exploitation (OS).
• Utilisez des phrases de passe ou des mots de passe robustes et gardez-les sécurisés et confidentiels.
• Appliquez l’authentification multifacteur (AMF) pour les comptes et les systèmes – en particulier ceux qui ont des privilèges d’administrateur.
• Utilisez des postes de travail dédiés pour les comptes d’administrateurs qui ne sont pas autorisés à naviguer sur le web ou à envoyer des courriels.
• Appliquez les principes de moindre privilège qui garantissent que les utilisateurs ne se voient accorder que l’ensemble des privilèges essentiels à l’exécution des tâches autorisées.
• Examinez les privilèges des utilisateurs au sein des systèmes et leurs droits d’accès aux données – en particulier pour les utilisateurs ayant des privilèges d’administrateur. Supprimez ou modifiez ceux qui ne sont pas nécessaires.
• Gérez les appareils mobiles à l’aide de solutions de gestion des appareils mobiles (MDM) ou de solution de gestion unifiée des nœuds d’extrémité (UEDM).
• Mettez en œuvre le répertoire de permission d’applications pour contrôler qui ou quoi peut accéder à vos réseaux et systèmes.
• Mettez en œuvre un plan d’intervention en cas d’incident et testez-le à l’aide d’exercices sur table, afin de vous assurer que vous pouvez rétablir les fonctions essentielles et reprendre les activités de façon ponctuelle.
• Sauvegardez régulièrement les données et les systèmes critiques hors ligne et veillez à ce que les sauvegardes soient isolées des connexions réseau.
• Testez régulièrement vos sauvegardes pour vous assurer que les données et les systèmes peuvent être récupérés rapidement et avec succès.
• Évaluez les applications tierces pour détecter les composants ou les fonctions inutiles et les désactiver ou exiger une intervention humaine avant de les activer (p. ex., les macros).
• Réalisez et tenez à jour un inventaire du matériel et des logiciels de votre organisation.
• Classez vos actifs par catégories afin d’identifier ceux qui sont les plus importants pour les fonctions opérationnelles de votre organisation.

Formation des utilisateurs et mesures de protection supplémentaires

• Proposez à vos employés une formation sur mesure en matière de cybersécurité afin qu’ils sachent comment réagir en cas de liens ou de courriels suspects.
• Proposez à vos employés une formation de sensibilisation à la protection de la vie privée afin de réduire le risque d’atteinte à la vie privée.
• Recherchez des sources d’information pertinentes pour votre organisation ou abonnez-vous à un service d’alerte pour vous assurer d’être bien informé et à jour sur les menaces qui pourraient avoir un impact sur votre organisation.
• Établissez une liste de contacts internes et externes des principales parties prenantes à alerter en cas de crise.

Il existe plusieurs certifications en cybersécurité que les organisations peuvent obtenir pour les aider à sécuriser leurs données et à être admissibles à davantage de contrats gouvernementaux.

Certification du cadre de cybersécurité (CSF) du NIST –

• Développé par le National Institute of Standards and Technology (NIST).
• NIST 800-53, NIST 800-171, NIST 800-37, qui est le cadre de gestion des risques.
• Ils disposent d’un certain nombre de cadres et de pratiques de sécurité que vous pouvez commencer à appliquer, et ils sont tous très bien documentés.
• Se concentre sur l’identification, la protection, la détection, la réponse et la récupération des incidents de cybersécurité.

ISO/IEC 27001

• Norme internationalement reconnue pour les systèmes de gestion de la sécurité de l’information.
• Met l’accent sur une approche systématique de la gestion des informations sensibles de l’entreprise.
• La certification démontre l’engagement à sécuriser les actifs informationnels.

Certification FedRAMP

• Obligatoire pour les fournisseurs de services infonuagiques (FSI) offrant des services au gouvernement américain.
• S’assurer que les services infonuagiques répondent à des normes de sécurité spécifiques.

Certification du modèle de maturité de la cybersécurité (CMMC)

• Important programme du département américain de la défense visant à protéger la base industrielle de défense (DIB) contre des cyberattaques de plus en plus fréquentes et complexes.
• La CMMC sera nécessaire pour prouver que vous faites cela afin de pouvoir participer à des contrats gouvernementaux aux États-Unis.
• En savoir plus sur la CMMC 2.0

Certification du Centre canadien pour la cybersécurité (CCCS)

• La CCCS fournit des conseils et des ressources aux organisations afin d’améliorer leur position en matière de cybersécurité.
• Bien qu’il ne s’agisse pas d’une certification au sens traditionnel du terme, le respect des lignes directrices de la CCCS est essentiel pour les organisations canadiennes.

Certification LDSTI-33 (Gouvernement du Canada) :

• Ensemble de lignes directrices et de normes visant à sécuriser les systèmes informatiques des administrations publiques.
• Fournit un cadre pour la sécurisation des informations sensibles.
• La LDSTI-33 est l’équivalent canadien de la norme NIST 800-53.
• En fonction de la taille et de l’étendue du système, le Conseil du Trésor insistera pour que vous passiez par une évaluation de la LDSTI-33 avant de mettre en service une application ou une solution.

Certification CSA STAR :

• La certification STAR (Security, Trust, and Assurance Registry) de la Cloud Security Alliance (CSA) est pertinente pour les organisations, en particulier celles du Canada, qui utilisent des services infonuagiques.

Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) :

• Concerne les organisations impliquées dans les transactions par carte de paiement.
• Assure un traitement sécurisé des informations relatives aux cartes de crédit.

CP-CSC

• Le Programme de certification en cybersécurité du Canada est la mise en œuvre par le Canada du programme CMMC du département de la Défense des États-Unis pour les contrats du département de la Défense.
• La définition du programme est toujours en cours.

• Voici quelques ressources utiles qui ont été présentées lors du webinaire et qui aideront les organisations à démarrer et à améliorer leur hygiène en matière de cybersécurité.

  • Informations du Centre canadien de cybersécurité (CCCS) pour le grand public, les petites et moyennes entreprises, les grandes organisations et infrastructures, les institutions gouvernementales et le milieu universitaire.
  • Pratiques exemplaires en cybersécurité du CCCS
  • Ressources de cybersécurité pour les petites et moyennes organisations
  • Outils de certification du CCCS
  • Boîte à outils sur la cybersécurité de l’Association des banquiers canadiens
  • Documentation sur l’auto-évaluation de niveau 1 de la CMMC : Vue d’ensemble, guide, délimitation du champ d’application, auto-évaluation, cahier d’exercices
  • Guides d’évaluation de la CMMC et autres documents
  • Des modèles utiles pour aider les PME à créer des plans, des politiques et des procédures internes sont disponibles auprès de Cybersécurité Canada.
  Certifications dans le domaine de la cybersécurité du Centre canadien pour la cybersécurité