Les bases de la cybersécurité pour les contrats gouvernementaux

La cybersécurité est la pratique qui consiste à protéger les systèmes informatiques, les réseaux, les actifs numériques et les personnes contre les accès non autorisés, les dommages ou le vol de données, afin de garantir la confidentialité, l’intégrité et la disponibilité des informations, des systèmes et des technologies qui traitent, stockent et transmettent des informations.

Les cybermenaces contre lesquelles les organisations doivent se protéger sont les suivantes :

  • Cyberattaques – Tentatives délibérées et malveillantes d’exploiter les vulnérabilités des systèmes ou réseaux informatiques. Les types les plus courants sont les logiciels malveillants, l’hameçonnage, les rançongiciels et les attaques par déni de service.
  • Violation de données – Accès non autorisé à des données sensibles ou confidentielles, entraînant souvent l’exposition d’informations à des personnes ou des groupes non autorisés.
  • Vol d’identité – Utilisation non autorisée des renseignements personnels d’une personne, tels que ses identifiants de connexion ou ses données financières, à des fins frauduleuses.
  • Pirate psychologique – Manipuler des individus pour qu’ils divulguent des informations confidentielles par la manipulation psychologique, souvent en utilisant des pratiques trompeuses.
  • Vulnérabilités – Faiblesses dans les logiciels, le matériel ou les configurations de réseau qui pourraient être exploitées par des attaquants pour compromettre la sécurité d’un système.
  • Logiciel malveillant – Logiciel malveillant conçu pour endommager ou exploiter les systèmes informatiques, y compris les virus, les vers, les chevaux de Troie et les logiciels espions.

Les pratiques exemplaires en cybersécurité consistent à maintenir un niveau de préparation et des rituels quotidiens pour garantir un certain niveau de sécurité. Le Centre canadien pour la cybersécurité fournit de bonnes informations sur ce qui est considéré comme des pratiques exemplaires de base en matière de sécurité. Voici quelques éléments à garder à l’esprit :

Protection des réseaux et des points d’accès

  • Protégez votre périmètre avec des logiciels antivirus et anti-logiciels malveillants, des logiciels de gestion des menaces mobiles, des pare-feu et des systèmes de détection et de prévention des intrusions.
  • Segmentez vos réseaux pour empêcher le trafic de circuler vers des zones sensibles ou restreintes.
  • Surveillez en permanence les passerelles internet et les appareils mobiles, le trafic réseau, les points d’accès sans fil et les journaux d’audit afin d’identifier les anomalies.
  • Faites la rotation des clés cryptographiques utilisées pour protéger les systèmes, authentifier les utilisateurs distants et vos sites web.
  • Surveillez votre DNS (système de noms de domaine) pour vous assurer que votre site reste fiable et jouit de la confiance des utilisateurs.
  • Mettez en œuvre des DNS de protection pour empêcher les utilisateurs de visiter par inadvertance des domaines potentiellement malveillants sur l’internet.
  • Mettez en œuvre un système de gestion des informations et des événements de sécurité (GIES) pour permettre une surveillance continue en temps réel si les ressources sont disponibles.

Protection du système

  • Mettez en œuvre des mises à jour et des correctifs automatiques, en particulier pour les services et les systèmes exposés à l’internet, pour votre micrologiciel, votre matériel, vos logiciels et votre système d’exploitation (OS).
  • Utilisez des phrases de passe ou des mots de passe robustes et gardez-les sécurisés et confidentiels.
  • Appliquez l’authentification multifacteur (AMF) pour les comptes et les systèmes – en particulier ceux qui ont des privilèges d’administrateur.
  • Utilisez des postes de travail dédiés pour les comptes d’administrateurs qui ne sont pas autorisés à naviguer sur le web ou à envoyer des courriels.
  • Appliquez les principes de moindre privilège qui garantissent que les utilisateurs ne se voient accorder que l’ensemble des privilèges essentiels à l’exécution des tâches autorisées.
  • Examinez les privilèges des utilisateurs au sein des systèmes et leurs droits d’accès aux données – en particulier pour les utilisateurs ayant des privilèges d’administrateur. Supprimez ou modifiez ceux qui ne sont pas nécessaires.
  • Gérez les appareils mobiles à l’aide de solutions de gestion des appareils mobiles (MDM) ou de solution de gestion unifiée des nœuds d’extrémité (UEDM).
  • Mettez en œuvre le répertoire de permission d’applications pour contrôler qui ou quoi peut accéder à vos réseaux et systèmes.
  • Mettez en œuvre un plan d’intervention en cas d’incident et testez-le à l’aide d’exercices sur table, afin de vous assurer que vous pouvez rétablir les fonctions essentielles et reprendre les activités de façon ponctuelle.
  • Sauvegardez régulièrement les données et les systèmes critiques hors ligne et veillez à ce que les sauvegardes soient isolées des connexions réseau.
  • Testez régulièrement vos sauvegardes pour vous assurer que les données et les systèmes peuvent être récupérés rapidement et avec succès.
  • Évaluez les applications tierces pour détecter les composants ou les fonctions inutiles et les désactiver ou exiger une intervention humaine avant de les activer (p. ex., les macros).
  • Réalisez et tenez à jour un inventaire du matériel et des logiciels de votre organisation.
  • Classez vos actifs par catégories afin d’identifier ceux qui sont les plus importants pour les fonctions opérationnelles de votre organisation.

Formation des utilisateurs et mesures de protection supplémentaires

  • Proposez à vos employés une formation sur mesure en matière de cybersécurité afin qu’ils sachent comment réagir en cas de liens ou de courriels suspects.
  • Proposez à vos employés une formation de sensibilisation à la protection de la vie privée afin de réduire le risque d’atteinte à la vie privée.
  • Recherchez des sources d’information pertinentes pour votre organisation ou abonnez-vous à un service d’alerte pour vous assurer d’être bien informé et à jour sur les menaces qui pourraient avoir un impact sur votre organisation.
  • Établissez une liste de contacts internes et externes des principales parties prenantes à alerter en cas de crise.

Il existe plusieurs certifications en cybersécurité que les organisations peuvent obtenir pour les aider à sécuriser leurs données et à être admissibles à davantage de contrats gouvernementaux.

Certification du cadre de cybersécurité (CSF) du NIST –

  • Développé par le National Institute of Standards and Technology (NIST).
  • NIST 800-53, NIST 800-171, NIST 800-37, qui est le cadre de gestion des risques.
  • Ils disposent d’un certain nombre de cadres et de pratiques de sécurité que vous pouvez commencer à appliquer, et ils sont tous très bien documentés.
  • Se concentre sur l’identification, la protection, la détection, la réponse et la récupération des incidents de cybersécurité.

ISO/IEC 27001

  • Norme internationalement reconnue pour les systèmes de gestion de la sécurité de l’information.
  • Met l’accent sur une approche systématique de la gestion des informations sensibles de l’entreprise.
  • La certification démontre l’engagement à sécuriser les actifs informationnels.

Certification FedRAMP

  • Obligatoire pour les fournisseurs de services infonuagiques (FSI) offrant des services au gouvernement américain.
  • S’assurer que les services infonuagiques répondent à des normes de sécurité spécifiques.

Certification du modèle de maturité de la cybersécurité (CMMC)

  • Important programme du département américain de la défense visant à protéger la base industrielle de défense (DIB) contre des cyberattaques de plus en plus fréquentes et complexes.
  • La CMMC sera nécessaire pour prouver que vous faites cela afin de pouvoir participer à des contrats gouvernementaux aux États-Unis.
  • En savoir plus sur la CMMC 2.0

Certification du Centre canadien pour la cybersécurité (CCCS)

  • La CCCS fournit des conseils et des ressources aux organisations afin d’améliorer leur position en matière de cybersécurité.
  • Bien qu’il ne s’agisse pas d’une certification au sens traditionnel du terme, le respect des lignes directrices de la CCCS est essentiel pour les organisations canadiennes.

Certification LDSTI-33 (Gouvernement du Canada) :

  • Ensemble de lignes directrices et de normes visant à sécuriser les systèmes informatiques des administrations publiques.
  • Fournit un cadre pour la sécurisation des informations sensibles.
  • La LDSTI-33 est l’équivalent canadien de la norme NIST 800-53.
  • En fonction de la taille et de l’étendue du système, le Conseil du Trésor insistera pour que vous passiez par une évaluation de la LDSTI-33 avant de mettre en service une application ou une solution.

Certification CSA STAR :

  • La certification STAR (Security, Trust, and Assurance Registry) de la Cloud Security Alliance (CSA) est pertinente pour les organisations, en particulier celles du Canada, qui utilisent des services infonuagiques.

Norme de sécurité des données du secteur des cartes de paiement (PCI DSS) :

  • Concerne les organisations impliquées dans les transactions par carte de paiement.
  • Assure un traitement sécurisé des informations relatives aux cartes de crédit.

CP-CSC

Q : Qui sera responsable de l’audit/de l’évaluation visant à garantir le respect des exigences en matière de cybersécurité ?

A (Arnold Villeneuve) : Le niveau 1 est une auto-évaluation. Pour les niveaux 2 et 3, vous devez faire appel à un évaluateur tiers certifié (voir les guides d’évaluation de la CMMC du département américain de la défense).

Pour l’auto-évaluation de niveau 1, vous devez vous rendre sur le portail du gouvernement, télécharger les formulaires, procéder à l’évaluation et enregistrer les résultats. Ensuite, les cadres du département ou de l’organisation devront attester par leur signature qu’ils ont atteint le niveau 1. C’est très important, car vous ne voulez pas être pris au piège de la loi sur les fausses déclarations (False Claims Act). Cette attestation et toute la documentation pertinente seront ensuite téléchargées sur le portail du ministère, où un membre du Centre canadien pour la cybersécurité, ou plutôt du programme CPCSC, examinera la documentation et l’attestation, puis vous délivrera une certification de niveau 1.

Si vous optez pour une certification de niveau 2, vous devrez faire appel à un évaluateur tiers pour évaluer vos pratiques. Il se rendra sur le portail, téléchargera tous les formulaires et modèles, procédera à l’évaluation et documentera les résultats de l’évaluation. Il vous remettra les résultats de l’évaluation, puis il prendra ce dossier et le téléchargera sur le portail. Le gouvernement l’examinera et vous délivrera votre certification de niveau 2.

Pour la certification de niveau 3, le gouvernement sera impliqué dans la surveillance de l’évaluateur tiers que vous choisirez. En fait, selon le contrat, il peut y avoir un groupe de trois PAO (Principal Authorizing Officials) parmi lesquels vous devrez choisir. Le gouvernement veillera alors à ce que les trois PAO exécutent le processus à leur satisfaction.

C’est ainsi que cela fonctionne aux États-Unis ou que cela va fonctionner aux États-Unis. Et comme le programme canadien sera réciproque, je suppose qu’il fonctionnera de la même manière. Plus d’informations à venir.



Q : Pouvez-vous nous donner un chiffre approximatif ou des indications sur le coût d’une évaluation de la cybersécurité ?

A (Arnold Villeneuve) : La CMMC est encore relativement nouvelle, mais j’ai quelques estimations. Une évaluation de niveau 1 devrait prendre entre trois et six semaines pour une personne. Pour une évaluation de niveau 2 ou 3, il faut compter entre trois et six mois, en fonction de la portée de la limite à évaluer. Si vous avez 100 serveurs et 100 services à évaluer, c’est très différent que si vous avez 10 serveurs et 10 services à évaluer.

En ce qui concerne le coût d’une évaluation FedRAMP qui comporte environ 150 contrôles, il faut compter entre 150 000 et 200 000 $. Au fur et à mesure que les évaluations CMMC et CP-CSC se multiplient, nous aurons une meilleure idée du coût moyen de base.

 

Q : Si les organisations souhaitaient investir dans leurs propres experts internes en cybersécurité, y a-t-il des formations ou des cours que vous suggérez ?

A (Arnold Villeneuve) : Le fait que quelqu’un qui est certifié par la CMMC et éventuellement par le CP-CSC effectue les évaluations de niveau 1 en interne ajoute de la crédibilité aux informations que vous fournissez.

J’ai dispensé plusieurs cours professionnels certifiés par la CMMC, et ce serait le premier point de départ. Il existe également un niveau inférieur, appelé praticien agréé, que l’on peut obtenir en se rendant simplement sur le site web de cyberab.org. Je pense que l’inscription en tant que membre coûte environ 250 $, puis vous pouvez vous inscrire à la formation de praticien agréé, qui coûte, je crois, environ 900 CAD. Il faut compter environ une journée pour suivre la formation. Il y a ensuite un examen de 100 questions à passer. Tout se fait à la demande.

En revanche, pour le CCP, il est possible de suivre une formation avec instructeur, qui peut durer de trois jours à 10 heures par jour, à une version de quatre jours ou de cinq jours du même cours, en fonction du fournisseur de services d’apprentissage. Ce serait donc le premier point de départ pour acquérir une connaissance interne des exigences requises pour effectuer une évaluation de niveau 1 de la CMMC, de la procédure à suivre pour effectuer l’évaluation, etc.

Pour plus d’options et d’informations, voir les certifications dans le domaine de la cybersécurité du Centre canadien pour la cybersécurité (à titre d’information uniquement).

 

Q : Où peut-on trouver une liste d’évaluateurs agréés ?

A (Arnold Villeneuve) : Le site cyberab.org propose un marché où l’on peut rechercher des C3PAO, des évaluateurs certifiés, des professionnels certifiés par la CMMC et toute personne faisant partie de l’écosystème de la CMMC, quel que soit le pays où elle se trouve.

Le Conseil canadien des normes travaille actuellement à la mise en œuvre de la norme CP-CSC. Il est l’un des sept organismes qui participent au lancement de ce programme. Il disposera d’un portail similaire à cyberab.org où vous pourrez trouver toutes les informations sur le programme et sur les personnes certifiées.

 

Q : Les fournisseurs devront-ils avoir obtenu toutes ces certifications avant de commencer à travailler avec le département de la défense ?

A (Arnold Villeneuve) : Vous pouvez soumissionner pour un contrat même si vous n’avez pas de certification. Mais si vous remportez le contrat, vous ne pouvez pas commencer à travailler et vous ne pouvez certainement pas commencer à facturer tant que vous n’avez pas votre certification. Si vous prenez le temps, les efforts et l’investissement nécessaires pour répondre à un appel d’offres, c’est une bonne idée de procéder à une évaluation de niveau 1 et de la soumettre officiellement à la CMMC, même si vous êtes une entreprise canadienne.

Avec l’arrivée du CP-CSC, on peut espérer qu’il y aura des droits acquis afin de ne pas avoir à refaire tout le processus pour le programme canadien. Je suis sûr qu’il y aura une certaine capacité de transition pour faciliter la tâche aux entreprises qui ont été certifiées d’emblée dans le cadre du programme de la CMMC, mais nous verrons bien.

Avez-vous une opportunité avec le Département de la Défense des États-Unis ? Contactez la CCC

Rechercher
Rechercher

Challenge.gov |

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Ut elit tellus, luctus nec ullamcorper mattis, pulvinar dapibus leo.