le 16 mars 2021
La cybersécurité fait référence à l'ensemble des technologies, des processus et des pratiques conçus pour protéger les réseaux, les appareils, les programmes et les données contre les attaques, les dommages ou tout accès non autorisé. La cybersécurité peut également être appelée sécurité des technologies de l'information1. |
Les technologies de l’information (TI) sont omniprésentes au XXIe siècle. En quelques années à peine, les téléphones intelligents, les tablettes et divers appareils connectés se sont intégrés à notre quotidien. Ce foisonnement de nouvelles technologies procure certes aux populations de la planète de nombreux et importants avantages et des occasions à saisir. Il s’accompagne cependant de nouveaux risques qu’il faut gérer avec beaucoup d’attention. Les virus informatiques, les logiciels de rançon (qu’on appelle aussi, rançongiciels, logiciels rançonneurs et logiciels d’extorsion), l’hameçonnage, le piratage informatique et le vol d’identité sont des exemples de technologies de l’information exploitées à des fins malveillantes, qui entraînent souvent de désastreuses et coûteuses conséquences.
Tout appareil connecté est exposé, dans une certaine mesure, au risque de subir un acte de piratage informatique, sous une forme ou une autre. À mesure que le temps passe, le nombre et les types d’appareils connectés connaissent une croissance rapide, tout comme le nombre de pirates informatiques et leur aptitude à déceler et exploiter les faiblesses des systèmes de TI.
Dans un tel contexte, les organismes du secteur public ont un devoir d’extrême vigilance. Ils doivent veiller à mettre en œuvre les bonnes pratiques les plus récentes en matière de gestion des risques associés aux TI, de manière à protéger leurs actifs de technologie de l’information contre un accès non autorisé, et de manière à prévenir l’utilisation, le dévoilement, la perturbation, la modification, l’examen ou la destruction de l’information qui s’y trouve.
Les auditeurs internes et les auditeurs législatifs peuvent soutenir les organismes du secteur public et les aider à atteindre ces objectifs en leur donnant une assurance indépendante qui leur permettra de déterminer s’ils gèrent adéquatement les risques liés à la sécurité des technologies de l’information et en formulant des recommandations pour améliorer les domaines présentant des faiblesses.
La liste qui suit présente 10 importants secteurs de risque pour la cybersécurité qui devraient être considérés lors de la planification d’un audit sur ce sujet (les secteurs sont présentés en ordre alphabétique). Chaque secteur est brièvement défini et certains éléments de protection particulièrement importants sont mis en lumière.
Accès logiqueLes organismes du secteur public possèdent souvent des systèmes de TI et des bases de données qui stockent des renseignements personnels de nature sensible sur un grand nombre de citoyens. Si elles se retrouvaient entre les mains d’acteurs malintentionnés, ces données pourraient servir à des fins malveillantes. Des contrôles rigoureux peuvent donc faire en sorte que seul le personnel autorisé ait accès à ces données. Les organismes publics devraient mettre en œuvre des mesures de protection d’accès logique (comme les droits d’accès et les niveaux d’autorisation définis, et l’emploi d’identificateurs d'utilisateur et de mots passe) pour empêcher l’accès non autorisé aux systèmes de TI et aux bases de données par des intervenants externes qui cherchent à exploiter les failles d’Internet ou des intervenants internes qui cherchent à faire mauvais usage de la confiance qui leur est accordée. |
|
Applications WebLes applications Web sont des programmes informatiques qui sont intégrés à des sites Web et qui aident à leur fonctionnement. Les organismes du secteur public mettent souvent au point des applications Web qui permettent aux citoyens d’accéder à certains services gouvernementaux. Quand elles sont mal conçues, les applications Web peuvent présenter certaines faiblesses que les pirates informatiques chercheront à exploiter pour accéder à des renseignements de nature sensible (comme les dates de naissance ou les numéros de cartes de crédit) qui sont stockés sur un réseau ou pendant le traitement de ces renseignements par l’intermédiaire de l’application Web. Pour se prémunir contre les atteintes à la sécurité, les organisations devraient adopter un système de sécurité multicouches qui permet de maintenir la sécurité même quand une couche subit une atteinte. Les pare-feux, les protocoles de codage sécurisé et les contrôles d’accès logiques sont au nombre des mesures que l’on peut mettre en place pour sécuriser les applications Web. |
|
Continuité des activitésLes cyberattaques et les atteintes à la sécurité des données peuvent perturber de façon considérable une organisation et même l’empêcher de procurer des services essentiels à la population. Une cyberattaque peut avoir pour conséquence d’entraîner des pertes de données, des renseignements personnels ou financiers compromis, des temps d’arrêt imprévus en raison de pannes, et d’autres difficultés. Pour atténuer les conséquences d’une cyberattaque, les organisations devraient intégrer des mesures de protection des TI dans leur plan de continuité des activités. Ce plan devrait comporter, entre autres choses, des renseignements sur les processus de sauvegarde et de récupération de données. |
|
Correctifs informatiquesLes pirates informatiques cherchent constamment à détecter les failles dans les logiciels et dans les systèmes de TI qui leur permettraient d’accéder de manière non autorisée à des données sensibles. Parallèlement, les spécialistes des TI s’emploient constamment à mettre au point des solutions ou correctifs informatiques, pour résoudre des problèmes qui ont été détectés dans les logiciels et les systèmes de TI. Les organismes qui n’installent pas en temps opportun ces correctifs exposent inutilement leurs systèmes de TI à des cyberattaques. Pour faire en sorte que tous les correctifs informatiques nécessaires soient installés en temps opportun, les organismes devraient consigner dans des documents des politiques et des processus qui permettent de déterminer les exigences à l’égard de l’installation des correctifs pour les postes de travail et les serveurs, et de les mettre en application. Ils devraient aussi évaluer de manière périodique les niveaux de conformité aux exigences à l’égard de l’installation des correctifs. |
|
Évaluation des vulnérabilitésUne organisation peut réduire la vulnérabilité de ses systèmes de TI et la probabilité d’une cyberattaque réussie en veillant à se doter d’un processus visant à détecter de façon continue, à classifier et à prioriser les vulnérabilités de ses systèmes de TI, ainsi qu’à prévoir des mesures d’intervention rapide pour s’attaquer aux questions prioritaires. Il existe une diversité d’outils et de méthodes pour effectuer une évaluation des réseaux, des applications et des bases de données. Certains de ces outils sont automatisés et peuvent aider les organisations à mener périodiquement des évaluations normalisées. |
|
Formation de sensibilisation à la sécuritéMême un organisme qui possède de bons systèmes de TI et une bonne équipe de spécialistes des TI continuera d’être exposé au risque si ses employés, qui utilisent une diversité d’applications de TI chaque jour, ne connaissent pas les politiques internes en matière de TI et ne sont pas en mesure de discerner les comportements qui exposent à des risques les TI de l’organisme. C’est pourquoi, il est essentiel de donner une formation de sensibilisation à tout le personnel qui utilise de l’équipement de TI et cet aspect devrait faire partie d’une stratégie efficace en matière de sécurité des TI. |
|
GouvernanceLa gouvernance en matière de sécurité des TI, ce sont les systèmes et pratiques qui permettent à une organisation de diriger et de contrôler la sécurité des TI. Elle consiste essentiellement à ce qui suit :
|
|
Listes blanches d’applicationsLes listes blanches d’applications sont un moyen de contrôle qui permet de protéger contre l’installation ou l’utilisation d’applications dans un système. Le recours à une liste blanche d’applications peut être un mécanisme efficace pour prévenir l’éventualité que des systèmes de TI soient compromis en raison de l’exécution d’un programme malveillant. Pour que le recours aux listes blanches d’applications soit efficace, il faut : (1) définir dans une politique les types d’applications que les utilisateurs sont autorisés à exploiter sur leurs appareils dans le cadre de leurs fonctions; (2) établir une liste détaillée des applications qui sont autorisées; (3) s’assurer que la mise en œuvre technique de la liste blanche est conforme à l’intention sous-jacente de la politique. |
|
Logiciels malveillantsL’expression « logiciel malveillant » (aussi appelé « maliciel ») désigne tout programme informatique nuisible qui permet de « voler » les renseignements d’un utilisateur (comme les noms d’utilisateur et les mots de passe, les numéros de cartes de crédit, ou des fichiers ou documents), ou encore qui permet à un pirate informatique de prendre le contrôle à distance d’un ordinateur et d’accéder aux réseaux auxquels il est connecté. Un ordinateur peut être infecté par un logiciel malveillant quand l’utilisateur télécharge un fichier infecté, quand il ouvre un fichier joint à un message d’hameçonnage ou quand il utilise une clé USB infectée. Une protection efficace contre les logiciels malveillants comprend les versions maintenues à jour des logiciels antivirus et des systèmes d’exploitation, une surveillance adéquate des systèmes de TI, ainsi que la formation de sensibilisation des fonctionnaires. |
|
RéseauxLes travailleurs au sein des organismes gouvernementaux sont connectés à des réseaux informatiques qui leur permettent d’échanger et de stocker des renseignements de nature sensible. Si ces réseaux ne sont pas protégés adéquatement, ils peuvent être vulnérables aux atteintes à la sécurité et permettre alors à des utilisateurs non autorisés d’accéder aux renseignements qui y sont stockés. Pour prévenir de telles atteintes à la cybersécurité, il faut veiller à ce que la configuration réseau de tous les appareils avec fils et sans fil qui permettent d’accéder au réseau soit faite et maintenue de façon appropriée. Cela comprend notamment l’emploi de logiciels de chiffrement (cryptage), l’installation et la mise à jour de logiciels antivirus, et la configuration appropriée des pare-feux, des routeurs et des imprimantes. |
Cela vous a plu?
Pour en apprendre davantage sur les audits de la cybersécurité, consultez notre document Pleins feux sur la sécurité des technologies de l’information.
1 Définition de Digital Guardian : https://digitalguardian.com/blog/what-cyber-security
Consultez les autres Conseils d'audit