Le gouvernement du Canada a créé des contrôles de cybersécurité de base pour les petites et moyennes organisations afin de favoriser la résilience de ces entreprises par l’intermédiaire d’investissements en cybersécurité. C’est fantastique, car cela aide les petites entreprises à comprendre ce dont il faut tenir compte lorsqu’il est question de sécurité. Nous savons tous que l’adversaire considère les petites entreprises comme des cibles. L’objectif avec ces contrôles de base est de parvenir à respecter la règle 80/20 : 80 % des avantages pour 20 % d’efforts. Je suis tout à fait d’accord pour dire que si toutes les entreprises envisageaient ces mesures, le Canada serait plus en sécurité et que plus vous déployez de contrôles de base, meilleure sera votre efficacité sur le plan de la sécurité. Maintenant, s’il s’agissait
de mon entreprise, j’adopterais une approche plus forte en matière de sécurité, car de nombreuses entreprises ne parviennent pas à survivre après une faille de cybersécurité et la sécurité peut être un facteur de différenciation de l’entreprise.
Dans ce billet, nous allons examiner ces contrôles de base et je vais vous donner quelques informations sur la façon dont Cisco peut aider à atteindre ces objectifs. Encore une fois, les contrôles de base ne sont rien de plus que des contrôles de base. En tant que personne encline à mettre l’accent sur la sécurité,
je pense que les contrôles de base sont des minimums requis et que toutes les entreprises devraient envisager de les surpasser.
Récemment, j’ai visité un restaurant-minute et (dans un effort pour manger relativement santé) j’ai commandé un sandwich roulé. Tandis que des membres du personnel le préparaient, j’ai remarqué qu’ils ne portaient pas de gants et que l’un des employés mangeait à la station où la nourriture était en train de se faire préparer. J’ai discuté avec des représentants de l’entreprise de restauration rapide. Ils m’ont expliqué qu’au Canada, les lignes directrices sur la santé n’obligent pas le port des gants, ajoutant que leur personnel respecte ces directives telles qu’imposées. Ils ont aussi mentionné que leur personnel adopte les bonnes pratiques d’hygiène (se laver les mains, etc.) décrites dans les lignes directrices. Je suis ensuite allé dans un autre restaurant-minute (non, je ne fréquente pas si souvent les restaurants du genre) et j’ai remarqué que les membres du personnel portaient des gants et des filets à cheveux, alors je leur ai demandé pourquoi. On m’a indiqué que dans ce restaurant, en plus de suivre les directives et d’adopter de bonnes pratiques d’hygiène, on cherche à dépasser cette norme pour faire en sorte que plusieurs couches de sécurité sont en place afin de veiller à ce que le client bénéficie de la meilleure expérience possible.
Il faudrait voir la sécurité de la même manière. En allant au-delà des autres, vous garantissez à vos clients une expérience exceptionnelle.
Le document est divisé en deux grandes parties :
- Contrôles organisationnels
- Contrôles de base
Je vais les résumer dans ce billet et vous présenter ma petite idée sur chacun de ces sujets (en espérant que mon grain de sel vous sera utile).
Contrôles organisationnels
La section sur les contrôles organisationnels vise à produire de l’information pour vérifier si votre entreprise est adaptée pour ce niveau de contrôle de base. Cette section aborde la taille prévue de l’entreprise, qui est généralement inférieure à 499 employés. J’ai toujours dit qu’une entreprise dans la catégorie des petites entreprises pourrait être exposée à plus de risques qu’une entreprise comptant des milliers d’employés.
Par exemple : une entreprise de 100 utilisateurs met au point un nouveau gadget qui va transformer le secteur des services de distribution, et pour attirer les talents, elle dispose d’une politique d’utilisation de votre propre appareil qui comprend des modalités flexibles pour l’utilisation de l’Internet. Risque : les ressources coulent (elles sont compromises) hors site et l’adversaire vole le code de l’application propriétaire qui va changer le cours du match. D’autre part, l’entreprise comptant au moins 1 000 utilisateurs aurait établi des contrôles solides pour ce genre de choses; ses utilisateurs respectent une politique stricte d’utilisation d’Internet et utilisent uniquement des appareils approuvés. Dans le contexte de cet exemple, cela dépend, et la taille pourrait ne pas dicter les contrôles requis.
Ensuite, le document vous invite à déterminer les technologies visées, puis la valeur des biens et des systèmes d’information. Cette dernière aide à aborder l’aspect que j’ai mentionné ci-dessus concernant la taille. Cela n’a pas d’importance, tout dépend de ce qui est protégé et de la meilleure catégorisation possible de ce qui est protégé. Remarque : Si vous n’êtes pas sûr, j’ajouterais autant de couches que possible tout en veillant à la convivialité de vos systèmes. Tout le monde connaît l’expression « mieux vaut prévenir que guérir ».
Le document signale que les contrôles de sécurité de base sont prévus pour les situations où tous les préjudices sont à un niveau égal ou inférieur au niveau moyen (où des préjudices graves sont prévus, p. ex., affaiblissement de la position concurrentielle, atteinte à la réputation). En dehors de ces catégories, des mesures plus exhaustives devraient être envisagées. Maintenant, nous passons à la compréhension du niveau de cybermenace pour l’entreprise dans laquelle vous évoluez et selon la catégorie où vous vous retrouvez, vous pourriez envisager d’adopter des mesures de sécurité supplémentaires qui vous aideront à déterminer où vous vous situez. Encore une fois, mieux vaut prévenir que guérir, même si je comprends que tout le monde a un budget à respecter.
Enfin, le document aborde les niveaux et pourcentages d’investissement dans la cybersécurité qu’il faudrait envisager et précise que les entreprises doivent nommer une personne responsable de la sécurité des TI (dans les plus grandes organisations, il faudrait que ce soit un responsable de la sécurité des systèmes d’information). Super! Passons aux contrôles de base.
Contrôles de base
Les contrôles de base sont destinés à aider les entreprises à réduire les risques globaux de cyberincidents ou d’atteinte à la protection des données. Comme vous le savez sans doute, il ne s’agit pas de savoir
si une faille ou une atteinte se produira, mais bien quand elle frappera. Une faille se produira à un moment donné et la victime devra la détecter, y réagir et en récupérer. Dans cette section, je vais vous donner un aperçu des contrôles de base et de la façon dont Cisco peut vous aider, le cas échéant. Veuillez noter qu’il ne s’agit pas d’une cartographie complète des fonctionnalités de chaque élément. Néanmoins, je vais partager une liste de fonctionnalités que Cisco peut offrir.
- Élaborer un plan d’intervention en cas d’incident. Cela doit inclure les personnes, les processus et les technologies. Cisco fournit de riches services d’intervention en cas d’incident, qui peuvent comprendre une provision pour la prestation de services après sinistre. Cisco dispose également d’un éventail de produits de sécurité qui peuvent vous aider pendant la gestion des incidents. Cisco peut vous aider à obtenir une assurance en matière de cybersécurité, notamment une couverture plus large et des franchises inférieures.
- Appliquer automatiquement les correctifs aux systèmes d’exploitation et aux applications. L’intégrité des systèmes est un enjeu majeur. Il suffit qu’un système soit compromis pour que la partie soit terminée. De nombreux systèmes ne sont pas automatiquement corrigés en dehors des systèmes classiques (Windows, MAC, logiciels de navigateur, etc.), tels que les équipements réseau, les téléphones, les UPS, etc. Une variété de technologies Cisco peuvent être en nuage, ce qui déplace en hauteur des défis liés à la maintenance de la pile logicielle. De plus, Cisco dispose de technologies capables de valider que la ressource satisfait à un certain niveau de correctif, refusant l’accès au réseau jusqu’à ce que le problème soit résolu. Certaines de ces technologies pourraient aussi vous alerter lorsqu’elles détectent un élément logiciel vulnérable. La clé est simple et intégrée.
- Activer les logiciels de sécurité anti-programmes malveillants. Cisco peut fournir des fonctionnalités complètes dans ce contexte grâce à une solution infonuagique simple (une solution sur site
est également disponible). Cela inclut non seulement plusieurs moteurs de détection, mais également des informations sur les logiciels vulnérables, le blocage des applications non autorisées, les fonctionnalités de bacs à sable et la détection et la réponse des terminaux. - Modification des mots de passe par défaut. Je suis tout à fait d’accord avec cette mesure, mais cela doit inclure l’ajout d’une simple authentification à deux facteurs (2FA) dans le nuage en facilitant des technologies de pousser et la vérification de l’intégrité des terminaux. Même si cela est abordé dans l’élément suivant, je voulais veiller à ce que nous en traitions maintenant, car il ne suffit pas de changer le mot de passe par défaut.
- Utiliser une authentification forte de l’utilisateur. Les authentifications à deux facteurs sont aujourd’hui incontournables : 81 % des failles impliquent des mots de passe faibles ou volés (Verizon Data Research). La plate-forme permettant des authentifications 2FA doit être facile
à utiliser et établie dans le nuage. Encore une fois, la complexité est l’ennemie de la sécurité. Simplifiez le processus là où vous le pouvez. - Fournir de la formation pour sensibiliser les employés. Les utilisateurs peuvent être les maillons les plus faibles et les pirates savent comment tirer parti d’une faiblesse humaine majeure : l’émotion. Par exemple, un utilisateur reçoit un courriel indiquant qu’il DOIT utiliser ses congés personnels restants avant la fin du trimestre. Ce courriel présente un lien vers la politique ou le fait-il vraiment <rire diabolique>? Dans ce cas, que feriez-vous? Vous pourrez peut-être reconnaître ce type de message et simplement le supprimer. Ou peut-être est-il tôt le matin. Vous voilà en colère, et vous transférez le message à votre responsable (en ne cliquant pas sur le lien). Il est possible que votre responsable examine le courriel. Il pourrait même cliquer sur le lien. Eh bien, c’est exactement ce qui m’est arrivé. J’ai toujours la sécurité en tête, mais l’émotion m’a eu. Je n’ai pas cliqué sur le lien, mais j’ai bien fait parvenir le message à mon responsable. Je vais lui donner le bénéfice du doute et supposer qu’il n’a pas cliqué sur le lien. De plus, la plate-forme d’authentification 2FA de Cisco permet de créer des campagnes d’hameçonnage qui permettent de mettre à l’épreuve et d’informer vos utilisateurs
- Sauvegarde et chiffrement des données. C’est essentiel et bien que je ne dispose pas d’un produit qui résout cette question pour les clients, nos produits offrent la possibilité de sauvegarder et de restaurer, que ce soit sur site ou dans le nuage. Maintenant, je vais aborder quelque chose : les systèmes de sauvegarde sont essentiels, mais incluent également vos contrôleurs de domaine (services d’annuaire), même si vous avez plus d’un système et que vous pensez qu’il est résilient, rappelez-vous NotPetya.
- Services mobiles sécurisés. Cela inclut les appareils qu’apportent les employés et les terminaux mobiles tels que les téléphones cellulaires. Cisco propose une plate-forme de gestion de la mobilité des terminaux en nuage et garantit un accès adéquat au réseau des appareils des employés, ce qui permet de réduire les risques. Cela inclut une configuration centralisée du demandeur sur le terminal et pour les réseaux ouverts, vous pouvez appliquer les fonctionnalités VPN permanentes pour garantir la sécurité des communications. Le fait de disposer de plusieurs options pour résoudre un problème offre une plus grande flexibilité à nos clients.
- Établir un périmètre de défense de base. La protection du périmètre est importante. Lorsque vous l’établissez, vous pouvez envisager d’examiner des technologies qui peuvent suivre l’utilisateur mobile. Je crois fermement que si vous avez besoin d’une posture de sécurité « x »
sur site pour votre utilisateur, la sécurité doit aussi le suivre hors du réseau, car c’est là qu’il est le plus susceptible d’être compromis. Une fois compromis, l’utilisateur franchit sans problèmes le périmètre de défense. Et c’est le début d’une mauvaise journée. Cisco peut beaucoup aider les pare-feu grâce à la possibilité d’ajouter une inspection avancée à la fois sur site et dans le nuage, de même que des options de gestion flexibles. Cisco peut également fournir des contrôles de pare-feu axés sur l’utilisateur dans le nuage. Cela permet de supprimer la complexité qui vient avec
les essais de gestion directe du terminal. Cisco dispose d’une plate-forme en nuage DNS riche
en fonctionnalités qui permet de bloquer les domaines malveillants et de restreindre l’accès,
mais je pense que ce contrôle de base ne suffit pas pour étendre ce niveau au-delà du réseau de l’entreprise et suivre l’utilisateur où qu’il se connecte. Cisco peut fournir une solution VPN robuste avec une authentification à deux facteurs garantissant une communication sécurisée dans une connexion au réseau tout en limitant le risque d’exposition des informations d’identification. Cisco offre une solution sans fil robuste et un accès contrôlé des invités. Cisco peut aider les entreprises à répondre aux exigences de conformité à la norme PCI en offrant une plate-forme de sécurité de la messagerie de classe mondiale pour laquelle des options en nuage et sur site sont disponibles. - Infonuagique sécurisée et services TI externalisés. Il faut certainement envisager ce contrôle.
Dans ce contexte, les offres de solutions en nuage de Cisco s’harmonisent avec ce contrôle de base. Comme indiqué ci-dessus, Cisco peut répondre à l’exigence d’authentification à deux facteurs. - Sites Web sécurisés. Cisco peut vous aider à protéger ces plates-formes grâce à diverses options, notamment les systèmes de prévention des intrusions et de pare-feu de nouvelle génération, les pare-feu d’applications Web et la protection des terminaux.
- Mise en œuvre des contrôles d’accès et autorisation. Cisco peut vous aider dans certains cas et peut étendre ces mesures aux situations de moindres privilèges, lorsque vous vous connectez au réseau qui débute avant que les ressources des TI soient accessibles. Cisco peut également agir comme agent de la circulation du réseau en limitant l’accès au réseau, y compris l’accès filaire, sans fil et VPN, tout en veillant aussi à ce que les appareils qui prennent en charge l’autorisation de commande soient limités en fonction des politiques. Les produits Cisco prennent en charge le contrôle d’accès selon les rôles, dans le droit fil de ce contrôle de base.
- Supports amovibles sécurisés. C’est essentiel, mais je pense que cela va au-delà des supports portables. Cisco peut avoir des ressources avec des limites d’accès USB, mais le problème avec les supports USB va au-delà de ce qui est abordé dans ce contrôle. Le problème, c’est que vous perdez le contrôle des données. Une option plus pratique consisterait peut-être à faire appel
à un référentiel de fichiers dans le nuage suivant une solution qui satisferait au contrôle 3.10, mais qui porterait également sur la question de savoir si l’application en nuage est sanctionnée pour être utilisée par l’entreprise. Les contrôles appropriés doivent être en place dans l’application SaaS, mais étendre les fonctions de sécurité pour inclure un point de contrôle de sécurité d’accès Faites-nous signe, nous pouvons vous aider.
Je pense que c’est une excellente initiative de notre gouvernement pour aider les PME à adopter une approche plus normative en matière de cybersécurité. Les menaces sont en pleine évolution. Elles sont de plus en plus automatisées, permettant aux pirates d’élargir leur champ d’action, qui inclut le marché des PME. Communiquez avec votre équipe de compte Cisco locale et demandez-lui comment Cisco
peut vous aider en matière de cybersécurité. Cisco propose des ensembles robustes qui simplifient la consommation et qui offrent de nombreuses fonctionnalités recommandées par le gouvernement du Canada, voire en élargissent la portée.
Découvrez comment assurer la sécurité de votre entreprise ici