Blue Planet Studio - stock.adobe
Cybersécurité : la checklist pour bien démarrer 2022
L’hygiène de cybersécurité d’entreprise doit être une responsabilité partagée entre employeurs et employés. Certaines mesures s’imposent pour aborder la nouvelle année sous de bons augures.
L'hygiène en matière de cybersécurité est un élément essentiel de tout programme de sécurité de l’information. Tout comme le fait de se laver les mains et de se brosser les dents est important pour l'hygiène personnelle, l’application des correctifs ou l’exigence de mots de passe robustes sont importants pour l'hygiène de la cybersécurité – et essentiels pour prévenir la perte de données, les intrusions ou le vol d'identité.
Il est important de noter que l'hygiène en matière de cybersécurité est une responsabilité partagée – il ne s'agit pas d'une activité réservée aux seuls utilisateurs. Les organisations et les équipes de sécurité, entre autres services, doivent toutes jouer leur rôle pour empêcher toute « contamination ».
Checklist standard de l'hygiène de la cybersécurité
Les pratiques suivantes devraient être intégrées dans toute checklist de l'hygiène de la cybersécurité :
- Patch, patch, patch. Appliquez les correctifs, et maintenez les appareils appartenant à l'entreprise à jour avec les dernières versions des logiciels.
- Disposez d'un programme solide de gestion des identités et des accès qui exige des mots de passe forts et une authentification à facteurs multiples. Envisagez l'utilisation de la biométrie.
- Adoptez le principe du moindre privilège.
- Ne partagez pas les informations d'identification.
- Installez des outils de sécurité des hôtes et des pare-feu.
- Chiffrez les disques et les terminaux par défaut.
- Effectuez des sauvegardes régulières.
- Organisez des formations de sensibilisation à la sécurité.
- Découvrez, inventoriez et gérez les actifs IT.
Considérations particulières : travail à distance
La pandémie de COVID-19 a entraîné des changements spectaculaires dans le nombre de télétravailleurs et a mis en évidence la nécessité de faire entrer l'hygiène de la cybersécurité dans le XXIe siècle. Le moins que l'on puisse dire, c'est qu'il est difficile, pour les équipes de sécurité, d'assurer la sécurité des actifs de l'entreprise alors que son périmètre s’étend au domicile de chaque employé.
Voici quelques bonnes pratiques en matière de sécurité des travailleurs à distance :
- Séparation du réseau domestique. Les équipes de sécurité doivent apprendre aux utilisateurs, en des termes simples, comment créer des sous-réseaux avec des règles de sécurité. Mais la tâche peut s’avérer difficile compte tenu de la grande variété des environnements réseau chez les employés.
- Des VPN partout. Dans la plupart des entreprises, un VPN est activé par défaut pour l'accès au réseau de l'entreprise. Mais le recours à un VPN devrait être un réflexe à chaque connexion à un réseau non sécurisé tel qu’un réseau Wi-Fi public.
- Patch, patch, patch. L’application des correctifs et la mise à jour des appareils appartenant à l'entreprise ont déjà été mentionnées, mais il est également essentiel que les utilisateurs finaux comprennent l'importance de faire de même avec leurs propres appareils, d'autant plus que les collaborateurs utilisant leurs propres terminaux à des fins professionnelles ne sont pas rares.
Considérations particulières : Hygiène de la cybersécurité du cloud
L'augmentation du nombre de télétravailleurs s'est accompagnée d'une utilisation accrue des services cloud. Si le cloud permet d'améliorer la productivité, l'accessibilité et l'évolutivité, son utilisation induit inévitablement des risques de sécurité.
Pour assurer la sécurité des employés et des employeurs dans le contexte du Cloud, quelques bonnes pratiques doivent être observées :
- Créez une politique d'utilisation et de sécurité du cloud. Précisez ce qui est acceptable et ce qui ne l'est pas en matière d’usages. Par exemple, une entreprise peut utiliser OneDrive pour le partage de documents, mais étant donné l'utilisation répandue du BYOD et des capacités de partage qu'offrent Google Drive et Box, il est probable que ces services soient préférés par les employés. Les administrateurs doivent reconnaître que les préférences des utilisateurs sont essentielles, mais prendre position sur l'utilisation des applications Cloud du point de vue de la sécurité et fournir une formation courte et attrayante sur la façon d'utiliser les services Cloud pour un partage sécurisé des données.
- Faites attention lorsque vous donnez des droits d'accès aux documents et aux dossiers partagés à des collègues, des partenaires, etc.
- Révoquez et supprimez les autorisations le cas échéant, notamment à la fin d’un projet ou à l’occasion du départ d’un collaborateur.
- Soyez attentif à la pollinisation croisée des comptes. Tenez compte du nombre de comptes Google dont disposent les employés. Il est essentiel de s'assurer qu'ils utilisent le bon compte Google Drive, celui qui est destiné au travail. De même, il est important d'utiliser un compte Dropbox personnel pour partager des photos de famille, même si cela peut apparaître comme une contrainte par rapport à l’utilisation d’un compte professionnel.
- Faites respecter les droits à la vie privée et à la confidentialité. Bien qu'ils ne soient pas au premier plan des préoccupations de la plupart des individus, ce sont des priorités absolues pour les entreprises. Des législations récentes, telles que le RGPD et le CCPA, outre-Atlantique, énoncent des droits spécifiques en matière de confidentialité. Par exemple, il est essentiel de s'assurer que les traces numériques sont oblitérées lorsque les applications SaaS ne sont plus utilisées ou de procéder à des examens périodiques des données collectées par les applications SaaS de l'entreprise. Ces tâches nécessitent des formations et des incitations innovantes, comme la gamification, pour sensibiliser les employés.