Sécurité des données pour les municipalités
Pour célébrer le Mois de la sensibilisation à la cybersécurité, la Société d’évaluation foncière des municipalités (SEFM) est fière de communiquer ses dix principaux conseils pour assurer la sécurité des données et des systèmes.
En tant qu’agence d’évaluation foncière de l’Ontario, la SEFM maintient une base de données complète d’informations sur plus de cinq millions de propriétés en Ontario. Cela représente plus de 125 To de données – réparties dans 27 bureaux et plus de 5 000 appareils physiques et virtuels – que nous protégeons grâce à une petite équipe de sécurité des données.
L’expérience de chaque organisation en matière de sécurité des données est unique, mais à mesure que les menaces deviennent de plus en plus sophistiquées et difficiles, nous pouvons apprendre les uns des autres en partageant nos conseils et nos meilleures pratiques.
En 2019, la SEFM a obtenu la certification ISO 27001, une norme internationalement reconnue qui témoigne de son engagement à respecter les normes les plus élevées en matière de pratiques de sécurité de l’information. L’obtention de cette certification démontre que nous avons mis en place les systèmes, les politiques et les procédures qui nous aident à protéger les données d’évaluation foncière et à accroître notre résistance aux cyberattaques; elle permet également de réduire les coûts liés à la sécurité de l’information et de renforcer la culture d’entreprise « la sécurité d’abord ».
Pour aider le secteur municipal à faire progresser ses pratiques de sécurité, nous avons dressé une liste de nos dix meilleures façons d’améliorer la sécurité des données, que nous partagerons lors de la conférence et du salon professionnel virtuels InfoSec de MISA Ontario 2020 pour les municipalités de l’Ontario. Voici les points saillants :
1. Mots de passe et phrases passe
- De nombreux mots de passe sont basés sur d’anciennes normes du secteur de 5 à 8 caractères. La SEFM a récemment augmenté la longueur minimale de ses mots de passe à 15 caractères. Les solutions de craquage modernes sont capables de craquer des mots de passe plus courts ou plus simples en quelques secondes ou minutes; les plus complexes sont donc plus sûrs.
- Veillez à ce que les adresses de courriel et les mots de passe professionnels soient séparés des comptes personnels, et ne communiquez pas les mots de passe.
2. Authentification multifacteurs
- L’authentification multifacteurs, ou à deux facteurs, est une mesure de sécurité essentielle et des solutions gratuites sont disponibles. Un multifacteur peut être :
- quelque chose que vous connaissez (p. ex., un mot de passe)
- quelque chose que vous avez (p. ex., un appareil sécurisé qui n’est pas facile à dupliquer, comme un téléphone)
- quelque chose que vous êtes (p. ex., identification biométrique, comme une empreinte digitale)
- L’authentification multifacteurs contribue à vous protéger contre les attaques si un employé a déjà perdu ses authentifiants.
3. Formation en sensibilisation à la sécurité pour les utilisateurs finaux
- Vos employés, en tant qu’utilisateurs, ont le potentiel d’être le maillon le plus faible de votre chaîne de cybersécurité. Il est important de les sensibiliser aux risques en matière de cybersécurité dans leur environnement professionnel et résidentiel.
- La formation en sensibilisation devrait inclure des sujets tels que : les logiciels malveillants, l’hameçonnage, l’ingénierie sociale, les appareils mobiles, les médias sociaux, la sécurité en ligne, les mots de passe et l’authentification, et les appareils de stockage portables.
- Il existe de nombreuses ressources de formation gratuites sur Internet et YouTube est un excellent point de départ.
4. Identifiant externe des courriels
- Le courrier électronique reste une méthode populaire de diffusion de contenus malveillants, et les entreprises sont de plus en plus souvent ciblées par des pièces jointes malveillantes comme des fichiers Excel, Word ou PDF contenant des logiciels malveillants ou des liens vers ces derniers.
- Les bannières de courrier électronique peuvent être un outil utile pour aider vos employés à reconnaître qu’un courrier électronique a été usurpé, c’est-à-dire qu’il provient d’une source extérieure prétendant être un employé municipal.
5. Procédures d’orientation et de départ
- La mise en place de processus approprié, et leur respect, sont essentiels. Les organisations doivent gérer les comptes d’utilisateurs inactifs ou expirés, car ils peuvent constituer une voie non surveillée qui peut entraîner un accès indésirable à votre environnement informatique.
6. Application de correctifs
- Si vous ne pouvez faire qu’une seule chose pour améliorer votre situation en matière de sécurité, appliquez régulièrement les correctifs à vos systèmes. Microsoft publie régulièrement des correctifs importants chaque mois, et n’oubliez pas d’appliquer des correctifs aux autres solutions, telles que MS Office, Adobe, Java ou les navigateurs Internet comme Chrome ou Firefox. Si possible, le recours aux mises à jour automatiques est idéal.
7. Outils de sécurité à source ouverte
- Il existe de nombreux et excellents outils de sécurité à source ouverte pour vous aider à protéger votre environnement informatique. Il suffit de rechercher « outils de sécurité gratuits » ou « free security tools » sur Google pour les trouver. Voici quelques exemples pour vous aider à commencer :
- Kali Linux – un système d’exploitation clé en main avec de nombreux outils de sécurité pré-installés.
- Ssllabs.com et securityheaders.com – services en ligne qui peuvent être utilisés pour vérifier certains des paramètres de sécurité sur vos sites Web destinés au public.
8. Hameçonnage
- L’« hameçonnage » est une pratique qui consiste à envoyer des courriels prétendant provenir d’entreprises réputées qui encouragent les gens à révéler des renseignements personnels ou financiers.
- Une partie de la formation continue de nos employés consiste en une campagne d’hameçonnage conçue pour apprendre aux utilisateurs à reconnaître et à signaler les activités de courrier électronique suspectes. Nous testons la réaction des employés aux courriels conçus pour imiter un courriel hameçon.
9. Appareils de stockage USB
- Les appareils de stockage USB ont le potentiel d’être utilisés comme vecteur d’attaque et peuvent diffuser des contenus malveillants dans votre réseau. Comme meilleure pratique, n’autorisez et n’utilisez que des appareils de stockage USB qui sont scannés et vérifiés régulièrement. Mieux encore, vous pouvez réduire votre risque si vous pouvez bloquer l’utilisation des appareils de stockage USB au sein de votre organisation.
10. Fils présentant des renseignements sur les menaces pour la sécurité
- L’information est essentielle! De nombreuses sources gratuites de renseignements en matière de sécurité sont disponibles pour vous tenir au courant des nouveaux risques liés à la sécurité. Par exemple :
- Rapport sur les atteintes aux données de Verizon
- Groupes de nouvelles, et fils des fournisseurs ou RSS