Adopter un modèle de sécurité à vérification systématique
Qu’est-ce que la vérification systématique ?
- La vérification systématique, ou zero trust en anglais, est un modèle de sécurité qui vise à améliorer la sécurité de l’ensemble des technologies de l’organisation. Ce modèle repose sur un procédé de vérification continu qui assure que seuls les utilisateurs autorisés ont accès aux informations et aux ressources critiques.
- La vérification systématique aide à réduire le risque de violation de données en limitant l’accès uniquement à ceux qui en ont besoin.
En quoi la vérification systématique est-elle importante ?
La vérification systématique est importante puisqu’elle aide à protéger les réseaux, les applications et les données d’une entreprise de toute intrusion potentielle. Elle aide à réduire la surface d’attaque et à protéger vos systèmes.
Plusieurs raisons font que la sécurité à vérification systématique s’impose de plus en plus dans les entreprises. Le télétravail ayant augmenté pendant la pandémie, les approches de sécurité basées sur un périmètre limité ont été affaiblies par l’empreinte étendue des réseaux de travail et le besoin d’authentifier des utilisateurs externes. De plus, la sécurité de la chaîne d’approvisionnement est devenue un enjeu important après plusieurs attaques qui ont eu des effets dévastateurs sur des milliers d’entreprises.
Il importe de savoir qu’il existe maintenant une pression réglementaire en faveur de la vérification systématique, depuis le décret présidentiel de Joe Biden en 2021 portant sur l’amélioration de la cybersécurité au pays, qui exige l’adhésion des agences fédérales à ce cadre. Cela aura sûrement un effet domino sur d’autres agences gouvernementales à l’avenir et créera une pression sur les organisations qui souhaitent offrir leurs services au gouvernement américain.
Considérations de la vérification systématique
Pour bien implanter la vérification systématique, les entreprises doivent créer une culture où la cybersécurité est considérée comme essentielle . De plus, les décideurs doivent être au courant des dernières menaces à la sécurité et des meilleures pratiques afin de prendre des décisions éclairées. La sécurité doit donc faire partie des discussions du conseil d’administration et un responsable de la sécurité de l’information doit être nommé et mandaté pour mener des initiatives de cybersécurité depuis la haute direction. Il faut bien tenir compte de ce qu’implique la mise en œuvre de la vérification systématique et de ses répercussions sur les utilisateurs afin de répondre à leurs craintes quant à l’atteinte à leur vie privée.
Regarder le webinaire sur la cybersécurité
Évaluer les répercussions de l’évolution réglementaire
L’évolution des exigences réglementaires, dont les politiques gouvernementales et les changements imposés par les autorités de l’industrie, peut être perçue soit comme un fardeau de conformité ou soit comme un appui à la prévention d’incidents de sécurité futurs.
Vu la hausse constante des modifications réglementaires qu’adoptent les instances gouvernementales, les organisations doivent les saisir comme des occasions pour améliorer leurs pratiques de sécurité plutôt que de les voir comme un fardeau de conformité. Qu’il s’agisse d’un règlement spécifique à un domaine, comme le PCI DSS v4.0 pour le secteur du paiement ou les DCE dans les transports, ou encore d’obligations de conformité en matière de confidentialité, comme la Loi sur la protection des renseignements personnels (loi 25), la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ – Canada) et la California Consumer Privacy Act (CCPA), les organisations doivent profiter de ces réglementations pour s’assurer que leurs pratiques de sécurité demeurent à jour et bien adaptées à leurs besoins particuliers.
Commencez par :
- Identifier vos obligations en matière de conformité
- Assurer la cohérence entre votre stratégie de conformité et la stratégie globale de votre entreprise
- Assurer le suivi et la communication des progrès
S’attaquer à la pénurie de talents
Les entreprises doivent également trouver des solutions créatives pour combler les besoins en ressources humaines. On peut envisager les bourses d’études, stages et programmes de formation pour développer les talents en cybersécurité à l’interne. Les organisations doivent également trouver des moyens de mettre à contribution les talents déjà en place. Par exemple, encouragez la formation intersectorielle au personnel TI en place, en les formant sur la cybersécurité pour les sensibiliser à son importance dans l’organisation. En dernier lieu, sollicitez l’assistance de vos partenaires technologiques.
La main-d’œuvre en cybersécurité atteint de nouveaux sommets et compte environ 4,7 millions de professionnels, mais une pénurie mondiale de l’ordre de 3,4 millions de travailleurs persiste dans le domaine, selon l’étude 2022 (ISC)2 Cybersecurity Workforce Study.
Mobiliser l’organisation tout entière à la cybersécurité
Chez ISAAC, nous prenons la cybersécurité très au sérieux, et l’étendons à l’ensemble de l’entreprise.
Les gens constituent souvent le maillon faible lorsqu’il est question de sécurité; c’est pourquoi chez ISAAC, nous tenons notre équipe formée et bien informée. Nous utilisons également la plateforme Terranova pour simuler des attaques d’hameçonnage et ainsi sensibiliser tout notre personnel.
Le facteur humain
39 % des répondants canadiens croient que les employés négligents ou inconscients constituent leur plus importante vulnérabilité à une cyberattaque.
Chaque année, nos équipes de sécurité TI et marketing collaborent à une campagne de cybersécurité en octobre, pour le Mois de la cybersécurité. Chez ISAAC, nous sommes déterminés à garder tous les membres de notre équipe formés et informés afin de maintenir une sécurité optimale.
À propos de l'auteur
Joe Russo, Vice-président, TI & Sécurité
Joe Russo, Vice-président, TI et sécurité chez ISAAC, est un dirigeant en technologies de l’information avec plus de 20 ans d’expérience à la tête d’équipes dans des environnements multinationaux et dans divers secteurs : banque, pharmacie, transport et services technologiques.
Il a occupé des postes cadres en Suisse chez Morgan Stanley et à la Banque des règlements internationaux (BRI), puis à Montréal chez McKesson Canada, Syntax et CN Rail. Son expérience dans l’alignement de la stratégie informatique avec la stratégie de l’entreprise fait de lui un leader de transformation efficace qui maîtrise les défis techniques, interculturels et organisationnels pour résoudre les défis commerciaux.
Joe est titulaire d’une maîtrise en technologie et gestion de l’information de l’Université de Sheffield, a suivi le programme Mini-MBA de l’Université McGill et détient les certifications CISSP, CRISC et CIPM.
