Back

5 conseils en cybersécurité pour les PME

Il y a déjà quelques semaines se terminait la semaine de formations et conférences du Hackfest. Bien que toujours pertinent et appréciable, cette année était particulière pour moi puisque Cyber Formation Québec (CFQ) a offert sa première formation en présentiel destiné aux PME: « Organiser sa cyberdéfense opérationnelle ». Ce fut un succès et nous avons eu la chance d’avoir des échanges avec plusieurs organisations de divers milieux à propos d’une multitude de sujets touchant la cybersécurité!

Pour avoir accès gratuitement au contenu de cette formation, cliquez sur ce bouton

Au cours de récentes discussions, l’idée m’est venue de rédiger un bref article. Celui-ci partagerait des astuces et conseils tirés de mon expérience accumulée au fil des ans, dans le but d’orienter les PME sur les éléments essentiels qui méritent d’y mettre un peu plus d’efforts en priorité. Bien entendu, ces conseils vont cibler la majorité, mais n’oubliez jamais que personne d’autre que vous-mêmes ne connaissez mieux votre organisation et son contexte.

TRUCS ET CONSEILS POUR LES PME

1. MISSION ET ANGLES-MORTS

Prendre un pas de recul et se poser les questions suivantes: qu’est-ce que je dois protéger? Qu’est-ce qui est important pour notre organisation? Qu’est-ce qui serait dangereux pour nous?

Il est primordial de comprendre ce que nous devons protéger et d’identifier ensuite les plus gros angles morts et points faibles. Pour s’y faire, un outil que j’ai appris à apprécier avec le temps lorsque nous accompagnions des clients était le « 18 CIS Critical Security Controls ».

Se perdre avec les gros cadres de références comme ceux du NIST ou les normes comme ISO*, etc. va-vous faire « perdre » du temps considérable s’il n’est pas requis par une quelconque réglementation de s’y conformer pour votre type d’industrie ou si ce n’est pas un requis pour obtenir certains contrats.

Cette liste de contrôles du CIS est la plus simple et celle qui apporte le plus de valeur selon-moi à une PME qui désire s’autoévaluer et identifier où il serait possible de faire des gains rapides et qui améliorerait leur posture de cyberdéfense avec des éléments concrets. Cela permettra également de suivre votre posture à l’aide d’un score dans le temps.

Le CIS présente 18 grandes catégories et on peut se fier à l’ordre qu’elles sont présentées (de façon générale) pour établir les priorités. Voici quelques exemples des premières catégories: Inventory and Control of Enterprise Assets, Inventory and Control of Software Assets, Data Protection, Secure Configuration of Enterprise Assets and Software, Account Management, etc. Une version du fichier Excel avec la liste des contrôles est disponible en cliquant sur ce lien.

Restez à l’affut, un article est en cours de rédaction sur un outil permettant aux responsables de la cybersécurité de suivre leurs différentes évaluations des cadres de contrôles ou normes via une solution gratuite! (CISO Assistant)

2. PROTECTION DES ACCÈS

La gestion des accès est une stratégie cruciale pour réduire les risques d’intrusion et de malveillance interne. Elle constitue une barrière de sécurité indispensable pour protéger les ressources et les données sensibles d’une organisation.

Utilisez des mots de passe forts et une authentification multi-facteurs (MFA) pour tous les comptes. Limitez également les privilèges d’accès aux données et aux systèmes critiques à ceux qui en ont réellement besoin.

Toute organisation qui ne l’a pas encore mise en œuvre se trouve, à mon avis, au bord d’un incident de sécurité potentiel. En effet, le MFA ajoute une couche de sécurité essentielle en exigeant plusieurs preuves d’identité pour accéder à un système, ce qui complique considérablement les tentatives d’intrusion non autorisées. Compte tenu de l’augmentation des cyberattaques et des violations de données, l’implémentation du MFA n’est plus une option, mais une nécessité pour toute entreprise soucieuse de sécuriser ses informations et celles de ses utilisateurs.

Le Centre canadien pour la cybersécurité (CCCS) a rendu disponible de la documentation sur ce sujet et elle est disponible directement sur leur site Web.

3. FORMER LES EMPLOYÉS

L’erreur humaine est l’une des principales causes de cyberattaques. Former les employés peut aider à réduire significativement les risques d’hameçonnage et d’erreurs de manipulation qui pourrait mettre à risque votre organisation.

Proposez des formations régulières sur les menaces courantes (phishing, ransomware) et les bonnes pratiques de cybersécurité, comme l’identification de liens suspects et la protection des informations sensibles.

Une stratégie captivante que j’ai pu observer ces dernières années est la ludification des activités issues de la formation. Par exemple, le signalement de chaque courriel malveillant, qu’il s’agisse de liens nuisibles ou de tentatives d’hameçonnage. Chaque signalement confirmé comme une réelle menace offrait des chances de remporter un prix et une reconnaissance lors de divers événements internes de l’entreprise. (Exemple : les trois meilleurs « protecteurs de l’entreprise » recevaient chacun une carte-cadeau de 100$ pour un restaurant ou un gym de leur choix).

Depuis déjà un bon moment, du contenu de sensibilisation instructif est offert par CY-clic, plusieurs vidéos gratuites sont disponibles sur YouTube et ils offrent également des formations dédiées aux PME en terme de sensibilisation pour les employés.

4. SAUVEGARDES SÉCURISÉES

Les sauvegardes sont essentielles pour assurer la continuité des activités d’une entreprise en permettant une récupération rapide et efficace des données en cas d’incident, tel qu’une cyberattaque, en particulier celles impliquant des ransomwares, ou une panne technique. Elles constituent une composante cruciale de la stratégie de gestion des risques informatiques, offrant une protection solide contre la perte de données potentiellement dévastatrice et garantissant que les opérations peuvent être restaurées avec un minimum de perturbation.

Mentionner que vous devez effectuer des sauvegardes peut sembler simple, mais j’aimerais vous donner quelques pistes de réflexion pour vous assurer que votre processus soit optimal :

  • Veillez à disposer de sauvegardes immuables, c’est-à-dire non modifiables, qui sont stockées en dehors de votre environnement et de votre infrastructure. La majorité des solutions technologiques vous offrent cette option, ne la négligez pas.
  • Ayez en votre possession  un plan pour la restauration complète de vos données. Votre fournisseur offre-t-il la possibilité de récupérer aisément une copie physique des données afin de les réintégrer dans votre nouvelle infrastructure ? Votre connexion de télécommunication, ainsi que celle de votre fournisseur, sont-elles suffisamment robustes pour permettre un transfert via Internet ou une connexion privée ? Dans l’affirmative, quelle serait la durée estimée du processus ?
  • Déterminez la priorité des services et systèmes à restaurer. Disposez-vous d’applications critiques ? Un Active Directory ou d’autres systèmes dont dépendent les fonctionnalités d’autres services ? Etc.
Documentation sur les sauvegardes par le Centre Canadian pour la cybersécurité (CSSS)

5. PROTECTION DES ACTIFS

Les failles logicielles sont fréquemment ciblées par les cyberattaquants. Garder les systèmes à jour diminue grandement le risque d’intrusions.

Il est conseillé de mettre en place une politique de gestion des mises à jour pour garantir l’actualisation de tous les logiciels et équipements (système d’exploitation, équipement de télécommunication, etc.). Il est aussi recommandé d’utiliser des outils de surveillance afin d’identifier toute activité anormale et d’intervenir promptement en cas d’incident.

L’un des autres aspects clés à considérer dans les bases à couvrir est de s’assurer que vos actifs soient à jour le plus rapidement possible. Considérant le nombre impressionnant de nouvelles vulnérabilités chaque semaine, j’ai observé plusieurs organisations qui se concentraient sur celles pouvant avoir le plus gros impact ou encore le plus facile à exploiter (par exemple un service exposé sur Internet). Posséder un inventaire de vos actifs et connaître ceux qui sont exposés à l’externe peut définitivement vous aider lors de la priorisation des correctifs.

Je pense que la gestion des vulnérabilités est un sujet complexe pour la plupart des organisations, car cela nécessite une connaissance approfondie du contexte de l’entreprise et surtout, une évaluation rigoureuse du risque par rapport à l’impact sur l’organisation lors de la planification des mises à jour des services qui seront temporairement indisponibles.

Le score CVSS (Qu’est-ce que le CVSS?) peut, dans la majorité des cas, aider une organisation à définir la priorité à accorder à une vulnérabilité. Il s’agit d’un bon point de départ et lors de la divulgation des vulnérabilités par les différents fournisseurs (CVE), ce score est fourni par défaut avec l’avis. (Appliquer les correctifs aux systèmes d’exploitation et aux applications)

Je vais légèrement dévier du sujet de la vulnérabilité pour parler de la surveillance, qui est tout aussi importante: veillez à ce que chacun de vos actifs, qu’il s’agisse de postes de travail ou de serveurs, soit équipé d’une solution de sécurité antivirus et/ou EDR. (Protéger votre organisation contre les maliciels)

EN CONCLUSION

Si vous avez prêté attention, vous aurez remarqué que les éléments mentionnés figurent déjà dans les contrôles du CIS 18. C’est pourquoi je pense qu’une action immédiate à entreprendre après avoir lu cet article serait de procéder à une autoévaluation (seul ou avec l’aide d’un partenaire de confiance expert en cybersécurité) pour identifier ce que vous faites bien actuellement et ce que vous pourriez améliorer pour l’avenir au sein de votre organisation.

Abonnez-vous à l’infolettre afin de recevoir les dernières mises à jour concernant les nouvelles formations disponibles et autres informations sur le développement de CFQ.

Jean-François Brouillette

La carrière de Jean-François a débuté dans la gestion de systèmes informatiques il y a un peu plus d’une dizaine d’années avant de se spécialiser en cybersécurité. Il a passé quelques années à agir à titre de consultant et à répondre à des situations de crises à travers le monde dans des organisations d’envergures lors de cyberattaques. Jean-François s’est ensuite joint à l’équipe de la Banque Nationale du Canada afin d’appuyer leur équipe de cyberdéfense et aider à faire progresser la pratique de réponse aux cyberincidents. Sa motivation a toujours été de contribuer, en utilisant ses compétences, à prévenir les cyberattaques et de compliquer, le plus possible, la vie des cybercriminels.

Vous pourriez également aimer

Comment les acteurs malicieux contournent vos protections Web
4 mars 2024

Je sors d’une présentation dans laquelle il était sujet de protection contre les attaques de type « déni de service distribué ». Malgré que la principale solution exposée par les présentateurs m’était déjà connue, j’ai tout de suite réfléchi à …

Protégez-vous des menaces émergentes: bloquez les nouveaux domaines.
14 novembre 2023

Lorsque vos équipes de cybersécurité analysent les menaces auxquelles vous faites face, je serais prêt à mettre un 2$ que bien souvent lorsqu’un logiciel malveillant s’exécute ou qu’un lien suspect est cliqué, il y a un nom de domaine récemment …

Les codes QR pour déjouer vos défenses antihameçonnage.
12 novembre 2023

La menace de l’heure: pour l’instant. Dans les derniers mois, une tendance semble se dessiner avec la hausse fulgurante des courriels d’hameçonnage (phishing) qui utilisent des codes QR pour contourner les solutions de cybersécurité en place. Cette technique s’est vue …