Sécurité publique Canada renforce les protocoles de cybersécurité pour les infrastructures essentielles

Sécurité publique Canada (« Sécurité publique ») a récemment publié le guide intitulé Renforcer la résilience des infrastructures essentielles du Canada aux risques internes (le « Guide »), lequel a pour but d’aider les organisations canadiennes à élaborer des programmes efficaces pour atténuer les menaces à la sécurité provenant de sources internes et pour intervenir en cas de telles menaces.

On entend généralement par infrastructures essentielles « l’ensemble des processus, des systèmes, des installations, des technologies, des réseaux, des biens et des services nécessaires pour assurer la santé, la sûreté, la sécurité ou le bien-être économique des Canadiens et des Canadiennes ainsi que l’efficacité du gouvernement. » Au cours des dernières années, Sécurité publique s’est penchée sur la perturbation potentielle des infrastructures essentielles qui pourrait se traduire en pertes de vie et en effets économiques néfastes, et qui pourrait ébranler considérablement la confiance du grand public.

À cet égard, Sécurité publique a identifié dix secteurs ayant des infrastructures essentielles qui nécessitent des partenariats de sécurité entre les gouvernements (fédéral et provinciaux) et les intervenants sectoriels. Ces dix secteurs sont la santé, l’alimentation, les finances, l’eau, les technologies de l’information et de la communication, la sécurité, l’énergie et les services publics, le secteur manufacturier, le gouvernement et le transport.

GUIDE

Sécurité publique porte une attention de plus en plus vigilante à la cybersécurité des infrastructures essentielles au Canada. À cet effet, le ministère a publié plusieurs documents d’orientation visant à aider les organisations à améliorer et à renforcer leur état de préparation en matière de cybersécurité. Bien que le Guide porte principalement sur les menaces internes, il reconnaît également le rôle croissant des cybermenaces, et bon nombre des recommandations s’y trouvant s’appliquent tant à la sécurité physique qu’à la cybersécurité.

Selon le Guide, un risque interne se définit comme toute personne qui possède des connaissances ou un accès à l’infrastructure physique ou informatique d’une organisation et ayant la capacité de nuire aux employés, aux clients, aux biens, à la réputation ou aux intérêts de l’organisation. Les risques internes peuvent provenir des employés, des partenaires, des associés ou des tiers fournisseurs de service d’une organisation. Ils peuvent également provenir d’organisations externes ayant accès au réseau interne, aux ressources, au personnel, aux installations et aux actifs numériques d’une organisation. Le Guide propose plusieurs mesures à effet rapide qui sont classées selon les trois grands thèmes résumés ci-après.

ÉTABLIR UNE CULTURE DE SÉCURITÉ

Le Guide recommande aux organisations de se munir de politiques, de procédures et de contrôles adéquats pour favoriser une culture de sécurité dans laquelle la responsabilité incomberait à tous les employés. L’engagement et l’obligation de reddition de compte de la haute direction constituent la pierre angulaire de l’adhésion des employés à une telle culture. Le Guide propose de désigner un cadre supérieur de l’organisation comme « champion » des initiatives en matière de sécurité. Ce cadre aurait notamment pour responsabilité l’élaboration d’une politique en matière sécurité, avec l’appui d’un groupe de travail composé de membres de divers services et de diverses divisions de l’organisation, notamment les ressources humaines, le service juridique, la protection de la vie privée, les communications, les services technologiques et la sécurité.

Le Guide recommande également aux organisations d’élaborer des politiques claires en matière de sécurité prévoyant des formations offertes aux employés et des mesures de filtrage de sécurité. Ces politiques devraient s’appliquer à tous les employés, ainsi qu’aux entrepreneurs et aux sous-traitants, et comprendre à tout le moins les mesures suivantes :

  • des vérifications préalables à l’emploi qui sont adaptées au niveau de risque évalué pour chaque poste à combler; les postes ayant un plus grand accès aux renseignements de nature délicate devraient faire l’objet de vérifications de sécurité plus rigoureuses;
  • la présélection des employés en fonction des exigences des postes à combler et l’attribution de niveaux de risque appropriés aux employés en fonction de la criticité des données et des secteurs auxquels ces employés ont accès;
  • l’évaluation périodique des postes afin de cerner tout changement possible aux responsabilités, et l’ajustement du niveau de risque au besoin;
  • l’établissement, au sein des politiques de sécurité mises en place par l’organisation, d’attentes claires en ce qui a trait à l’accès aux comptes, au contrôle des mots de passe, à l’accès aux installations physiques et numériques, à l’utilisation personnelle d’Internet, au téléchargement et au stockage de données personnelles, à la participation des employés à des exercices de formation réguliers, et aux mesures correctives.

Afin de réduire les risques liés aux partenaires commerciaux, il est recommandé que les organisations établissent des relations à long terme avec leurs fournisseurs de services clés. Avant d’établir de telles relations, les organisations devraient réaliser des évaluations de risques afin de cerner les préoccupations en matière de sécurité liées à l’accès de tiers aux systèmes et aux données. Il est également recommandé aux organisations d’analyser la sécurité interne des tiers fournisseurs. Ces analyses devraient comprendre notamment la vérification des antécédents des employés de ces fournisseurs et la conclusion d’ententes de sécurité avec ces derniers.

LES EMPLOYÉS EN TANT QUE RESSOURCES DE SÉCURITÉ

Les employés d’une organisation sont les atouts les plus importants de celle-ci au chapitre de la détection et du signalement des risques internes potentiels. Les formations offertes périodiquement, les exercices et les programmes d’aide aux employés promeuvent une culture de vigilance en matière de sécurité en favorisant la sensibilisation aux risques et la proactivité.

Le Guide présente une liste partielle de caractéristiques et de comportements d’employés qui peuvent mener à des risques internes et que les employés devraient apprendre à reconnaître, notamment :

  • l’abus d’alcool ou d’autres drogues, ou les changements dans la situation financière;
  • une personnalité argumentative ou agressive au travail, le non-respect des politiques et des procédures, ou des tentatives fréquentes d’accès à des biens non autorisés;
  • l’absentéisme, les déplacements non autorisés, une cessation d’emploi ou une démission inattendue;
  • des contacts non autorisés avec des représentants étrangers ou des concurrents;

Il est également recommandé aux organisations d’établir un processus permettant de signaler et de suivre de façon confidentielle les comportements inhabituels ou les incidents potentiels.

POLITIQUE RELATIVE AUX BIENS ESSENTIELS

Selon le Guide, un bien essentiel se veut tout bien qui aurait une incidence sur la confidentialité ou l’accessibilité des services essentiels s’il est modifié ou détruit. Le Guide recommande qu’une évaluation soit menée à l’échelle de l’organisation afin de cerner les biens essentiels et de les protéger au moyen des mesures suivantes :

  • surveiller l’utilisation des systèmes et l’accès aux installations, et déterminer quelles données sont envoyées à des tiers et de quelle façon la transmission est effectuée;
  • appliquer le principe de droit d’accès minimal, selon lequel les utilisateurs disposent du niveau minimal d’accès requis leur permettant de s’acquitter efficacement de leurs fonctions;
  • répartir les fonctions principales parmi plusieurs personnes pour qu’il soit plus difficile à une seule personne d’abuser de l’accès aux données de nature délicate;

Les atteintes à la sécurité se produisent souvent par l’intermédiaire de l’accès à distance accordé par l’organisation. Il importe donc d’établir des procédures pour le suivi de l’accès à distance et des dispositifs d’extrémités. L’accès aux systèmes essentiels par le personnel présent sur les lieux de travail devrait également être limité. De plus, l’accès à distance devrait être autorisé avec prudence et pleinement documenté.

Les organisations doivent avoir en place des plans de sauvegarde et de reprise pour leurs systèmes et leurs données essentielles. De tels plans doivent comprendre des contrôles sur l’accès à la documentation et aux données de sauvegarde physique, y compris les mesures de sécurité qui suivent :

  • aucune personne ne devrait avoir accès à la fois aux données en ligne et au support de sauvegarde physique;
  • les organisations doivent exiger que les tiers avec lesquels elles font affaire lui communiquent la liste complète des sous-traitants leur fournissant des services, y compris les services de stockage hors site;
  • les procédures de sauvegarde et de récupération doivent être mises à l’essai régulièrement.

Les organisations doivent élaborer et mettre en œuvre des politiques, des procédures et des contrôles concernant l’accès à l’information et aux données. Dans la mesure du possible, elles doivent également surveiller et regrouper les points d’accès à Internet et mettre en place des politiques transparentes concernant l’utilisation des sites de réseautage social, car toute information publiée sur ceux-ci est accessible. Il est aussi recommandé de limiter ou de restreindre l’usage des dispositifs de stockage portatifs, notamment s’ils sont connectés au réseau de l’organisation.

CONCLUSION

Pour toute organisation, les risques internes constituent des dangers qui peuvent être atténués par la mise en œuvre de politiques et de mesures axées sur l’engagement des employés, la surveillance de l’utilisation des technologies et du transfert des données, ainsi que la mise en place de plans de sauvegarde et de reprise. L’approche globale proposée par Sécurité publique commence avant qu’une organisation accorde à ses employés ou à ses tiers fournisseurs l’accès à ses infrastructures essentielles et porte sur la période complète durant laquelle ces utilisateurs sont liés à l’organisation en question. Si, en raison des coûts ou de ressources limitées, une organisation ne peut mettre en œuvre intégralement l’approche proposée par Sécurité publique, elle aurait avantage à concentrer ses efforts sur la gestion de ses politiques essentielles.

Pour en savoir davantage, communiquez avec :

Sunny Handa                            514-982-4008
Hélène Deschamps Marquis     514-982-4042
Imran Ahmad                               416-863-4329
Darren Reed                              604-631-9640

ou un autre membre de notre groupe Cybersecurité.

Les communications de Blakes et de Classes affaires de Blakes sont publiées à titre informatif uniquement et ne constituent pas un avis juridique ni une opinion sur un quelconque sujet.

Nous serons heureux de vous fournir d’autres renseignements ou des conseils sur des situations particulières si vous le souhaitez.

Pour obtenir l’autorisation de reproduire les articles, veuillez communiquer avec le service Marketing et relations avec les clients de Blakes par courriel à l’adresse communications@blakes.com. © 2019 Blake, Cassels & Graydon S.E.N.C.R.L./s.r.l.