Lumière sur les différents types et risques de cyberattaques et nos recommandations pour s’en protéger — Partie 2 - L'Associé
16853
post-template-default,single,single-post,postid-16853,single-format-standard,ajax_fade,page_not_loaded,,qode-child-theme-ver-1.0.0,qode-theme-ver-17.2,qode-theme-bridge,qode_header_in_grid,wpb-js-composer js-comp-ver-6.4.1,vc_responsive

Lumière sur les différents types et risques de cyberattaques et nos recommandations pour s’en protéger — Partie 2

19 Oct Lumière sur les différents types et risques de cyberattaques et nos recommandations pour s’en protéger — Partie 2

Publié a 10:38h dans Blogue par
0 J'aimes

Deuxième partie de notre article de blogue dédié à la sensibilisation sur la cybersécurité, dans ce mois dédié à cette même cause. Après une première partie dédié à la définition des différents type de cyberattaques, cette partie sera consacrée à l’identification de problèmes, avec quelques recommandations pour tenter d’y remédier.

Configurer vos dispositifs pour assurer votre sécurité

Les fournisseurs et revendeurs configurent les outils de façon globale afin de s’adapter aux grands nombres de clients qu’ils gèrent. Les paramètres et mots de passe par défaut en font partie. Ils sont créés de façon simple afin d’accélérer le processus d’installation et de simplifier la gestion. Un manque de sécurité à ce niveau mène à ce que nos systèmes deviennent des cibles faciles.

Comment protéger vos dispositifs?

Les cyberattaques les plus fréquentes exploitent les mots de passe administratifs et les paramètres par défaut non sécurisés de vos dispositifs. Voici une série de mesures que vous devriez prendre en compte lors de l’installation de vos nouveaux dispositifs et logiciels :

  • Changer tous vos mots de passe administratifs ;
  • Examiner tous les paramètres de vos appareils ;
  • Désactiver les fonctions inutiles ;
  • Activer toutes les fonctions de sécurité nécessaires.

Quelques recommandations :

  • Modifier les paramètres par défaut non sécurisés lors de l’installation de nouveaux dispositifs et logiciels ;
  • Installer des configurations sécurisées pour tous de vos appareils .

Sites web sécurisés

Pour beaucoup de petites organisations et d’associations, un site internet représente un des canaux principaux de leurs activités. Un site internet non fonctionnel ou obsolète peut entraîner des répercussions néfastes sur les activités et la réputation d’une organisation. Votre association devrait sécuriser convenablement sa présence sur internet afin d’éviter de potentiels problèmes comme une altération de la confiance de sa clientèle ou encore la compromission d’informations sensibles.

Par quels moyens votre organisation peut sécuriser sa présence web ?

Premièrement, votre organisation peut sécuriser son site internet par l’application « Security Verification Standard » (ASVS) mise au point par « Open Web Application Security Project » (OWASP). C’est une norme qui propose une liste d’exigence et de contrôles en matière de sécurité à appliquer à toutes les phases de développement d’application web.

L’ASVS se fie sur des cas réels et des témoignages qui lui permettent d’être présente sur des domaines tels que la sécurité des transactions, la protection des données, l’authentification ou les contrôles de maliciels.

Recommandations principales :

  • S’assurer que vos sites et applications web sont conformes aux lignes directrices de niveau 1 de l’ASVS d’OWASP ;

Utiliser une authentification forte

Veiller à une forte authentification pour accéder à vos différents dispositifs et systèmes d’information permet à votre association d’améliorer sa posture globale face à la cybersécurité.

En quoi cela consiste?

L’une des manières les plus utilisées par les cyberattaquants pour accéder aux systèmes d’information consiste à deviner les mots de passe. C’est une façon qui fonctionne extrêmement bien, car il est assez difficile de choisir et de se souvenir de plusieurs mots de passe complexes pour différents appareils et applications web.

Votre organisation peut envisager de mettre en place une politique relative aux mots de passe (ex. : quand changer un mot de passe). Attention aux gestionnaires de mots de passe : ils sont très pratiques, mais présentent un risque si vous y mettez des mots de passe sensibles (administratif, informations bancaires, etc.)

L’authentification à deux facteurs permet de renforcer la sécurité de vos comptes et dispositifs, car la connexion repose sur deux méthodes d’identification (ex. : un mot de passe et l’envoi d’un code sur votre cellulaire).

Quelques recommandations :

  • Mettre en place une politique relative aux mots de passe ;
  • Privilégier les phrases de passe, plutôt que les mots de passe.

L’externalisation des TI

La plupart des petites organisations et associations ont recours à des fournisseurs externes pour répondre à leurs besoins en matière de TI. Les services de nuages, solution fortement utilisée, présentent également des enjeux en matière de cybersécurité.

Quels sont les différents types de services de TI offerts en externe?

Le nuage, le stockage, le traitement, l’hébergement, les applications, etc. Beaucoup d’avantages se distinguent par ces services :

  • Réduction des coûts d’achat, de maintenance, de mises à niveau des logiciels ;
  • Pas besoin de développer et maintenir une expertise TI en interne ;
  • Avoir accès à des services adaptés et flexibles selon les besoins de votre organisation  ;
  • Des services de sauvegarde externes.

Nombreux sont les avantages, mais la question des risques se pose aussi. Confier ses informations en externe nous pousse à réfléchir sur la manière dont ces fournisseurs s’occuperont et traiteront l’information sensible. Des accords et une sécurité sont à mettre en place de ce côté (conformité aux principes des services Trust).

La problématique des données est également primordiale. Si votre fournisseur stocke ses données sur des serveurs basés dans d’autres pays, cela induit que vos données sont soumises à des lois différentes en matière de protection de la vie privée.

Quelques recommandations :

  • Établir dans quelle mesure les fournisseurs de services informatiques externes traitent l’information sensible et y accèdent ;
  • Évaluer les pouvoirs juridiques des pays où vos fournisseurs stockent et utilisent l’information sensible ; S’assurer que vos réseaux et les utilisateurs interagissent de façon sécurisée avec tous les services et toutes les applications infonuagiques.

Les logiciels de sécurité

Les auteurs de cyberattaques se servent de maliciels pour compromettre les réseaux de votre association. Il est fortement conseillé de mettre en place des solutions logicielles de sécurité pour s’en protéger.

Qu’est-ce qu’un maliciel et comment s’en protéger ?

Un maliciel (malware, en anglais)est un logiciel conçu pour infiltrer et/ou endommager un système informatique. Votre organisation doit se protéger contre les menaces que posent les maliciels connus (ceux que les chercheurs/les entreprises spécialisées en sécurité connaissent et pour lesquels on peut se protéger par des logiciels de sécurité). Des solutions antivirus, antimaliciels et des logiciels coupe-feux peuvent vous aider à vous protéger contre cela.

La cybersécurité, c’est l’affaire de tous… mêlons-nous de nos affaires et protégeons-nous!

Sources : Centre de la sécurité et des télécommunications du Canada (1), OOdrive (2), Vie-Publique.fr (3)

Tags:
Aucun commentaires

Sorry, the comment form is closed at this time.