Des responsables des technologies au sein d’organisations, des dirigeants d’entreprises de l’industrie des TIC et des observateurs répondent à trois questions liées à la thématique de notre dossier.
 |
 |
 |
| Eric Parent
Président du conseil Association de sécurité informatique du Montréal métropolitain |
François Coallier
Directeur du développement technologique et des services académiques École de technologie supérieure |
Alain Scherrer
Associé principal SecurEcom Services Conseils |
Comment une organisation peut-elle réduire les risques liés à l’emploi des appareils mobiles corporatifs ou personnels?
Eric Parent : Il faut accueillir et encadrer l’utilisation de ces appareils, sinon les gens tenteront de bonne foi de trouver une façon de contourner une embuche technologique.
Par exemple, une personne pourrait utiliser un calendrier en ligne pour synchroniser son agenda, sans réaliser qu’une brèche de sécurité serait créée si on lui transmettait un document confidentiel lors d’une invitation à une réunion.
Il faut établir des règles raisonnables, mais aussi effectuer des contrôles. Si on ne vérifie pas si les gens suivent les règles, cela ne donne pas grand-chose d’en établir.
Il faut une politique bien connue et qui a du mordant. Si on met en place les mécanismes qui permettent aux gens de faire leur boulot le mieux possible avec ces outils mobiles, mais qu’on en surprend qui transfèrent des documents confidentiels à l’externe, il faut avoir des réprimandes ou une façon de les sensibiliser aux conséquences de leurs gestes. Sinon, ça revient à donner une tape sur les doigts.
François Coallier : L’approche la plus sécuritaire serait de ne pas avoir de données sur les appareils. Puisqu’ils sont branchés à Internet, on peut avoir un accès en client léger ou recourir à un environnement virtuel. Il est alors possible d’avoir un accès sécurisé à distance aux données résidant sur le serveur.
Qu’il s’agisse d’appareils personnels ou appartenant à l’organisation, un bon mot de passe ne fait pas de tort. Aussi, des services de géolocalisation et d’effacement à distance sont disponibles.
Alain Scherrer : Il faut une politique d’utilisation des appareils mobiles qui doit être entérinée par la haute direction, afin de communiquer un message clair aux employés. Cette politique doit indiquer ce qui est permis ou non de faire avec ces appareils, quel traitement peut y être exécuté et quelle information peut y être manipulée.
L’entreprise doit tester et choisir les modèles d’appareils soutenus en fonction de critères et de tests bien définis afin de diminuer les aspects liés aux vulnérabilités, mais aussi pour en cerner les forces, les faiblesses et les possibilités d’utilisation.
Enfin, il faut mettre en place une infrastructure qui permet de synchroniser les appareils et de protéger l’accès au réseau de l’entreprise.
Quelles garanties doit-on obtenir d’un fournisseur d’applications en nuage fiable?
Eric Parent : Il faut établir une entente qui précise où les données de l’organisation sont stockées géographiquement. En ayant recours à l’informatique en nuage, on pourrait avoir le réflexe de ne plus se soucier de la redondance ou de la sauvegarde des données. Il faut au contraire s’en préoccuper.Il faut établir une entente de niveau de service qui comporte des indicateurs de performance et des clauses importantes, comme la réception d’un avis lors d’une brèche de sécurité. L’obtention d’un rapport mensuel est essentielle. Aussi, il faut un mécanisme de réduction des frais réaliste si le service n’est pas rendu au moment où on en a besoin.
En informatique en nuage, le plus gros problème a trait à l’extraction des données si l’entente ne fonctionne plus ou si on décide de faire autre chose plus tard. Il faut établir une clause claire à cet égard.
François Coallier : Il faut effectuer des contrôles diligents pour connaître la réputation du fournisseur et lui poser des questions pointues. Par exemple, il faut savoir quelles sont ses certifications et comment est conçu son centre de données.
N’oublions pas qu’on peut mettre ce qu’on veut dans un contrat. Parfois, les clauses de pénalité ne dédommageront pas adéquatement les impacts sur la clientèle et sur la réputation lorsqu’un problème survient… Un contrat sert à communiquer ses attentes au fournisseur : lorsqu’on évoque des clauses de pénalité, c’est qu’on veut éviter des situations problématiques.
Alain Scherrer : Au départ, il faut définir le niveau de confidentialité et d’intégrité pour l’information qui sera hébergée sur le nuage. Le fournisseur doit garantir la mise en place de mécanismes de chiffrement qui répondront à ce besoin. La disponibilité doit être convenue avec l’hébergeur, à savoir tous les éléments de redondance et de relève : il ne faut rien prendre pour acquis pour assurer la continuité des affaires.
N’oublions pas les obligations réglementaires par secteur d’entreprise que l’infrastructure du fournisseur devra respecter, comme SOX, PCI, ISO-27002. Alors que le Patriot Act donne au gouvernement américain un droit d’accès à des informations, une entreprise qui utilise un nuage hébergé aux États-Unis doit bien qualifier l’information au départ pour ne pas s’exposer à des conséquences d’affaires face aux réactions de clients. Enfin, il faut obtenir des garanties entourant la sécurité physique des infrastructures qui hébergent les différents noeuds du nuage.
Quelle est la clé d’une sensibilisation réussie des employés à la confidentialité de l’information?
Eric Parent : Il faut miser sur la fréquence des messages et l’utilisation de différents médiums. Surtout, il faut rendre le message relatif : on évoque souvent le terrorisme dans des programmes de formation, ce que les gens ici n’ont jamais vécu! Quand on fait des parallèles avec un exemple qui a un impact sur la personne, le message passe mieux.Il faut rendre l’exercice convivial, en agaçant un peu ou en faisant payer les beignes à celui qui n’a pas verrouillé son ordinateur portatif. Il existe plein de formules qui rendent la sensibilisation amusante et qui donnent des résultats.
François Coallier : Il faut les sensibiliser aux conséquences des fuites, en leur expliquant que l’information touche à la vie privée des gens, qu’il y a un risque de vol d’identité et que l’entreprise peut être poursuivie. Mais il faut aussi leur fournir des outils : si on dit qu’une pièce d’information est extrêmement sensible, mais qu’il n’y a pas de mesures pour la protéger; ou qu’il y a beaucoup de protection au niveau logique, mais que n’importe qui peut entrer dans une salle des serveurs, on risque d’avoir une perte de crédibilité auprès des employés.
Une bonne communication est essentielle, car un employé qui comprend pourquoi une pièce d’information est sensible sera plus motivé à la protéger.
Alain Scherrer : Un plan de sensibilisation doit couvrir tous les aspects réglementaires et légaux auxquels une entreprise doit se conformer. On permet alors aux employés de bien comprendre les raisons pour lesquelles l’information est sensible, ainsi que l’utilisation qu’ils peuvent en faire.
Il faut un message convaincant aux employés qui provient de la haute direction, avec des politiques et des directives de sécurité qui sont claires et qui sont endossées par les intervenants. Les gens doivent saisir qu’ils ont un rôle important à jouer dans la confidentialité de l’information.
Jean-François Ferland est rédacteur en chef adjoint au magazine Direction informatique.
