La conformité en cybersécurité : la comprendre et la mettre en pratique

Les technologies évoluent et le numérique prend de plus en plus de place dans vos gestes quotidiens ainsi que dans les différents aspects de vos vies personnelles ou professionnelles, comme les finances, les relations avec les instances gouvernementales et la clientèle. Pour ces raisons, beaucoup de procédés s’adaptent, changent et mettent en place de nouveaux processus et procédures, entre autres pour vous protéger en tant qu’individu ou en tant qu’entreprise. Ces mesures sont aussi là pour protéger toutes les personnes qui font confiance à votre organisation : votre clientèle, vos partenaires, votre personnel. C’est pourquoi de plus en plus d’organisations demandent, lorsqu’elles font affaire avec des fournisseurs de services, qu’ils répondent à leurs attentes en cybersécurité, qu’ils s’y conforment.

Qu’est-ce que la conformité en cybersécurité?

C’est le fait d’assurer à une personne ou à une organisation que les systèmes et les protocoles utilisés sont sécuritaires et se conforment à différentes normes, exigences et demandes. Bref, lorsque vous vous engagez avec un fournisseur de service, vous voulez qu’il vous garantisse la conformité de ses systèmes et la sécurité de vos données — et de celles de votre clientèle. Si vous êtes une entreprise de services, vous voulez que les organisations qui font appel à vous sachent que les outils et solutions que vous leur proposez sauront garder leurs données en sécurité. Cette assurance de cybersécurité, c’est la conformité.

Est-ce que la conformité est exigée dans tous les domaines?

Certains domaines d’activités sont plus exigeants parce que les données dont ils assurent le transit, ou qu’ils emmagasinent, et les transactions qu’ils effectuent, sont très sensibles. Par exemple, les domaines de la santé, de la finance, du militaire, de la sécurité, etc. Même si certains domaines d’affaires ont des exigences plus serrées du point de vue de la sécurité, toutes les entreprises ont un besoin minimal de sécurité, surtout si elles font des échanges de données avec leur clientèle. Votre entreprise aussi. Et l’utilisation de l’infonuagique, ou cloud, de plus en plus fréquent au quotidien peut augmenter les risques d’intrusion, surtout si l’entrée dans le cloud n’est pas adéquatement surveillée. Cela demande, donc une certaine vigilance.

Les différents services de nuage, comme Google, répondent aux exigences de sécurité et sont souvent certifiés. Ils ont donc subi des audits. Les failles de sécurité peuvent provenir pde la superposition de plusieurs systèmes informatiques qui laisseraient des brèches. Pour cette raison, vous devez vérifier votre architecture globale, et également vos pratiques de sécurité au quotidien.

Attention, les certifications ne sont pas toujours obligatoires partout. Vérifiez toujours auprès de votre fournisseur qu’il est investi dans ses obligations de sécurité, en lui envoyant un questionnaire de sécurité par exemple.

Comment savoir si votre entreprise ou votre fournisseur est conforme?

Le meilleur moyen de vérifier votre conformité ou celle d’un fournisseur, d’un client, d’un partenaire est par la tenue d’audits ou de contrôles de sécurité. Certaines organisations peuvent demander d’en avoir passé avant d’octroyer un contrat. Selon les domaines d’affaires, le territoire et d’autres critères liés aux systèmes en place, les audits à passer peuvent varier. Certains audits passent en revue et testent uniquement les systèmes informatiques. D’autres vont jusqu’à inspecter les postes de travail ou jusqu’à visiter les installations pour en vérifier les accès et la sécurité. Tout dépend des normes et des attentes des instances concernées.

En général, un audit permet d’identifier et expliquer, entre autres :

• Les risques et les menaces
• Les faiblesses du système
• Les solutions à mettre en place

Bien sûr, certains vont vous offrir plus, d’autres le strict minimum. Tout dépend de vos besoins, de votre budget, de la certification à obtenir (ou non), etc.

Quels sont les audits et les certifications qui existent?

Plusieurs audits et certifications existent. En voici quelques exemples les plus connus et utilisés.

SOC

Les SOC 1 et SOC 2, ou System and Organization Controls, sont des rapports d’évaluation de l’American Institute of Certified Public Accountants (AICPA).

Le SOC 1 aussi connu sous le nom de SSAE 18 est surtout utilisé pour vérifier la sécurité des processus métier et des systèmes informatiques lorsqu’il y a des processus financiers et que des rapports financiers sont impliqués.

Le SOC 2 consiste en un ensemble de rapports qui démontrent la conformité à des critères de confiance (TSC) : disponibilité, intégrité du traitement, confidentialité et vie privée. Cet audit vérifie, selon ces critères de confiance, les systèmes d’information de l’entreprise. Il est surtout appliqué en Amérique du Nord dans les organisations de services de toutes industries et il est attesté par un·e comptable agréé·e.

ISO 27001

La norme ISO 27001 établit les exigences d’un système de gestion de la sécurité de l’information (SGIS). Le rapport qui en résulte identifie les risques et donne des solutions pour défendre les données par des systèmes informatiques, et aussi par de bonnes pratiques. ISO 27001 est appliquée en Europe et à l’international pour les organisations de toute industrie et de toute taille. Elle est validée par un organisme de certification ISO.

CyberSécuritaire Canada

CyberSécuritaire Canada est un programme fédéral canadien de certification pour les PME. Il vise à renforcer la sécurité des environnements informatiques des petites et moyennes entreprises par l’application de 13 actions concrètes. Pour en apprendre plus à son sujet, consultez le site Accueil – CyberSécuritaire Canada.

Qui peut effectuer des audits de cybersécurité?

Les firmes spécialisées en cybersécurité peuvent vous aider et vous proposer différents types d’audits adaptés à vos besoins. Ces audits peuvent mener à des certifications mais aussi à des audits de posture de sécurité, de risques encourus, de conformité etc. Dans tous les cas, ils vont vous aider à assurer la sécurité de vos données et vous permettre de prendre les mesures nécessaires de prévention.