Petites et moyennes organisations : En route vers la sécurité d’entreprise
Les avis et les conseils en matière de cybersécurité peuvent signifier diverses choses pour différentes organisations. L’objectif du présent blogue consiste à suggérer d’autres mesures à prendre si votre organisation a déjà mis en œuvre les contrôles de base et souhaite améliorer davantage sa sécurité d’entreprise. Nous avons aussi inclus certaines de nos ressources et certains de nos outils en matière de cybersécurité, de même que des ressources provenant de nos partenaires et d’autres fournisseurs dans le domaine.
De quelle façon votre organisation peut-elle améliorer sa sécurité d’entreprise?
L’application des contrôles de base constitue le point de départ vers la sécurité d’entreprise. Chaque mesure supplémentaire prise par la suite est basée sur les conseils et les outils provenant du Centre pour la cybersécurité, de nos partenaires et d’autres fournisseurs. Votre organisation peut prendre des mesures supplémentaires pour améliorer sa cybersécurité. Pour ce faire, elle devra graduellement augmenter ses investissements et le temps alloué, et chaque mesure gagnera en complexité.
Description de l'image
Les étapes vers la sécurité d'entreprise.
- Nous recommandons d’abord d’appliquer les contrôles de base, qui sont conçus pour assurer un équilibre entre les investissements et les résultats obtenus en matière de sécurité.
- Les organisations qui souhaitent prendre des mesures supplémentaires devraient consulter les ressources suivantes :
- Le Center for Internet Security (CIS) Controls (en anglais seulement) qui recommande des mesures basées sur des pratiques exemplaires. Votre organisation peut évaluer plusieurs de ces contrôles en utilisant des éléments de la trousse d’outils en matière de cybersécurité de la Global Cyber Alliance (GCA);
- Les 10 principales mesures de sécurité des TI du Centre pour la cybersécurité qui sont une liste de dix mesures recommandées que votre organisation peut prendre pour renforcer son infrastructure des TI et protéger ses réseaux;
- Le Cyber Security Framework (CSF) du NIST (en anglais seulement) qui réunit des normes, des lignes directrices et des pratiques exemplaires concernant la gestion des risques en matière de cybersécurité dans un contexte de rentabilité. Le CSF est largement adopté dans l’industrie et présente de nombreuses sources aux fins de consultation, de formation et de mise en œuvre du Cadre;
- ISO/IEC 27001 : 2013 qui constitue la norme internationale en matière de cybersécurité. Il y a une industrie liée à la mise en œuvre de cette norme et à la certification connexe. Votre organisation devrait consulter la norme ISO/IEC 27001 : 2013 si elle souhaite obtenir la certification attestant de sa cybersécurité;
- Normes nationales en matière de cybersécurité. L’ITSG-33 présente les avis et les conseils de base du gouvernement du Canada en ce qui a trait à la gestion des risques en matière de sécurité des TI. Si votre organisation cherche à obtenir des conseils de base relatifs à la sécurité d’entreprise, elle devrait consulter ce cadre.
Remarque : Le document ITSG-33 est l’équivalent canadien du document NIST 800-53 (en anglais seulement). Les catalogues de contrôle de ces deux cadres présentent un chevauchement important. Le cadre de NIST s’avère utile si votre organisation a des relations avec le gouvernement des États Unis.
Les mesures énoncées ci-dessus sont présentées dans un ordre croissant sur le plan des investissements, du temps alloué et de la complexité. Votre organisation peut toutefois adopter ces mesures dans l’ordre qui lui convient.
Obtenez la certification CyberSécuritaire Canada
Le nouveau programme de certification CyberSécuritaire Canada, qui relève d’Innovation, Sciences et Développement économique Canada, est une façon économique et facile pour votre organisation de démontrer que ses activités sont conformes aux contrôles de cybersécurité de base. Grâce à cette certification, vos clients et partenaires sont à même de constater que vous avez investi en cybersécurité.
Recommandations pour votre organisation :
- Mettre en place les contrôles de base pour commencer;
- Obtenir la certification CyberSécuritaire Canada;
- Étudier la possibilité de mettre en œuvre des mesures plus complexes visant le renforcement de sa cybersécurité au fil du temps.