Sélection de la langue

Établir un périmètre de défense de base

Petites et moyennes organisations : Établir un périmètre de défense de base

Les auteurs de cybermenace peuvent exploiter des réseaux et des dispositifs connectés à Internet. Grâce à l’établissement d’un périmètre de défense de base, votre organisation peut mettre en place des réseaux dont la sécurité est accrue et protéger l’information sensible.

Quels sont des exemples associés à un périmètre de défense de base?

Votre organisation devrait appliquer un coupe-feu spécialisé. Un coupe-feu consiste en un système de sécurité réseau matériel (ou logiciel) qui surveille et contrôle le flux de trafic réseau à l’aide d’un ensemble de règles de sécurité. Les coupe-feux se trouvent aux entrées des réseaux et ont pour objectif de protéger les réseaux contre les cybermenaces.

Votre organisation devrait appliquer un coupe-feu doté d’un système d’adressage par domaines (DNS). Un DNS est l’équivalent Internet d’un annuaire téléphonique, c’est à-dire qu’il traduit les noms de domaine en adresses de protocole Internet (IP). Les coupe feux DNS permettent d’empêcher les utilisateurs et les dispositifs de se connecter à des sites Web Internet malveillants connus en se servant des renseignements sur les menaces fournis par la collectivité de la cybersécurité.

Votre organisation doit également prendre en compte d’autres risques si elle permet à son personnel de travailler à l’extérieur du bureau (soit de la maison ou sur la route) et de se connecter à distance à un réseau Internet. Le cas échéant, elle doit comprendre les avantages et les risques associés à la connexion à un réseau privé virtuel (RPV). Si elle utilise un RPV, elle doit s’assurer que le réseau est chiffré et exiger une authentification à deux facteurs.

Votre organisation utilise probablement des réseaux sans fil (WiFi) en raison des avantages qui y sont associés, comme la mobilité, la simplicité et les faibles coûts connexes. Lorsqu’un réseau WiFi est utilisé, il faut éviter toute connexion à des réseaux publics. Nous recommandons plutôt de se connecter à des réseaux sécurisés qui présentent une authentification forte (protocole de sécurité sans fil WPA2). Si votre organisation met à la disposition des visiteurs et des invités des services WiFi, il ne faut jamais connecter le réseau public au réseau et aux ressources internes.

Votre organisation doit s’assurer de séparer les terminaux de point de vente et les systèmes financiers, en les isolant d’Internet et d’autres zones du réseau interne au moyen d’un coupe-feu. Votre organisation devrait appliquer les normes de sécurité sur les données de l’industrie des cartes de paiement (PCI DSS), qui sont des normes de sécurité de l’information visant à renforcer les contrôles liés aux données des cartes de crédit et à réduire la fraude.

Votre organisation devrait mettre en place des mesures de sécurité pour protéger ses services de courriel. Nous recommandons d’appliquer la spécification DMARC (de l’anglais Domain-Based Message Authentication, Reporting and Conformance). Il s’agit d’un système axé sur des politiques, des rapports et l’authentification de courriel qui peut détecter et prévenir la falsification d’adresse courriels liées à des expéditeurs. DMARC permet aussi de détecter les pourriels et les courriels malveillants.

Recommandations pour votre organisation :

  • Installer un coupe-feu spécialisé à la frontière entre le réseau interne et Internet;
  • Appliquer un coupe-feu DNS pour les requêtes DNS sortantes vers Internet;
  • Utiliser une connectivité RPV sécurisée exigeant une authentification à deux facteurs pour tous les accès à distance au réseau interne;
  • Utiliser un réseau WiFi sécurisé pour les réseaux internes;
  • Éviter de connecter des réseaux WiFi publics à votre réseau interne;
  • Appliquer les PCI DSS pour tous les terminaux de point de vente;
  • Appliquer un coupe-feu pour isoler les terminaux de point de vente d’Internet et d’autres zones du réseau interne;
  • Appliquer DMARC pour les services de courriel.

Information supplémentaire :

Date de modification :