Facteurs à considérer par les clients de services gérés en matière de cybersécurité (ITSM.50.030)

1 Introduction

Les petites et moyennes entreprises pourraient vouloir faire appel à des fournisseurs de services pour gérer à distance l’infrastructure de technologies de l’information (TI), la cybersécurité et d’autres activités opérationnelles connexes de leur organisation. Toutefois, les fournisseurs de services gérés (FSG) sont des cibles attrayantes aux yeux des cybercriminels, car ils ont accès à de nombreux systèmes client et à une grande quantité de données. Si un FSG subit une compromission, ses clients deviennent également vulnérables; une compromission peut entraîner le vol de renseignements exclusifs et la perturbation des activités de l’entreprise, et ainsi conduire à des pertes financières et porter atteinte à la réputation d’une organisation.

Votre organisation peut utiliser ce document pour l’aider à déterminer si un FSG dispose ou non des capacités nécessaires pour fournir des services de manière efficace et sécuritaire. Ce document présente différents points liés à la sécurité dont vous devriez tenir compte avant et durant le processus d’acquisition de services de TI gérés. Il s’agit notamment des points suivants :

• sécurité des données;
• conformité juridique;
• évaluations des fournisseurs de services;
• contrôle de l’accès;
• chiffrement;
• intervention en cas d’incident;
• continuité des activités et reprise après sinistre;
• intégrité de la chaîne d’approvisionnement;
• stratégies de sortie;
• destruction de données.

Votre organisation et le FSG ont tous deux un rôle à jouer dans la protection des systèmes et des données. À titre de propriétaire des données, votre organisation est légalement responsable de leur sécurité. Par conséquent, il est crucial que vous définissiez explicitement les exigences de votre organisation en matière de sécurité et que vous posiez les bonnes questions à un FSG avant de vous inscrire à un service géré. Cette information vous permettra de définir une entente de niveau de service efficace avec le FSG.

Pour en savoir plus sur certaines pratiques exemplaires en matière de passation de marchés avec un FSG, voir Pratiques exemplaires en matière de cybersécurité : Passation de marché avec des fournisseurs de services gérés ^{Note de bas de page1}.

1.1 Services gérés

Un FSG est une entreprise qui gère à distance l’infrastructure de TI et les systèmes utilisateur au nom d’un client. Selon la MSP Alliance, les FSG présentent habituellement les caractéristiques distinctives suivantes :

• ils fournissent des services de centre d’exploitation du réseau (NOC pour Network Operations Centre) et de dépannage;
• ils surveillent et gèrent à distance la totalité ou la plupart des objets pour le compte du client;
• ils effectuent la maintenance proactive des objets qu’ils gèrent pour le compte du client; et
• ils emploient un modèle de facturation prévisible (qui donne au client le montant total exact pour les dépenses régulières liées à la gestion des TI).

Il convient de rappeler qu’il existe des différences entre les services infonuagiques et les services gérés. La principale différence concerne l’entité appelée à exercer un contrôle sur les données et les processus. Dans le cas des services gérés, le client (votre organisation) dicte la technologie et les procédures d’exploitation. Cependant, dans le cas des services infonuagiques, le fournisseur de services dicte à la fois la technologie et les procédures d’exploitation accessibles au client (votre organisation).

Dans le présent document, nous supposons que votre organisation aura recours au moins en partie à l’infrastructure infonuagique.

2 facteurs à considérer par les clients

Pour chaque point abordé dans cette section, nous incluons une description vous donnant plus de contexte, une explication des raisons derrière l’importance du sujet, et une liste de vérification des activités et des questions qui vous aideront à déterminer si un FSG convient ou non à votre organisation. Selon les besoins opérationnels de votre organisation, certains points liés à la sécurité pourraient être plus pertinents que d’autres.

Veuillez noter que ce document ne vous aide pas à déterminer les besoins opérationnels de votre organisation; ils sont propres à votre environnement organisationnel et à vos circonstances.

2.1 Sécurité des données

Avant de passer un contrat avec un fournisseur de services potentiel, vous devez établir les données qui seront accessibles au fournisseur de services et le degré de sensibilité de ces données. En comprenant vos données et leur degré de sensibilité, vous pourrez déterminer les contrôles de sécurité requis pour les protéger adéquatement.

On mesure la sensibilité des données par l’incidence qu’aurait une compromission sur la capacité de votre organisation à s’acquitter de son mandat. On classifie la sensibilité des données selon trois niveaux :

• Élevé (E) : La compromission a une incidence cruciale ou prohibitive sur la capacité de votre organisation à s’acquitter de son mandat.
• Moyen (M) : La compromission a une importante incidence sur la capacité de votre organisation à s’acquitter de son mandat.
• Faible (F) : La compromission a une incidence modérée sur la capacité de votre organisation à s’acquitter de son mandat.

La sensibilité des données tient compte de l’incidence de la compromission sur la confidentialité, l’intégrité et la disponibilité des données, soit les trois piliers de la sécurité des TI. La confidentialité protège l’information contre la divulgation non autorisée. L’intégrité protège l’information contre les changements non autorisés. La disponibilité garantit que l’information est accessible lorsqu’on en a besoin. Vous devez appliquer des valeurs élevées, moyennes et faibles à chacun de ces trois volets afin de construire un profil de sécurité des données tripartite.

Prenons comme exemple un ensemble de données dont le profil de sécurité des données est E/M/F. Vous pouvez interpréter les trois caractéristiques du profil de sécurité des données de la façon suivante :

1. Une compromission touchant la confidentialité des données (E) aurait une incidence cruciale ou prohibitive sur la capacité de votre organisation à s’acquitter de son mandat.
2. Une compromission touchant l’intégrité des données (M) aurait une importante incidence sur la capacité de votre organisation à s’acquitter de son mandat.
3. Une compromission touchant la disponibilité des données (F) aurait une incidence modérée sur la capacité de votre organisation à s’acquitter de son mandat.

La classification des données peut changer selon le moment où elles sont produites. Par exemple, le degré de sensibilité des données sur les résultats d’une élection est beaucoup plus élevé le jour même de l’élection que le lendemain. Nous vous recommandons de catégoriser vos données en fonction du degré de préjudice attendu le plus élevé qui pourrait résulter de la compromission de ces données. Voir l’annexe 1 du guide ITSG-33, Gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie ^{Note de bas de page 2} pour obtenir de plus amples renseignements sur la classification et la catégorisation de vos données.

2.2 Conformité juridique et réglementaire

Lorsque des données sont stockées à l’extérieur de l’infrastructure de votre organisation, vous devez savoir où elles sont stockées (c.-à-d. l’emplacement géographique). Les données stockées à l’extérieur du Canada sont assujetties à des lois et règlements différents en matière de protection des renseignements personnels, de sécurité et de propriété des données. Selon le domaine ou le secteur auquel appartient votre organisation, les données pourraient également être assujetties à des normes et règlements différents qui régissent la conservation, la divulgation à des tiers et la chaîne de possession.

Les lois canadiennes sur la protection des renseignements personnels (c.-à-d. la Loi sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels et les documents électroniques [LPRPDE]) correspondent aux les lois sur la protection des renseignements personnels de l’Union européenne (UE) (p. ex., le Règlement général sur la protection des données [RGPD]). Dans le cadre des lois canadiennes et européennes, les organisations doivent absolument demander aux particuliers la permission de recueillir leurs données personnelles. Au Canada et dans l’Union européenne, les particuliers ont aussi le droit d’être oubliés^{Note de bas de page2}. D’autres pays pourraient voir la protection des renseignements personnels différemment et ne pas se conformer au RGPD, ce qui pourrait nuire à la confidentialité des données de votre organisation^{Note de bas de page3}.

Si les données sont stockées à l’extérieur du Canada, des lois différentes (p. ex., les priorités en matière de sécurité nationale) pourraient avoir préséance sur les lois canadiennes sur la protection des renseignements personnels. Si vous utilisez des services gérés qui stockent des données à l’extérieur du Canada, vous devez examiner les lois applicables et les répercussions possibles sur la protection des renseignements personnels. Cette préséance pourrait nuire à la disponibilité des données des clients en cas de menace à la sécurité ou de litige.

Dans l’Avis de mise en œuvre de la politique sur la TI : Orientation relative à la résidence des données électroniques ^{Note de bas de page 3}, le Secrétariat du Conseil du Trésor du Canada (SCT) exige que les données de nature délicate ^{Note de bas de page 4} recueillies ou traitées par le gouvernement du Canada (GC) soient stockées dans les limites géographiques du Canada ou dans les locaux d’un ministère du GC situé à l’étranger (p. ex., consulat canadien). Cette exigence garantit que le GC puisse préserver un accès continu aux données afin d’assurer la continuité des activités.

Si votre organisation n’est pas un organisme du GC, nous vous recommandons de veiller à stocker toutes les données sensibles (M/M/M ou plus) uniquement dans des centres de données situés à l’intérieur des limites géographiques du Canada. De plus, divers secteurs ont des normes et directives de conformité particulières, telles que des règlements sur la vérification, qui exigent que les données soient conservées pendant des périodes normalisées. Il incombe à votre organisation de déterminer si un FSG potentiel se conforme ou non à ces exigences.

Si vos données sont stockées à l’extérieur des locaux ou de l’infrastructure de votre organisation (c.-à-d. dans une infrastructure en nuage), il est essentiel de veiller à ce que votre organisation conserve la propriété juridique de ses données. Votre organisation est légalement responsable de la confidentialité des données. Assurez-vous de maintenir le contrôle sur ces données en conservant la propriété de ces dernières lorsqu’elles sont stockées dans une infrastructure infonuagique. Demandez à votre fournisseur!

2.3 Évaluation des fournisseurs de services et rapports d’audit

Une fois que vous avez classifié les données de votre organisation, vous pouvez comparer les exigences en matière de contrôle de sécurité de votre organisation avec la capacité du fournisseur de services d’appliquer des mesures de protection adéquates à ces données.

2.3.1 Évaluation des fournisseurs de services

On peut évaluer les fournisseurs de services sur la base de normes et de cadres de sécurité reconnus afin de déterminer leurs capacités en matière de protection de données sensibles. Voici quelques exemples de normes et de cadres de sécurité :

• Organisation internationale de normalisation (ISO) – ISO270001/2 ^{Note de bas de page 4};
• Information Systems Audit and Control Association (ISACA) – Control Objectives for Information and related Technologies (COBIT) ^{Note de bas de page 5};
• Cloud Security Alliance (CSA) – Security Trust Assurance and Risk (STAR) ^{Note de bas de page 6};
• National Institute of Standards and Technology (NIST) – Risk Management Framework ^{Note de bas de page 7}; et
• Notre guide ITSG-33 ^{Note de bas de page 2}.

Nous avons élaboré des programmes d’évaluation des fournisseurs de services, qui appuient le Programme de sécurité des contrats du SCT. Nous effectuons ces évaluations en utilisant des cadres de sécurité reconnus afin d’évaluer les capacités des fournisseurs de services sur le plan de la sécurité et leur capacité de protéger les données sensibles des Canadiens.

2.3.2 Rapports de vérification des contrôles de sécurité

La Norme internationale de missions d’assurance (International Standard on Assurance Engagements [ISAE] No. 3402, Assurance Reports on Controls at a Service Organization [ISAE 3402]) ^{Note de bas de page 9 Note de bas de page 5} est une norme de vérification pour les contrôles qu’utilisent les organisations de services. Cette norme garantit que des contrôles de sécurité adéquats sont en place afin d’assurer l’exactitude des rapports financiers. Une tierce partie vérifie les contrôles du fournisseur de services afin de produire des rapports SOC (System and Organization Controls) et ainsi de démontrer la conformité du fournisseur de services à la norme ISAE-3402. Ces rapports peuvent servir à déterminer l’efficacité de la conception et de la mise en œuvre des contrôles de sécurité techniques et non techniques. Voir les descriptions des rapports SOC 2 et SOC 3 ci-dessous.

2.4 Contrôle d’accès

Le contrôle d’accès (p. ex. une stratégie de contrôle d’accès) détermine qui peut accéder aux données, aux systèmes et aux réseaux de votre organisation. Dans ce contexte, le contrôle d’accès doit s’harmoniser avec les piliers de la confidentialité et de l’intégrité du profil de sensibilité des données décrit à la section 2.1.

La stratégie de contrôle d’accès de votre organisation doit être maintenue lorsque vous utilisez des services gérés, que les données soient stockées sur place ou dans le nuage. Lorsque vous utilisez des services gérés, votre organisation et le fournisseur de services doivent absolument s’entendre sur les rôles et les responsabilités liés au contrôle d’accès. Vous devez aussi définir les mécanismes d’authentification et d’autorisation, soit deux éléments du contrôle d’accès. L’authentification désigne tout processus ou toute mesure servant à vérifier l’identité d’un utilisateur, et l’autorisation désigne les privilèges d’accès accordés à un utilisateur, à un programme ou à un processus.

2.4.1 Stratégie de contrôle d’accès

Votre organisation est responsable de sa stratégie de contrôle d’accès. Vous devez clairement définir toutes les exigences en matière de contrôle d’accès et les communiquer au fournisseur de services afin de déterminer s’il peut répondre à ces exigences. Le contrôle d’accès doit reposer sur le principe de droit d’accès minimal, c’est-à-dire que les personnes ne doivent avoir que les privilèges dont elles ont réellement besoin pour s’acquitter de leurs fonctions. Les fournisseurs de services ne doivent avoir que l’accès leur permettant de gérer efficacement leurs services.

2.4.2 Administrateurs de système et accès physique aux serveurs

Les administrateurs de système (AS) posent un risque de taille pour les données; en effet, les AS peuvent accéder à plusieurs clients et avoir un accès physique aux serveurs client. Parmi les autres membres du personnel qui peuvent avoir un accès physique aux serveurs, mentionnons le personnel d’entretien des installations et le personnel externe d’entretien du matériel et de maintenance des logiciels. Si des services gérés sont déployés à l’extérieur de l’infrastructure de votre organisation, il conviendra d’envisager d’autres normes qui abordent les façons dont vous pouvez limiter effectivement l’accès aux serveurs physiques par les administrateurs ou d’autres membres du personnel.

2.4.3 Stratégie de mot de passe

Dans une infrastructure TI locale conventionnelle, c’est votre organisation qui établit la stratégie de mot de passe comportant les exigences minimales (p. ex. complexité, délai maximal entre les changements obligatoires de mot de passe, utilisation de phrases de passe). Les phrases de passe et les mots de passe doivent se conformer à cette stratégie. Dans le cadre de services gérés, votre organisation et le FSG doivent s’entendre sur une stratégie de mot de passe qui respecte ou dépasse les exigences de votre stratégie de mot de passe existante.

Vous avez besoin d’une stratégie de mot de passe efficace pour empêcher les auteurs de menace de deviner ou de casser facilement les mots de passe. Bien que les utilisateurs puissent trouver pénible de créer des phrases de passe et des mots de passe complexes, nous vous recommandons d’examiner les pratiques minimales définies dans la publication Pratiques exemplaires de création de phrases de passe et de mots de passe (ITSAP.30.032) ^{Note de bas de page 10}. Nous constatons que les normes suivantes produisent le meilleur effet dissuasif :

• Les phrases de passe doivent compter au moins 4 mots et 15 caractères;
• Les mots de passe doivent comporter au moins 12 caractères;
• Les codes de verrouillage et les NIP doivent servir uniquement si vous ne pouvez pas utiliser les phrases de passe ou les mots de passe;
  • Employez des NIP générés aléatoirement lorsqu’ils sont disponibles.

L’authentification à deux facteurs (2AF) utilise une combinaison de deux facteurs d’authentification différents lorsque vous accédez à un compte, ce qui le rend plus sécurisé. Les facteurs d’authentification doivent comprendre au moins deux types de facteurs distincts :

• quelque chose que vous savez (p. ex. un mot de passe ou un NIP);
• quelque chose que vous avez (p. ex. un jeton ou une carte à puce);
• quelque chose que vous êtes (p. ex. une donnée biométrique, comme une empreinte digitale).

Veuillez noter qu’un processus d’authentification qui exige un mot de passe et un NIP ne constitue pas une A2F véritable : les deux correspondent à un seul type de facteur (c.-à-d. quelque chose que vous connaissez).

En raison de la nature répandue des attaques par hameçonnage et du vol de mots de passe, de nombreux services, y compris la majorité des plateformes de médias sociaux, ont ajouté des options d’authentification à deux facteurs. Nous vous recommandons fortement d’utiliser l’authentification à deux facteurs pour l’accès à ces plateformes, surtout pour les comptes importants accessibles au public.

2.4.4 Authentification fédérée

Dans une infrastructure de TI locale, l’utilisation et le stockage des mots de passe se font à l’interne seulement. Cependant, lorsque la vérification de l’identité se fait dans le nuage, la totalité des services d’authentification ou certains d’entre eux (y compris les noms d’utilisateur et les mots de passe) pourraient exister en dehors de l’infrastructure de TI interne de votre organisation. Les mots de passe représentent les « clés du royaume » parce qu’ils servent à contrôler l’accès aux données de votre organisation. Il faut protéger les mots de passe adéquatement. Comme pratique exemplaire, les mots de passe qui résident à l’extérieur de l’espace de confiance de votre organisation ne doivent jamais être stockés ou transmis en clair. De plus, aucune entité à l’extérieur de votre organisation ne doit détenir à la fois vos données et les justificatifs d’identité nécessaires pour y accéder.

Nous vous recommandons d’utiliser l’identité fédérée, qui fonctionne de la façon suivante :

1. Vous saisissez un mot de passe pour accéder aux ressources stockées à l’extérieur de l’infrastructure de votre organisation;
2. Un mécanisme d’authentification hache ce mot de passe et envoie le code haché à un service fédéré tiers qui tient les mots de passe (chiffrés) de votre organisation;
3. Le service fédéré exécute une fonction de hachage sur le mot de passe stocké et compare ce code haché à celui qu’il avait reçu afin de confirmer qu’ils se correspondent;
4. Le service fédéré génère un certificat (ou jeton) si les codes hachés se correspondent;
5. Ensuite, il envoie le certificat au fournisseur de services, ce qui vous authentifie et vous autorise à accéder aux ressources appropriées.

Un fournisseur de services infonuagiques pourra offrir des services d’authentification, mais il ne s’agit pas d’une véritable fédération, car il ne fait pas appel à un tiers. Ces services peuvent présenter un risque, car le fournisseur de services infonuagiques peut accéder à vos justificatifs d’identité et à vos données. Toutefois, il peut s’agir d’un risque raisonnable si le fournisseur de services infonuagiques dispose de processus internes qui isolent le processus d’authentification de vos données, ce qui protège ces dernières contre d’éventuels exploits. Vous devez vous assurer que si le fournisseur offre des services d’authentification, il peut attester que ceux-ci sont adéquatement isolés de vos données.

2.5 Chiffrement

Le chiffrement utilise une chaîne aléatoire de bits (c.-à-d. une clé de chiffrement) pour convertir des renseignements lisibles en texte chiffré illisible. Le chiffrement cache le contenu des données sensibles pour empêcher tout accès non autorisé. Le chiffrement est le mécanisme clé servant à protéger la confidentialité des données en transit dans Internet et des données inactives. Par conséquent, le chiffrement s’accorde avec le pilier de la confidentialité du profil de sensibilité des données (c. à d. M/M/M tel que le définit la section 2.1).

À titre de propriétaire des données, votre organisation est légalement responsable de la protection de la confidentialité de ses données sensibles. Vous devez décider du niveau de chiffrement à utiliser. Vous devez également vous assurer que le FSG peut prendre en charge le niveau de chiffrement que vous avez choisi et qu’il dispose des contrôles nécessaires pour empêcher qui que ce soit à l’extérieur de votre organisation d’accéder à vos données chiffrées ou aux clés de chiffrement permettant de déchiffrer les données.

2.5.1 Chiffrement des données en transit et des données inactives

Dès que les données sont sensibles, vous devez vous assurer d’appliquer des mesures qui les protègent dans leurs différents états, par exemple lorsqu’elles sont en transit ou inactives. Les données en transit sont des données actives qui se déplacent d’un endroit à un autre, comme dans Internet ou sur un réseau privé. Les données inactives désignent les données qui ne sont pas en déplacement. Il pourrait s’agir des données résidant dans des bases de données, des entrepôts de données, des feuilles de calcul, des archives, des copies de sauvegarde et des appareils mobiles. Vous devez tenir compte des niveaux de chiffrement à utiliser pour les données en transit (p. ex. trafic Web HTTPS) et les données inactives (p. ex. le contenu chiffré stocké dans un centre de données).

2.5.2 Gestion de clés à l’extérieur de l’infrastructure du client

Le chiffrement est le principal contrôle de sécurité servant à protéger la confidentialité des données. Il convient toutefois de noter que si vous perdez le contrôle des clés de chiffrement (c.-à-d. la chaîne aléatoire de bits servant à chiffrer et déchiffrer les données), vous perdez le contrôle des données. À titre de pratique exemplaire, vous devriez stocker les clés uniquement dans l’infrastructure interne de confiance de votre organisation. Or, pour gérer les clés de chiffrement, votre organisation doit gérer une infrastructure qui peut s’avérer coûteuse et nécessiter du personnel spécialisé en gestion des clés. Pour les organisations de plus petite taille, c’est rarement faisable.

Les fournisseurs de services disposent souvent d’une solide infrastructure de gestion des clés et des stratégies appropriées pour verrouiller l’accès. Vous pouvez demander d’examiner les capacités de gestion de clés du FSG. Gardez à l’esprit les considérations suivantes :

• Les ressources à l’extérieur de votre organisation ne doivent jamais avoir accès à la fois à vos données et aux clés utilisées pour déchiffrer ces données. Des stratégies et mécanismes de contrôle d’accès devraient être en place pour veiller à ce que les clés de chiffrement soient isolées des données qu’elles protègent;
• Les clés de chiffrement ne doivent jamais être stockées en texte clair à l’extérieur de l’infrastructure de confiance de votre organisation. Les clés de chiffrement doivent être chiffrées au repos, au même niveau, ou à un niveau plus élevé, que les données qu’elles protègent.

N’oubliez pas que votre organisation dispose toujours d’autres options. Vous pouvez utiliser les services d’un tiers pour gérer les clés de chiffrement si la stratégie d’isolation des clés du FSG ne répond pas à vos besoins. Cette mesure pourrait ajouter à la complexité des négociations sur les niveaux de service, mais elle permettrait de mieux sécuriser vos données.

2.6 Intervention en cas d’incident

Des incidents peuvent se produire même si des contrôles de sécurité sont en place. Un incident de sécurité se définit comme tout dommage, vol ou accès non autorisé intentionnel ou non intentionnel qui a des répercussions directes ou indirectes sur la sécurité des systèmes ou des services de votre organisation. Les incidents peuvent avoir des conséquences sur la prestation ou la sécurité d’un service, entraînant l’interruption imprévue d’activités. En voici quelques exemples :

• atteinte à la sécurité des données;
• vol ou perte d’actifs;
• code malveillant;
• analyses de réseau;
• attaques par déni de service;
• fraude;
• défaillance du serveur.

Lorsqu’un incident se produit, votre organisation doit intervenir rapidement pour réduire au minimum les dommages qui en résultent. Un plan général d’intervention en cas d’incident comprend des étapes pour détecter, contenir, corriger et communiquer le problème. Un incident peut être détecté par votre organisation (p. ex. problèmes liés à l’utilisation d’un service) ou par le fournisseur de services (p. ex. un problème d’application dorsale). Pour cette raison, vous devez avoir établi des moyens de communication efficaces avec votre fournisseur afin de pouvoir vous soutenir l’un l’autre.

Lorsque vous faites appel à un fournisseur de services, votre organisation demeure responsable de l’intervention en cas d’incident, même si votre organisation ne s’occupe pas de la mise en œuvre de toutes les étapes du processus de gestion des incidents. Vous devez collaborer avec le fournisseur de services pour coordonner un plan d’intervention en cas d’incident. Dans le cadre de ce plan d’intervention, vous devriez séparer les rôles et les responsabilités de votre organisation et du fournisseur de services. Comme un fournisseur de services pourrait offrir des services semblables à de nombreux clients, ses priorités diffèrent de celles de votre organisation. Par exemple, si votre organisation est aux prises avec un problème catastrophique pour ses activités qui exige une intervention immédiate, votre demande d’intervention urgente risque de rester dans la file d’attente du fournisseur de services s’il est occupé à soutenir de nombreuses autres organisations qui sont elles aussi confrontées à de multiples problèmes critiques.

Vous devez donc établir des exigences claires en matière d’intervention en cas d’incident, et vous assurer que le fournisseur de services est en mesure d’y répondre. Nous vous recommandons de travailler avec le fournisseur de services afin de vous entendre sur les attentes liées au niveau de service dont votre organisation a besoin, et de les définir clairement. Votre entente sur les niveaux de service avec le fournisseur doit spécifier les délais d’exécution prévus, les moyens de communication, les processus de transmission à un palier supérieur, les paramètres d’évaluation du rendement, et les pénalités en cas de non-respect des délais d’exécution.

Si des incidents se produisent à répétition, il faut chercher la cause profonde. Dans le cadre de l’acquisition de services gérés, il est important de s’assurer que le fournisseur de services a la capacité de faire rapport sur les incidents au fil du temps afin de pouvoir cerner les problèmes sous-jacents. Prenons comme exemple les fuites de données sensibles. Si une telle fuite se produit une seule fois ou rarement, on peut gérer les incidents au cas par cas, mais si des fuites se produisent à plusieurs reprises, il faudra déterminer si un problème plus profond est en cause. Il conviendrait peut être d’investir les fonds nécessaires pour réviser la formation sur la sécurité afin qu’elle porte notamment sur les fuites de données ou pour mettre en œuvre des mesures comme la prévention de la perte de données (PPD) ou des solutions interdomaines (SID).

2.6.1 Prise en charge de la journalisation des événements

Le fournisseur de services dispose d’un accès direct aux systèmes associés aux services qu’il fournit. À ce titre, il pourrait être en mesure de fournir des données de journaux ou d’exécuter des services de surveillance liés aux éléments suivants :

• analyse de virus;
• détection de codes, de fichiers ou de dossiers non standards ou suspects dans les hôtes (capteurs au niveau de l’hôte);
• vérification des signatures;
• utilisation de la bande passante;
• surveillance des événements;
• surveillance des activités de l’utilisateur.

Vous devez définir explicitement vos exigences et responsabilités en ce qui a trait à la prise en charge des journaux afin de détecter les incidents de sécurité potentiels. Vous n’avez peut-être pas besoin de consulter tous les journaux, mais vous devriez être au courant des événements qui ont une incidence sur vos données.

2.7 Continuité des activités et reprise après sinistre

La continuité des activités renvoie à la capacité de votre organisation de poursuivre ses activités à la suite d’un incident (p. ex. une interruption ou un sinistre). Si vous faites appel à un fournisseur de services, vous dépendez de lui pour assurer la disponibilité continue des services que vous utilisez. Vous devez connaître les mesures qu’applique le fournisseur de services afin de prévenir les défaillances et les moyens qu’il prendra afin de soutenir la reprise de ces services en cas de sinistre. La continuité des activités et la reprise après sinistre renvoient directement au pilier de la disponibilité du profil de sensibilité des données (voir la section 2.1).

2.7.1 Redondance

Le temps de disponibilité désigne le pourcentage de temps garanti par le fournisseur de services pendant lequel il peut fournir des services. Veuillez noter que les fournisseurs de services, y compris les FSI, n’offrent pas tous le même temps de disponibilité garanti. Vous devriez vous assurer que vous pourrez accéder aux données de votre organisation au besoin.

Lorsque des défaillances matérielles se produisent, les systèmes peuvent continuer de tourner en fonction de la redondance et des mécanismes de basculement qu’on a mis en place. Dans le cadre de la planification de la continuité des activités de votre organisation, déterminez vos besoins en matière de temps de disponibilité, ainsi que la durée maximale de panne que vous pouvez tolérer sans mettre en péril vos activités commerciales (c.-à-d. le temps d’arrêt maximal tolérable). Veuillez noter que vos exigences en matière de temps de disponibilité et de temps d’arrêt maximal tolérable pourront varier selon vos fonctions et vos processus opérationnels. Par exemple, le temps d’arrêt acceptable pour un organisme d’administration des élections le jour d’une élection est beaucoup plus court et moins tolérable que le temps d’arrêt le lendemain de cette élection.

2.7.2 Reprise après sinistre

Dans un monde idéal, il ne se produit aucun sinistre et il n’est jamais nécessaire de procéder au rétablissement. En réalité, votre organisation doit être prête à faire face à des scénarios où les choses tournent mal afin de pouvoir se rétablir rapidement et réduire les répercussions sur ses activités. Il revient à votre organisation d’établir et de mettre à l’essai un plan de reprise après sinistre. Vous pourriez impartir certains aspects de ce plan (p. ex. sauvegarde des données) à un fournisseur de services. Vous devez absolument travailler de concert avec le FSG pour vous assurer que les services impartis fonctionnent et que vos rôles et responsabilités sont clairs.

2.8 Intégrité de la chaîne d’approvisionnement

Votre chaîne d’approvisionnement comporte votre réseau de fournisseurs, de fournisseurs de services (aussi appelés sous traitants), d’organisations partenaires, et de ressources qui participent à la création et à la prestation de vos produits et services d’affaires. Votre chaîne d’approvisionnement est vitale pour vos activités, mais elle peut également constituer une cible de grande valeur aux yeux des auteurs de menace.

Comme l’indique l’Évaluation des cybermenaces nationales 2018 ^{Note de bas de page 13} du Centre pour la cybersécurité, les auteurs de cybermenaces sophistiqués continuent d’exploiter les relations entre les entreprises et leurs fournisseurs et fournisseurs de services, y compris les chaînes d’approvisionnement des technologies de l’information et des communications (TIC). Des études de l’industrie confirment également que la moitié de toutes les cyberattaques observées font appel à la compromission de la chaîne d’approvisionnement.

Peu importe la taille de votre organisation, vous devriez tenir compte des risques associés à votre chaîne d’approvisionnement et à vos produits et services de TIC (p. ex. appareils d’utilisateur final, logiciels, solutions de réseautage, serveurs). Lorsque vous faites l’acquisition de services gérés, la responsabilité de protéger la sécurité de vos renseignements vous revient. Il importe donc de bien comprendre le niveau d’assurance que le fournisseur de services est en mesure d’offrir pour la technologie dont il est responsable.

2.9 Portabilité des données et des services

Après avoir établi un contrat avec un fournisseur de services, votre organisation pourrait décider d’emprunter une autre voie si elle n’est pas satisfaite des services ou si ses besoins opérationnels évoluent. L’enfermement propriétaire se produit lorsqu’il n’est pas financièrement faisable de transférer des données d’un fournisseur à un autre (p. ex. pénalités d’envergure connexes, formats de données exclusifs, propriété des données).

La portabilité des données renvoie à la capacité de transférer des données d’un système ou serveur à un autre. Au moment de passer un contrat de service, votre organisation devrait envisager une stratégie de sortie, au cas où elle aurait besoin de changer de fournisseur plus tard.

2.10 Destruction des données

Une fois que les données ne sont plus nécessaires à des fins opérationnelles et qu’elles ont été conservées pendant la période de conservation désignée, il convient de les détruire. La destruction des données consiste à détruire les données stockées sur des bandes, des disques durs et d’autres supports électroniques ou physiques afin de les rendre complètement illisibles, inaccessibles et inutilisables à des fins non autorisées. La destruction appropriée des données garantit que votre organisation se conforme aux exigences juridiques et réglementaires. Elle réduit également le risque de fuite de données et d’atteinte à leur protection. Les fuites de données peuvent entraîner la non-conformité aux exigences législatives et de politiques, la perte de réputation, une couverture médiatique négative, la perte de revenus, des amendes réglementaires, des poursuites et des frais juridiques.

Lorsque vous faites appel à des services infonuagiques, vous devez vous assurer que le FSI protège vos données et qu’il les détruira en conformité avec les exigences de votre organisation (p. ex. politique de gestion de l’information, calendrier de conservation). Dans le nuage, la destruction physique du matériel est extrêmement difficile, car le FSI est propriétaire du matériel et que celui-ci peut héberger les données de plusieurs clients. Le crypto-déchiquetage constitue alors le moyen le plus efficace de détruire les données. Le crypto-déchiquetage consiste à chiffrer les données qui ne sont plus nécessaires, puis à supprimer ou écraser délibérément les clés de chiffrement pour ainsi rendre les données inaccessibles.

Il convient de noter que l’infrastructure en nuage se fonde sur le principe de la redondance (c.-à-d. qu’il existe de nombreuses instances des données). Pour détruire complètement les données, il faut d’abord localiser toutes les instances des données. Il importe de savoir s’il existe des copies hors ligne, telles que les sauvegardes ou d’autres téléchargements, afin de vous assurer qu’elles sont visées par le processus de destruction.

3 Contenu complémentaire