Sélection de la langue

Government of Canada / Gouvernement du Canada

Protéger l’information au niveau organisationnel - ITSAP.10.097

Format de rechange : Protéger l’information au niveau organisationnel - ITSAP.10.097 (PDF, 876 Ko)

À l’image des technologies qui continuent de croître, les cybermenaces (p. ex. les attaques par maliciel MalicielLogiciel malveillant conçu pour infiltrer ou endommager un système informatique. Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires. , par hameçonnage HameçonnageProcédé par lequel une tierce partie tente de solliciter de l’information confidentielle appartenant à un individu, à un groupe ou à une organisation en les mystifiant ou en imitant une marque commerciale connue dans le but de réaliser des gains financiers. En l’occurrence, les malfaiteurs incitent les utilisateurs à partager leurs renseignements personnels (numéros de carte de crédit, informations bancaires ou autres renseignements) afin de s’en servir pour commettre des actes frauduleux. ou par rançongiciel RançongicielType de maliciel qui empêche tout utilisateur légitime d'accéder à des ressources (système ou données), et ce, jusqu'à ce que les responsables desdites ressources aient payé une rançon. ) ne cessent d’évoluer et de se développer. Votre organisation doit donc constamment s’adapter pour protéger ses réseaux, ses systèmes, ses actifs de TI et son information contre les technologies et les menaces qui évoluent. Par exemple, les dispositifs connectés à Internet gagnent en popularité en milieu de travail et sont employés à des fins professionnelles. Bien que ces dispositifs soient synonymes d’efficacité et de commodité, ils peuvent aussi mettre votre organisation à risque sur le plan de la sécurité. Par conséquent, votre organisation doit prendre des mesures pour protéger l’information au niveau organisationnel.

Évaluation de votre information

En évaluant l’information que vous détenez et sa sensibilité, vous vous assurez de prendre les mesures de protection nécessaires. Vous devez tenir compte des types d’information que détient votre organisation lorsque vous en faites l’évaluation. Par exemple, votre organisation peut détenir de l’information opérationnelle essentielle (comme de l’information sur les ventes ou des plans d’intervention d’urgence), de l’information sensible qui doit demeurer confidentielle (comme des renseignements personnels ou financiers ou de la propriété intellectuelle Propriété intellectuelleS'entend des droits qui découlent de l'activité intellectuelle dans les domaines industriel, scientifique, littéraire et artistique. Des exemples incluent : les droits d'auteur, les marques de commerce et les brevets. ) ou encore des dossiers et des éléments probants qui ne doivent pas être modifiés sans autorisation AutorisationDroits d'accès accordés à un utilisateur, programme ou processus. (comme des contrats).

Vous pouvez ainsi établir la valeur de l’information en déterminant les dommages qui pourraient se produire en cas de compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. . En accordant une valeur à l’information, vous priorisez vos efforts de protection.

Gestion de votre information

Votre organisation est tenue de gérer et de protéger l’information durant tout son cycle de vie (c.-à-d. de sa création à sa destruction). La gestion de l’information comprend des activités de traitement, de destruction et de stockage adéquats de l’information. À la fin de son cycle de vie, lorsque l’information n’est plus nécessaire sur le plan opérationnel, il faut s’assurer de la détruire correctement.

Un logiciel de prévention de la perte de données peut également aider votre organisation à ne pas perdre le contrôle de ses données. Ce type de logiciel s’appuie sur des alertes, du chiffrement ChiffrementProcédure par laquelle une information est convertie d’une forme à une autre afin d’en dissimuler le contenu et d'en interdire l’accès aux entités non autorisées. et d’autres mesures de protection pour empêcher les utilisateurs de communiquer des données sensibles.

Vous devez veiller à ce que les activités de sensibilisation et de formation de votre organisation portent sur la gestion de l’information afin que le personnel, les entrepreneurs et les fournisseurs de services comprennent leurs rôles et leurs responsabilités. Il peut s’avérer intéressant d’aborder les sujets suivants :

  • la bonne gestion de l’information physique et numérique;
  • la conservation de l’information durant la période requise;
  • la destruction adéquate de l’information;
  • le nettoyage des supports;
  • le suivi des systèmes d’information et des composantes au moyen de répertoires;
  • la sauvegarde de l’information.

Sécurisation de vos données à l’externe

Vous devez examiner vos pratiques de gestion de l’information lorsque vous avez recours à des dispositifs mobiles, à des fournisseurs de services ou à d’autres systèmes d’information externes (p. ex. un support de stockage portatif). Pour protéger votre information organisationnelle à l’externe, vous devez vous assurer que les systèmes externes employés sont munis de contrôles de sécurité qui respectent les politiques de sécurité de votre organisation. Pour veiller à la protection de l’information organisationnelle qui est stockée sur des systèmes d’information externes, tenez compte des recommandations suivantes :

  • mettre en place des contrôles de sécurité sur les dispositifs employés avant de les connecter à vos systèmes organisationnels;
  • restreindre l’accès des dispositifs employés à certains types d’informations, de services ou d’applications;
  • recourir à un environnement virtuel pour empêcher les autres composantes des systèmes de porter atteinte aux données de l’organisation;
  • veiller à ce que les utilisateurs et les partenaires acceptent les conditions de votre organisation (p. ex. documenter les ententes);
  • surveiller continuellement tous les dispositifs d’extrémité;
  • vérifier les systèmes d’information externes en cas de compromissions soupçonnées (p. ex. mises à jour anormales, changements ou tentatives d’authentification).

Protection de données par des fournisseurs de services

Les données stockées à l’extérieur du Canada sont assujetties à des lois et à des règlements différents en matière de protection des renseignements personnels, de sécurité et de propriété des données. Si vous faites appel à un fournisseur de services infonuagiques ou à un fournisseur de services gérés à l’étranger, assurez-vous de comprendre les lois qui s’appliquent et les possibles répercussions quant à la confidentialité ConfidentialitéCaractéristique de l'information sensible protégée contre tout accès non autorisé. de vos données, et d’évaluer le niveau de sensibilité des données qui y seront stockées.

Protection de votre chaîne d’approvisionnement

Votre organisation peut se servir de systèmes et de services qui sont fournis par d’autres organisations. Vous devez détecter les risques et convenir de politiques de sécurité afin de bien protéger l’information. Lorsque vous collaborez avec des fournisseurs de services, nous vous recommandons de négocier un accord sur les niveaux de service (ANS) pour établir vos attentes quant aux services à recevoir. Votre ANS devrait aussi indiquer les mesures de sécurité mises en place et définir les rôles et les responsabilités quant aux audits à réaliser et aux interventions en cas d’incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. .

Pour connaître les façons de protéger votre organisation lorsque vous collaborez avec d’autres fournisseurs, consultez le document ITSAP.00.070 Sécurité de la chaîne d’approvisionnement pour les petites et moyennes organisations.

Choix d’un modèle de déploiement des dispositifs mobiles

Les dispositifs mobiles peuvent améliorer l’efficacité du travail à distance pour votre organisation, mais ils peuvent aussi mettre l’information de votre organisation à risque. En cas de compromission d’un dispositif, des auteurs de menace peuvent accéder aux réseaux, aux systèmes et à l’information de votre organisation. Les quatre modèles de déploiement des dispositifs mobiles organisationnels sont présentés ci-dessous :

  • le déploiement de dispositifs réservés au travail qui appartiennent à l’organisation;
  • le déploiement de dispositifs pouvant servir à des fins personnelles et appartenant à l’organisation;
  • le déploiement de dispositifs au choix;
  • le déploiement de dispositifs personnels.

Le choix d’un modèle de déploiement des dispositifs mobiles dépend du degré de propriété du dispositif par l’organisation. Il faut donc tenir compte du degré de propriété et de l’usage personnel dans le cadre de l’évaluation des menaces et des risques quand vient le temps de choisir le modèle qui convient le plus à votre organisation (p. ex. niveau de contrôle par rapport à l’information contenue dans le dispositif).

Pour en savoir plus sur les modèles, consultez le document ITSAP.70.002, Considérations de sécurité pour les modèles de déploiement de dispositifs mobiles.

Date de modification :