La sécurité dans le paysage de l’information numérique d’aujourd’hui

Dans le paysage de l'information numérique d'aujourd'hui, la société évolue à un rythme sans précédent et exige que l'information soit accessible en tout temps, en tous lieux et sur pratiquement tous les appareils. La sécurité dans cet environnement en changement perpétuel est cruciale, en raison des menaces constantes et omniprésentes qui pèsent sur les services d'information que nous utilisons régulièrement, tant dans le privé qu'au travail. La sécurité est un inconvénient, mais aussi une nécessité fondamentale, et assurer la sécurité efficace exige du temps, de la discipline et de l'argent.

La sécurité est un sujet qui a pris de l'importance depuis une dizaine d'années en raison du nombre croissant d'intrusions majeures dans différents domaines d'utilisation professionnelle et personnelle. Cela nous a amenés à adopter une nouvelle manière de conduire nos activités qui nous oblige non seulement à livrer de nouvelles technologies et de nouveaux produits, mais aussi à nous assurer que cela se fait en toute sécurité.

Le service des Technologies de l'information de CBC/Radio-Canada est par conséquent en train d'élaborer et de déployer un programme de gestion des risques liés à la sécurité de l'information afin de répondre aux préoccupations qui existent en matière de sécurité dans le paysage informatique d'aujourd'hui. Nous en apprendrons plus à ce sujet dans un futur proche. Du fait de sa nature unique, la radiodiffusion, en soi, ne nécessite peut-être pas tous les protocoles de sécurité rigoureux et restrictifs d'une institution financière; cependant, nous devons poursuivre nos efforts pour protéger nos actifs d'information média et institutionnelle, ainsi que le contenu que nous rendons disponible sur des sites Internet ouverts au public. Cette responsabilité s'étend également aux domaines technologiques comme l'infonuagique, les plateformes de réseaux sociaux ou collaboratifs, ou les services mobiles, pour lesquels les connexions Wi-Fi publiques et des initiatives comme Apportez votre propre appareil[1] deviennent non seulement plus communes, mais bien la norme.

Principes de la sécurité de l'information

Les principes de la sécurité de l'information décrits dans la courte liste ci-dessous sont les concepts généraux qui doivent être pris en considération en vue de sauvegarder les actifs d'information de CBC/Radio-Canada. Ces principes sont bien reconnus dans l'industrie de la sécurité et ont été adaptés au domaine de la radiodiffusion.

Accès partagé au contenu média

Le partage de contenu média électronique est une conséquence naturelle du mandat des radiodiffuseurs qui consiste à diffuser de l'information. Une politique de sécurité efficace doit viser cet objectif de façon transparente afin de s'assurer qu'elle ne nuit pas au processus créatif tout en maintenant la sécurité requise. Le but consiste à mettre en place des politiques et des procédures qui amélioreront la sécurité afin qu'elle réponde aux normes de l'industrie pour prévenir les intrusions, tout en essayant de conserver un environnement souple et fonctionnel. Habituellement, c'est un exercice d'équilibre assez délicat.

Accès contrôlé

Étant donné que tout le contenu média est composé essentiellement de données, des contrôles d'accès doivent être en place pour gérer les six questions de base « qui, quoi, où, quand et comment » en matière d'accès : qui peut avoir accès aux données; ce qu'il est permis d'en faire; où les données peuvent être hébergées et où l'utilisateur doit être pour y avoir accès; quand on peut avoir accès aux données et comment (sous quels formats) on peut y accéder, et ce, afin de protéger les données de toute modification ou communication non autorisée. L'accès aux ressources documentaires ne devrait être accordé qu'après obtention d'une autorisation et au cas par cas, et il devrait offrir les droits d'accès minimum requis pour qu'un employé puisse s'acquitter de ses tâches.

Contenu institutionnel et média – actifs stratégiques de valeur de CBC/Radio-Canada

Les systèmes de données institutionnelles et médias doivent être conçus, gérés et protégés dans une mesure proportionnelle à la nature critique de l'information qu'ils contiennent. Les responsables du contenu institutionnel et média doivent s'assurer qu'ils classent adéquatement ce contenu pour ce qui est de la confidentialité, de l'intégrité et de la disponibilité des données. Cela est essentiel pour éviter la protection excessive ou insuffisante de l'information.

Adopter une approche axée sur le risque

Le risque doit être le critère déterminant du niveau approprié de contrôle pour la protection de l'information. Chaque initiative et unité opérationnelle devrait déterminer ses principaux risques liés à la sécurité, évaluer leur probabilité et proposer un plan de traitement des risques qui tient compte de la tolérance au risque de CBC/Radio-Canada.

Approche globale et en profondeur de la sécurité de l'information

Le contenu institutionnel et média circule sous diverses formes (électronique, papier ou verbale) dans tous les secteurs de l'organisation. Il importe d'adopter une approche globale de la sécurité de l'information afin d'assurer une protection appropriée pour tous ces formats, dans une grande variété de réseaux et de systèmes, avec différentes couches de protection (c'est-à-dire une « défense en profondeur »). Avec la défense en profondeur, la sécurité de l'information comporte de multiples couches de barrières qu'un intrus doit franchir dans le but de compromettre les ressources.

Approche intégrée de la sécurité de l'information tout au long du cycle de vie

Bien que la nature critique et confidentielle de l'information puisse varier avec le temps, les données et le contenu média conservent toujours leur valeur pour l'organisation. C'est pourquoi il est primordial de toujours tenir compte de la sécurité de l'information et de la gestion des risques dans le cadre de la conception, des tests, de la mise en œuvre, de l'opérationnalisation, de la maintenance des systèmes institutionnels et médias, ainsi que de la réutilisation et de l'aliénation des actifs d'information et de leurs éléments technologiques connexes.

Le facteur humain et la sécurité de l'information

Bien que la technologie joue un rôle essentiel dans la protection des actifs institutionnels et médias en fonction des principes énoncés ci-dessus, le facteur humain dans la sécurité de l'information est souvent considéré comme le point le plus faible de tout système de sécurité. Les utilisateurs ne sont pas nécessairement conscients des risques liés à la communication ou à la divulgation d'information liée à la sécurité. Plutôt que de leur reprocher leurs indiscrétions, nous devrions chercher à mieux comprendre leurs rôles ainsi que les pressions que les exigences de sécurité exercent sur eux, et ce, afin de nous aider à concevoir de meilleurs politiques, procédures, programmes et systèmes.

Un programme de sensibilisation à la sécurité est crucial pour apprendre aux utilisateurs l'importance de la sécurité de l'information et des risques en la matière, en leur fournissant des stratégies qu'ils peuvent utiliser tant du point de vue personnel que professionnel. Cependant, dans certains cas, un programme de sensibilisation à la sécurité peut créer de la confusion, trop d'information étant fournie à l'utilisateur en même temps. Une autre approche consisterait à communiquer l'information de sensibilisation à la sécurité à plus petites doses et plus fréquemment, par exemple sous la forme de l'astuce du jour.

Voici quelques exemples d'astuces du jour qui pourraient faire partie d'un programme de sensibilisation à la sécurité :

  1. Ne donnez jamais vos données d'authentification et méfiez-vous si quelqu'un vous les demande, même s'il s'agit de votre propre centre d'assistance ou service technologique.
  2. Quand vous utilisez un réseau Wi-Fi public, abstenez-vous toujours d'envoyer ou de recevoir de l'information personnelle.
  3. Signalez toujours et immédiatement la perte ou le vol de votre appareil (portable, tablette ou téléphone intelligent) à notre centre d'assistance ou au service des TI.
  4. Méfiez-vous toujours des liens ou des pièces jointes dans votre courriel et dans les médias sociaux qui proviennent de sources inconnues ou même connues. Si vous avez le moindre doute, supprimez le message immédiatement sans l'ouvrir.
  5. Ne tardez pas à signaler tout incident de sécurité à votre centre d'assistance ou aux TI. Les incidents de ce type peuvent par exemple comprendre la communication par erreur de vos données d'authentification à un tiers, ou encore le fait d'avoir vu un employé exporter d'importantes quantités de données sur un support de stockage secondaire (une clé USB ou un disque dur externe) ou vers des imprimantes.
  6. Abstenez-vous d'utiliser le même mot de passe pour vos systèmes personnels et ceux du travail.
  7. Quittez les applications dont l'accès est contrôlé, ou verrouillez votre appareil quand vous quittez votre lieu de travail.
  8. Ne laissez jamais votre ordinateur portable, téléphone intelligent ou tablette sans surveillance dans un endroit public ou dans un bureau non verrouillé.
  9. Faites attention aux outils de sécurité installés sur votre appareil et assurez-vous qu'ils sont toujours fonctionnels et à jour.
  10. Assurez-vous que l'information que vous fournissez en ligne est toujours codée. Vérifiez toujours que les lettres HTTPS sont présentes au début de l'adresse URL d'un site Web; cela indique que le trafic vers ce site Web devrait être codé.

Les contrôles par mot de passe et le facteur humain

Les utilisateurs peuvent ressentir de la frustration quand ils sont obligés de changer leurs mots de passe à intervalles réguliers. Trouver un nouveau mot de passe solide, qui peut être facilement mémorisé peut parfois s'avérer difficile, mais cela est essentiel pour protéger en permanence les données et le contenu média de CBC/Radio-Canada. Une nouvelle politique a par conséquent été mise en œuvre pour les mots de passe à CBC/Radio-Canada afin d'accroître la solidité des mots de passe, ainsi que la sécurité générale de tous nos systèmes.

Tous les mots de passe peuvent être devinés ou déchiffrés, ce n'est qu'une question de temps. C'est une des raisons pour lesquelles l'expiration des mots de passe est cruciale. Cela limite le temps dont quelqu'un dispose pour deviner ou déterminer un mot de passe et, si une personne réussit à l'obtenir par des moyens illicites, elle sera limitée dans le temps en raison du changement périodique. En choisissant des mots de passe sûrs, vous pouvez vous assurer que vos systèmes et vos données sont en sécurité, et vous accroîtrez la sécurité générale de CBC/Radio-Canada.

Une des questions posées le plus fréquemment est la suivante : comment rendre mon mot de passe plus sûr?

Les mots ou caractères de votre mot de passe et sa longueur déterminent le degré de sécurité de votre mot de passe. Les mots de passe formés de mots tirés du dictionnaire sont généralement plus faciles à déchiffrer que les mots qui n'y figurent pas. En outre, la longueur augmente le degré de difficulté et le temps nécessaire pour déchiffrer un mot de passe. Toutefois, même si vous utilisez des mots du dictionnaire plus longs, cela n'ajoute rien en matière de sécurité. De la même manière, l'utilisation pour vos mots de passe de mots ou de chiffres auxquels on peut facilement vous associer en tant que personne, facilite leur déchiffrage. Des choses comme le nom de votre animal de compagnie, votre date d'anniversaire et les noms de vos enfants font de mauvais de mots de passe.

Voici par exemple différents mots de passe et des estimations approximatives du temps nécessaire pour les déchiffrer (pour un ordinateur moyen équipé d'une protection pour les mots de passe Microsoft Windows System) :

Mot de passe Temps requis pour le déchiffrage
redwagon Moins d'une journée
summertime2012 Moins d'une journée
Passwdsec4 Deux mois et 17 jours
Cbcnohax23 Dix-neuf ans

Comme vous pouvez le constater, plus on utilise au hasard de mots ne figurant pas dans le dictionnaire, plus il est difficile de déchiffrer le mot de passe.

Une fois que le mot de passe est protégé du déchiffrage, il faut aussi s'assurer de sécuriser la communication du mot de passe aux différents systèmes. Nous ne voulons pas que nos communications soient interceptées et que notre mot de passe soigneusement choisi puisse être lu comme du texte en clair (non codé). Il faut donc mettre en œuvre une politique qui exige le codage de toutes les communications qui contiennent les données d'authentification (c'est-à-dire les noms d'utilisateur et les mots de passe) dans l'ensemble des réseaux internes et sur Internet. Cela sert à protéger les mots de passe et empêche leur lecture en texte en clair par des tiers.

La synchronisation des mots de passe dans les services de répertoire et les applications nous simplifie la vie, tout en réduisant le temps système nécessaire pour gérer de nombreux mots de passe différents pour différents systèmes. CBC/Radio-Canada utilise un système de gestion de l'identité qui stocke tous les mots de passe de l'entreprise et les distribue dans tous les systèmes connectés. Une fois que nous avons changé notre mot de passe dans le portail libre-service de gestion des mots de passe, il est ensuite relayé dans le système de gestion de l'identité qui, à son tour, envoie automatiquement le nouveau mot de passe à tous les systèmes connectés. (Il faut cependant un peu de temps pour que l'ensemble des systèmes connectés traite le nouveau mot de passe; nous recommandons d'attendre 20 minutes.)

En plus du travail de sensibilisation à la sécurité, nous avons aussi élaboré la liste suivante de pratiques de gestion exemplaires des mots de passe à l'intention des utilisateurs pour leur faire connaître les différents aspects des contrôles des mots de passe :

  • Gardez vos mots de passe secrets.
  • Évitez de tenir un registre (p. ex., sur papier, dans un fichier informatique non codé ou dans un appareil mobile) de vos mots de passe, à moins que ce registre soit conservé de façon sécuritaire, avec l'approbation du Comité de la sécurité de l'information.
  • Changez vos mots de passe dès que vous avez des indices qu'un système ou un mot de passe est compromis.
  • Choisissez des mots de passe de qualité qui :
    • sont faciles à retenir;
    • ne s'appuient pas sur une information facile à deviner ou sur des renseignements personnels (p. ex., noms, numéros de téléphone, dates de naissance, etc.);
    • ne sont pas vulnérables aux attaques par dictionnaire (p. ex., mots de passe composés exclusivement de mots compris dans le dictionnaire) et ne contiennent aucune série de lettres ou de chiffres identiques.
  • Changer les mots de passe temporaires à la première utilisation.
  • Ne pas inclure de mots de passe dans des procédures de connexion automatisées (ne pas enregistrer de mots de passe dans une macro-commande ou sur une touche de fonction).
  • Ne communiquez pas vos données d'authentification.
  • N'utilisez pas le même mot de passe à des fins professionnelles et personnelles.
  • Vérifiez l'identité de toute personne qui vous appelle et vous demande de lui divulguer votre mot de passe ou qui vous propose de restaurer celui-ci. Afin d'assurer la mise à jour constante et adéquate de vos mots de passe, veuillez toujours utiliser le portail de gestion des mots de passe pour mettre à jour vos mots de passe de CBC/Radio-Canada.
  • Si vous devez légitimement communiquer votre mot de passe (par exemple à des fins de soutien), assurez-vous de le changer dès que possible.

Conclusion

La sécurité de l'information demeure une préoccupation grandissante dans le paysage de l'information numérique d'aujourd'hui. Afin de faire face aux menaces constantes et omniprésentes, nous devons tenter de définir des principes de sécurité de l'information et d'y adhérer pour protéger nos données. Il est essentiel d'accroître la sensibilisation à la sécurité de nos utilisateurs pour nous assurer qu'ils sont conscients des risques existants aujourd'hui pour la sécurité, et de leur faire respecter les politiques et les contrôles mis en place, non seulement pour minimiser les risques dans leur environnement de travail, mais aussi, espérons-le, dans leur environnement personnel.

Références

Outil de soulignement de texte