La cybersécurité

Numérique - 11 août 2021

Dans la dernière année, l’équipe de Culture Lanaudière s’est intéressée à la cybersécurité et je souhaitais vous partager notre processus qui est toujours en cours afin d’améliorer nos pratiques numériques.

Pour être totalement transparent avec vous, il est vrai que nous nous sommes d’abord questionnés sur la pertinence de s’y pencher pour un organisme régional comme le nôtre avec seulement cinq employés à temps plein et dont le quotidien est loin de regorger de secrets d’État. C’est définitivement la ressource web Cyber Sain et Sauf conçu par l’Alliance des arts médiatiques indépendants qui nous a sensibilisés au sujet.

Nous avons alors réalisé que la cybersécurité n’est pas seulement la protection des informations personnelles et de la vie privée c’est-à-dire la confidentialité de l’information, mais il est aussi question de son intégrité et de sa disponibilité. Il s’agit, comme le stipule le manifeste de Cyber Sain et Sauf, des trois mousquetaires de la cybersécurité.

(CC BY-NC-ND 3.0) - Cyber Sain et Sauf - IMAASource

---

Alors que nous avions pris connaissance de ces quelques notions de base, la première grande étape a été de réaliser l’inventaire de nos données sensibles. Ce travail ardu, mais essentiel nous a permis d’évaluer les risques, d’établir nos priorités et surtout de bâtir un plan de match pour notre organisme en ce qui a trait à la cybersécurité. Grâce à ce tableau, il a été plus facile de nous séparer le travail selon nos postes respectifs ce qui a grandement allégé la tâche pour chacun. Au constat de cet inventaire, nous nous sommes réjouies des pratiques saines et sécuritaires que nous possédions déjà à l’interne, mais l’équipe de Culture Lanaudière a tout de même identifié certaines faiblesses auxquelles nous souhaitions remédier.

De celles-ci, la plus importante demeure la gestion de nos mots de passe ou plutôt de nos phrases de passe (comme nous l’a bien enseigné Cyber Sain et Sauf). Pour pallier à cette situation, nous nous sommes dotés d’un gestionnaire de mots de passe. Plusieurs gestionnaires sont disponibles en ligne, mais notre choix s’est arrêté sur Dashlane. L’important est de s’assurer que la politique et les pratiques de l’entreprise choisie sont sécuritaires pour stocker vos données. Voici quelques caractéristiques autres dont vous pouvez tenir compte lors de la recherche d’un gestionnaire de mot de passe :

• Stockage de mot de passe illimité
• Outil vous permettant d’analyser les mots de passe existants
• Services de sauvegarde – pour vous aider à restaurer s’il y a des problèmes
• Sauvegarde automatique des mots de passe nouveaux – pour les enregistrer quand vous les saisissez
• Changement automatique des mots de passe Import / export – Si vous avez des mots de passe dans un navigateur ou dans un tableau, certains gestionnaires de mots de passe ont la capacité de les importer pour vous éviter d’avoir à les entrer manuellement.
• Générateur de passe – Crée un mot de passe complètement aléatoire et sécurisé pour vous.

Il faut surtout s’assurer de maîtriser l’outil, de comprendre ses caractéristiques et de se sentir en sécurité en l’utilisant. De notre côté, l’appropriation de ce gestionnaire est encore en cours.

D’autre part, nous étions fiers d’avoir déjà des pratiques saines en ce qui concerne les sauvegardes et l’archivage de nos documents. Je me permets de vous confier une anecdote personnelle plutôt banale et répandue afin de vous faire comprendre l’importance de ces deux éléments qui touche à l’un des trois piliers de la sécurité numérique soit la disponibilité. Il y a quelques semaines, j’ai malencontreusement déversé tout le contenu de ma bouteille d’eau sur mon ordinateur. Heureusement, grâce à notre protocole efficace, j’ai réussi à minimiser l’impact de cet événement sur mon travail. Voici, brièvement, ce qui m’a permis de sauver beaucoup de temps :

• Grâce à notre serveur externe sur lequel on travaille de façon collaborative et dont la sauvegarde est faite quotidiennement, en plus de pouvoir compter sur un «back up» hébergé à l’externe,  j’ai immédiatement retrouvé l’accès à mes dossiers;
• Grâce à une technique d’organisation et à une formalisation de nos méthodes de sauvegarde, j’ai retrouvé facilement mes documents importants sur lesquels je travaillais actuellement, mais aussi les plus anciens;
• Grâce au gestionnaire de mots de passe, je n’ai pas perdu une seconde à chercher chaque accès aux différentes plateformes que j’utilise quotidienne. (Courriel, Facebook. Slack, Trello, Zoom, etc.)

---

À titre de résumé et dans le but d’illustrer notre processus, voici les étapes que nous avons traversées :

1. Identifier les actifs – Inventaire des données sensibles
2. Identifier les menaces
3. Évaluer les vulnérabilités
4. Évaluer le risque
5. Agir sur le risque

À l’étape 5, nous nous sommes entendus sur plusieurs objectifs que je vous partage ci-bas :

• Effectuer plus fréquemment un ménage du serveur (garder les documents utiles, archiver le reste);
• Établir un protocole de gestion des accès (potentiellement réduire le nombre de copies de documents « secrets », restreindre les accès à certain-e-s utilisateur-trice-s);
• Instaurer une gestion des mots de passe au sein de l’équipe;
• Configurer le « wifi invité » sur notre routeur;
• Réviser les paramètres de confidentialité sur les réseaux sociaux;
• S’assurer de faire les mises à jour des appareils et des applications (lorsqu’applicable) de manière religieuse;
• Vérifier que les antivirus sont actifs et à jour;
• Ajouter une section cybersécurité à la politique de gestion du risque;
• Établir une politique de réponse aux incidents numériques;
• Inclure dans la politique de sécurité, une formation / suivi / protocole pour prévenir l’hameçonnage.

Je conclurais en vous disant qu’à travers ce processus, l’équipe de Culture Lanaudière a constaté que de poser quelques actions tout à fait à notre porté lui apporterait assurément une tranquillité d’esprit et une sécurité numérique renforcie.

Nous vous invitons évidemment à faire de même, peu importe les besoins et la réalité de vos organismes.

Découvrez en plus sur le site de Cyber Sain et Sauf.

Il me fera également plaisir de vous accompagner dans le développement de votre stratégie en matière de cybersécurité.

Maude Desjardins - adn@culturelanaudiere.qc.ca