Cette infolettre présente les dernières nouvelles, tendances et événements en matière de cybersécurité afin de vous aider à trouver des idées pour renforcer la sécurité de votre organisation.
Certification CyberSécuritaire Canada
Les audits de sécurité ne sont pas différents, et la valeur est dans le voyage avec la collecte d’observations et d’idées en cours de route. La certification de CyberSécuritaire Canada (CSC) est divisée en 5 contrôles organisationnels et 13 contrôles de base pour aborder divers aspects des meilleures pratiques en matière de cybersécurité. CSC encourage les organisations à mettre en œuvre le plus grand nombre possible de ces contrôles de base, et elle comprend que toutes les organisations ne peuvent pas mettre en œuvre tous les contrôles. Si la majorité des organisations canadiennes mettent en œuvre ces con-trôles, votre organisation sera plus résiliente et cybersécurisée.
« Un voyage de mille lieues commence
toujours par un premier pas. »
— Lao Tzu
Au cours de leur parcours, de nombreuses entreprises découvrent dans quelle mesure le personnel est sensibilisé aux pratiques de sécurité (courriel et services bancaires), l’inventaire est catalogué (y compris la valeur des actifs), les processus sont affinés (calendrier de mise à jour des systèmes) et la disponibilité des coordonnées (internes, externes et ressources) tout en élaborant un plan de réponse aux incidents (IRP). Idéalement, ce plan est continuellement amélioré en examinant et en participant à une simulation annuelle de cybersécurité.
De nombreuses startups et entreprises de haute technologie se développent si rapidement qu’elles perdent la trace de leurs actifs et de ceux qui y ont accès. Vous ne pouvez pas protéger ce que vous ne connaissez pas. Le CSC met en évidence certaines des clés de la construction d’une infrastructure durable, évolutive et de préférence automatisée. Un exemple serait un système d’inventaire et de gestion des correctifs.
CSC est un programme de certification en matière de cybersécurité destiné aux petites et moyennes organisations.
CyberSécuritaire Canada est accrédité par le Conseil canadien des normes (CCN) qui assure la pratique des organismes de certification. Ces organismes vérifient que les entreprises ont mis en œuvre tous les contrôles de sécurité requis pour la certification CyberSécuritaire, selon les critères d’audit établis par l’ISED et le Centre canadien pour la cybersécurité.
La certification peut être considérée comme un objectif final. Les entreprises peuvent utiliser ce cadre comme base pour améliorer leur posture de cybersécurité sans passer par le processus d’accréditation.
En prenant des mesures pour améliorer la posture de cybersécurité d’une organisation, les entreprises pourront:
- limiter les impacts d’un cyberincident;
- renforcer leur avantage concurrentiel et attirer de nouvelles activités;
- rassurer leurs clients et investisseurs sur la protection de leurs informations;
- améliorer leurs connaissances en matière de cybersécurité.
Comment obtenir la certification
Se préparer à la certification
De nombreuses ressources sont disponibles pour vous aider à entamer le voyage vers la certification, notamment des modules d’apprentissage en ligne, des guides pratiques et des modèles. Les entreprises peuvent également choisir d’engager une société de conseil en sécurité pour évaluer et fournir des recommandations sur les mesures de sécurité à privilégier. Voici quelques options disponibles :
- Des séries d’apprentissage en ligne gratuites : Modules à suivre à son propre rythme (lien).
- Outils de certification : Modèles, exemples et guides pratiques (lien).
Le processus de certification
Il y a 4 étapes pour obtenir la certification ; cependant, ces étapes nécessitent des niveaux variables de temps, de ressources et d’engagement à mettre en œuvre.
- Examiner et mettre en œuvre les zones de contrôle de la sécurité (lien)
- Inscrivez-vous sur le portail CyberSecure Canada ou, pour les clients du PARI contactez votre CTI (lien)
- Sélectionnez un organisme de certification accrédité
- Soumettre les documents remplis et prendre les mesures correctives nécessaires (la recertification est requise tous les deux ans)
La demande des entreprises est souvent très importante. Nous avons constaté que les clients du PARI ont besoin d’environ 50 heures de conseils (de la part d’une entreprise de cybersécurité) afin de réussir CyberSécuritaire Canada. Le travail que l’entreprise doit faire en plus est bien supérieur à 50 heures en moyenne. Un exemple serait « Corrections automatiques des systèmes d’exploitation et des applications ».
Un bon point de départ consiste à classer par ordre de priorité chacun des contrôles de CyberSecure Canada et à estimer le temps et les ressources nécessaires à leur mise en œuvre. Il existe plusieurs guides pratiques sur le portail de CyberSecure Canada. La mise en œuvre, selon la taille de l’organisation, peut prendre de quelques heures à plusieurs jours. Aussi, le choix d’un fournisseur réduirait le temps de mise en œuvre, mais augmenterait naturellement le coût.
Les entreprises qui travaillent avec le PARI-CNRC (Conseil national de recherches du Canada – Programme d’aide à la recherche industrielle) peuvent bénéficier d’une assistance consultative pour les entreprises qui souhaitent obtenir la certification CyberSecure Canada. Selon le budget disponible, le PARI peut être en mesure de soutenir un conseil d’expert de 25 heures sur CyberSecure Canada par une entreprise de cybersécurité approuvée par le PARI, ainsi que le premier audit CyberSecure Canada du client du PARI. Les entreprises du PARI doivent communiquer avec leur CTI (conseiller en technologie industrielle) du PARI pour obtenir de plus amples renseignements.
Un soutien est également disponible pour les entreprises québécoises grâce à l’aide financière de Développement économique Canada pour les régions du Québec par le biais d’In-Sec-M (cybersecuritaire@insecm.ca).
Un tremplin vers d’autres certifications
CyberSécuritaire Canada est un bon point de départ qui, moyennant des efforts supplémentaires, peut mener à d’autres certifications reconnues par l’industrie, comme CIS, CMMC, SOC 2, ISO ou PCI DSS. Les contrôles de ces cadres se chevauchent en tout ou en partie. Par exemple, le CSC BC3.1 décrit l’existence d’un plan de réponse aux incidents (IRP), tout comme le CIS 19.1, le SOC 2 CC7.4 et le PCI DSS 12.10. La certification CyberSécuritaire Canada est reconnue par le gouvernement canadien.
Une fois qu’une entreprise a parcouru un processus de certification, elle a une idée du temps et des ressources nécessaires pour le mener à bien. Les certifications SOC 2, ISO et PCI DSS sont les plus difficiles à obtenir. Selon la taille de l’entreprise, il est recommandé d’affecter une ressource à plein temps à l’audit et à la conformité, et même d’envisager d’engager un tiers pour aider à la préparation à la conformité, car il dispose souvent de modèles à utiliser et peut tester l’efficacité des contrôles.
Chaque organisation devrait s’engager dans la voie de la certification la plus adaptée à ses activités.
De nombreux aspects sont souvent négligés, et un cadre de sécurité tente de mettre en évidence les domaines clés.
C’est ce que fait la certification CyberSecuritaire Canada.