12/11/2019/ Last updated : 12/11/2019 Guy PlouffeISO9001:2015

Le numérique, les normes ISO et vos informations.

INTRODUCTION

Avez-vous l’impression que les articles dans les médias sur la protection des informations personnels et les incidents de vol de données, fraude, piratage informatique, rançongiciel ou des problèmes de cybersécurité sont maintenant devenus chose courante ? Que se passe-t-il réellement avec la mise en place des moyens ? Que disent les normes ISO sur ce sujet, les organismes de surveillance, nos gouvernements.

Que peut-on vraiment faire comme individu et professionnel, dans les entreprises ?

Je vous propose un regard parmi d’autres sur ce sujet et quelques trucs que l’on peut utiliser pour réduire ce risque.

DERNIÈRES NOUVELLES

Les médias nous montrent régulièrement de fuites d’informations personnelles dans les banques (caisse populaire, Banque de Montréal, CIBC, Citibank sur Cloud), Hotel Marriot avec 500 millions de clients touchés, les agences de crédits (Equifax et Trans union, etc.), Air Canada, le gouvernement provincial), les entreprises, chez-soi, sur nos téléphones ‘dit intelligent’, etc.

Si vous voulez vous faire une opinion, vous pouvez aussi visiter par exemple les sites de Radio-Canada, le Devoir, Les Affaires ci-dessous et vous aurez un échantillon des problèmes sur le sujet et des préoccupations traités.

Je ne veux pas nécessairement faire un résumé de ces articles, mais certaines informations sont très pertinentes pour la protection de nos informations personnelles et pour la mise en place de bonnes pratiques en cybersécurité. C’est ici que les exigences de plusieurs normes et bonnes pratiques entre en jeu dans nos entreprises et chez soi.

Suite à plusieurs problèmes de sécurité et de fiabilité des informations dans nos réseaux numériques des dernières années, le gouvernement fédéral a présenté à la foire-conférence internationale Vivatech a Paris le 15 mai dernier 2019, les énoncés d’une charte canadienne du numérique pour la modernisation de la règlementation applicable au pays. Cette charte fait suite à des consultations de juin à octobre 2018, car les plateformes Web ne répondent pas aux attentes des utilisateurs.

Cette charte est composée de 10 grands principes dont l’objectif est de mieux protéger les données et les renseignements personnels ainsi que la propagation des discours haineux. Cette charte sera suivie d’actions comme la modernisation de la Loi sur la protection des renseignements personnels et les documents électroniques dans le secteur public et privé.

L’intention est bonne, mais la question est quand ? Actuellement, au Québec, le gouvernement travaille sur cette modernisation de la loi. Au Canada ?

Certains liens de cette charte peuvent être fait dans l’application de moyens en entreprise qui traite les informations en relation avec certaines exigences de la norme ISO9001 comme :

  • Tous les Canadiens auront des chances égales de participer au monde numérique et disposeront des outils nécessaires pour ce faire, c’est-à-dire l’accès, la connectivité, la littératie et les compétences.
  • Les Canadiens pourront compter sur l’intégrité, l’authenticité et la sureté des services, et devraient se sentir en sécurité en ligne.
  • Les Canadiens pourront contrôler quelles données sont prélevées, qui les utilisent et pour quelle fin, et sauront que leur vie privée est protégée.
  • Les Canadiens pourront facilement gérer l’accès à leurs données personnelles et être en mesure de les transmettre sans se faire imposer un fardeau indu.

Wow ! Mais encore… ?

Nous savons que les firmes de marketing et les entreprises mettent en place depuis longtemps toute sorte de mécanismes pour la collecte d’information personnelle sur nos habitudes de vie et de consommations. Ces stratégies passent par exemple par les programmes de fidélisation, carte de points, on vous demande votre courriel au moment de payer dans un magasin, etc.

La plupart du temps ces informations servent les entreprises à construire des ‘persona’, améliorer leurs modèles d’affaires et leurs stratégies d’entreprise. Par contre, combien vous donne l’heure juste sur les investissements, les moyens et les garanties de protection de vos informations. Même notre gouvernement semble avoir des problèmes a maintenir son parc informatique contenant beaucoup d’informations critiques, nos dossiers de santé, etc., à un tel point qu’il existe des projets pour transférer nos informations sensibles vers des Cloud comme Amazon afin de réduire les coûts. Combien parmi eux ont une certification ISO27001. Bon j’arrête ici.

QUELQUES CHIFFRES

Selon les données publiées en 2018 par Statistique Canada, les dépenses moyennes en matière de cybersécurité varient grandement selon la taille de l’entreprise. Les grandes entreprises (250 employés et plus) ont dépensé 948,000$, la moyenne entreprise (de 50 è 249 employés) ont dépensé 113,000$ et les petites entreprises (de 10 à 49 employés) ont dépensé 46,000$.

Combien votre entreprise a dépensé en moyenne ?

Selon la chambre de commerce du Canada, 71% des violations de données se produisent auprès des PME et environ 50% d’entre elles ont déjà été victimes d’une cyberattaque. Tous sont d’avis que les attaques se raffinent plus rapidement que les moyens et l’écart se creuse sur notre capacité à faire face à ce défi.

Ref no 10

Selon un sondage de la firme Ernst&Young, les incidents liés à la sécurité information sont en hausse dans 51% dans les entreprises canadiennes. Une autre étude indique que seulement 22% des entreprises victimes d’infiltration avaient mis en place des processus d’évaluation et de gestion des cyberrisques. L’alliance CATA indique en sept 2019 que 32% des entreprises québécoises sont de bon élève en cybersécurité. Un autre sondage fait par la BDC indique que la cybersécurité arrive malgré tout, au dernier rang des préoccupations des entreprises soit 10%. Statistique Canada a publié que plus d’une entreprise sur 5 a été touchée par une cyberattaque en 2017. En 2018, un comité sénatorial plus de 10 millions de Canadiens a été touché par des atteintes à la protection des renseignements personnels en 2017. Les problèmes en 2018 sont encore plus importants.

Le marché de la cybersécurité dans le monde atteindra des dépenses de 170 milliards $ en 2020 selon l’organisme CyberEco. Ceci représente un besoin de 8000 professionnels au Canada d’ici 3 ans.

LES CAUSES

  • Manque de connaissances et de moyens en place pour se protéger.
  • Pénurie de personnel qualifié dans le domaine de la cybersécurité. Les PME sont toutes aujourd’hui dépendantes à différent degré de l’informatique. Un grand nombre de ces PME sont inconscientes des risques réels. Il y a un important manque de connaissance.

LES TENDANCES

TuV Rheinland a publié un rapport sur les tendances en 2019 repris sur différents blogs. Selon ce rapport, les organisations reconnaissent maintenant les cyberattaques comme un risque stratégique central. Ce n’est plus seulement un problème du département des TI. On observe de plus en plus ces attaques sur les équipements de production (OT-Operational Technology) et sur les objets du Web (IoT- Internet of things). Les usines de production sont attaquées dans le but d’obtenir des propriétés intellectuelles, secret industriel, et des informations d’ingénierie tandis que les attaques des infrastructures publiques sont motivées par des gains financiers.

Parmi ces tendances :

  • La cybersécurité est maintenant un aspect stratégique de la direction.

La protection des données est un élément central et les organisation intègre de plus en plus des analyses de risques au plan stratégique. Une partie importante de la valeur des PME sont les actifs informationnels. Il est possible d’en évaluer les couts quand l’on fait face a un incident. Aussi, lors de ventes ou de transfert d’entreprise, la vérification diligente ne se limite plus aux finances, mais aux autres aspects stratégiques. Il est fortement recommandé d’avoir des copies de sauvegarde lors de la vente d’entreprises. Malgré qu’environ 30% des organisation ont des plans stratégiques classiques maintenu ou non a jours, il est maintenant important d’intégrer les éléments de management au plan stratégique.

  • La cybersécurité industrielle a des années en retard important sur la sécurité générale des TI.

La plupart du temps, les organisations vont concentrer leurs actions à protéger les informations administratives, mais presque pas concernant les systèmes de production. Souvent ces systèmes sont maintenant reliés aux serveurs en interne et c’est ici que les dommages sont majeurs et que les pertes sont importantes en cas de cyberattaque.

  • La pression causée par l’imposition de moyens pour être conforme au GDPR

Si vous avez des activités et vous traitez des informations de personnes, fournisseurs, clients, etc. en provenance ou vers les pays membres de l’Union Européenne. Vous devez mettre des moyens efficaces en place pour assurer la protection des informations personnelles. Nous devons surveiller les changements législatifs dans les prochaines qui seront mis en place tels que la modernisation par exemple de la loi sur la protection des renseignements personnels dans les petites entreprises, la loi sur la protection des documents électroniques, etc.

  • Le manque de connaissance des travailleurs concernant la cybersécurité

La demande de spécialiste en cybersécurité est exponentielle. Il est estimé qu’il manquera 1.5 million de travailleurs dans ce domaine mondialement en 2020 et que cette tendance risque de doubler en 2021. Les grandes organisations mettre des efforts pour mettre en place ces équipes, mais en contrepartie, ce problème devient majeur pour les petites organisations par le manque de ressource professionnel dans le domaine.

  • La détection et les temps de réponse pour le traitement

L’automatisation des détections et les temps de réponse rapides sont le meilleur moyen de contrer les cyberattaques. Ceci demande une bonne coordination des actions via a plan d’intervention qui est lui-même testé et mis à niveau a chaque nouveauté ou tendances.

  • Test d’intégrité.

Ces tests sont holistiques, aléatoires, pour vérifier autant les infrastructures que le comportement des usagés dans des conditions réelles. L’objectif est d’éliminer les points faibles sur les moyens en place et dans le développement d’applications logicielles.

ALORS, MON PREMIER CONSTAT

Pour nos informations personnelles : La Solution est simple :

Quand une situation de vol arrive, on nous informe que beaucoup plus tard et le premier message est : ‘…Nous sommes désolés…’ Même si l’on parle de plus en plus de la protection des renseignements personnels, les intentions dans les organisations ne se traduisent pas toujours en actions. Après une analyse de la situation, la meilleure stratégie personnelle de protégé ces informations personnelles ou d’en réduire les risques est de ne pas les fournir ces informations sans connaitre le but exact et sans avoir obtenu un minimum de garantie de protection. Il ne faut pas se fier aux autres. Cette stratégie ne demande pas de connaissance, est accessible à tous, peu importe son niveau de connaissance ou d’éducation. Ce premier truc peut être assez efficace. Il est rarement possible d’obtenir des réponses cohérentes et valables quand l’on pose des questions a ces organisations.

Aussi, je suis d’accord avec un constat du comité sénatorial, il est important de mettre en place des programmes pour éduquer les Canadiens, Canadiennes et consommateurs. Autrement dit, il est important de rester à l’affut des tendances, car nous avons que très peu de recours contre le vol de nos renseignements personnels.

Quand nous sommes victimes de vol, il est aussi important de déclarer les cas de cybercriminalité à la police.

NORMES ISO9001 :2015 Système de Management de la Qualité

Chaque jour, votre entreprise peut être confrontée à des risques de sécurité qui ont un impact direct sur la productivité, la compétitivité et la croissance. Malheureusement, les PME par exemple, pensent que les applications de bases en place sont suffisantes, la protection n’est donc pas une priorité. Ils ne font pas d’analyse de risque et ont peu ou pas de plan de contingence. ‘Malheureusement, ça arrive seulement aux autres…’. Actuellement, les auditeurs ISO ont peu de connaissances suffisantes dans ce domaine pour être en mesure d’évaluer l’application de certaines exigences des normes.

Voici les exigences de ISO9001 que l’on devrait mieux comprendre pour la gestion d’informations, incluant les informations personnelles.

La norme ISO9001 :2015 articles 6.1 demandent de mettre des actions en œuvre face aux risques et opportunités.

Lors des audits,  je suis très souvent surpris que peu d’entreprises aient identifié les risques de cybersécurité malgré la dépendance aux technologies de l’information. Ce constat a aussi été confirmé par des données statistiques.

Ensuite, a l’article 7.1.3 pour les infrastructures, il est important de bien structurer les installations physiques pour assurer l’intégrité des informations et les protocoles de sauvegarde fiables. Des ordinateurs et réseaux mal organisés ne garantit pas l’intégrité des informations. Par exemple, l’utilisation seulement d’un NAS interne comme sauvegarde, d’une copie Cloud externe simple, etc.

L’article 7.5.3 pour la maitrise des informations documentées, cette exigence s’applique non seulement aux documents papier, mais aussi aux informations électroniques.

NORME 27001 :2013 Information Security Management Systems

La norme ISO27001 est complètement dédiée au volet informatique pour la mise en place de processus ISMS (Information Security Management System). On commence à voir certaines grandes organisations demander d’avoir en place au préalable des processus conformes à ISO27001 pour l’obtention de contrat.

La rubrique dans Wikipedia sur la Sécurité des systèmes d’information (SSI) ou plus simplement sécurité informatique, propose une définition et un ensemble d’étapes de base pour la mise en œuvre d’un programme ISMS. C’est l’ensemble des moyens techniques, organisationnels, juridiques et humains nécessaires à la mise en place de moyens visant à empêcher l’utilisation non autorisée, le mauvais usage, la modification ou le détournement des systèmes d’information.

Cette norme demande :

  • Examiner les risques de sécurité des informations associés à l’organisation, en prenant en compte les vulnérabilités, les menaces et leurs impacts.
  • Développer et mettre en place un système de contrôle de la sécurité de l’information. Adoptez d’autres formes de traitement des risques pour remédier aux risques découverts comme l‘évitement de risque ou transfert de risque.
  • Maintenir un processus de gestion efficace pour garantir qu’un programme ISMS continue est adapter aux besoins de l’entreprise.

La mise en œuvre d’ISO 27001 constitue une réponse aux exigences des clients et légales telles que le GDPR et les menaces potentielles à la sécurité comme :

  • Cybercriminalité
  • Failles de données personnelles
  • Vandalisme / terrorisme
  • Dégâts du feu
  • Abus
  • Vol
  • Attaque virale

NORME ISO27701 :2019 Data Compliance Management System Supporting GDPR Compliance et BS 10012:2017.Personnal Information management System

C’est une extension de la confidentialité des données conforme à l’ISO 27001. Cette nouvelle norme de sécurité de l’information fournit des lignes directrices aux organisations cherchant à mettre en place des systèmes assurant la conformité avec le GDPR et d’autres exigences en matière de confidentialité des données.

L’ISO 27701, également abrégé en PIMS (Privacy Information Management System), décrit un cadre pour les contrôleurs d’informations personnelles identifiables (PII) et les processeurs PII pour gérer la confidentialité des données personnelles.

L’obtention d’une certification de cette norme avec ISO27701 en complément a ISO27001 est une belle façon de démontrer aux clients et aux parties intéressées que vous avez mis en place des moyens efficaces pour assurer la confidentialité des informations et la gestion des risques.

QUOI FAIRE ? QUELQUES TRUCS.

En prenant en compte ces différentes approches et exigences, il est possible de proposer des TRUCS afin de réduire les risques (ISO9001 article 6.1.1, 6.1.2) et d’établir des plans d’actions d’amélioration.

Les trucs pour chacun/poste individuel

  • Chacun de vos ordinateurs, NAS, Cloud, etc. doit avoir un pare-feu et antivirus maintenu actif et à jours. Que ce soit chez vous ou dans n’importe quelle entreprise. Vous pouvez être surpris l’audit d’audit interne ou externe le nombre de postes qui ne se maintient pas à niveau.
  • Une analyse régulière (automatisé) de tous vos disques et clés UBS devrait être fait. Clé USB ? Même chose pour vos NAS.
  • Avoir des mots de passe complexe et les changer sur une base régulière. Par contre, ici se pose le problème de rétention de tous les mots de passe différents. De nouveaux moyens biométrique d’identification (facial, emprunte de doigt, l’œil et la voix) sur les tablettes, téléphones et portable sont des moyens mieux adaptés.
  • Vous assurez que votre éditeur de page Web maintiennent seulement les mots de passe sans impact sur vos informations personnels.
  • Nettoyer les bases d’informations et vos registres régulièrement sur tous vos ordinateurs.
  • Ne pas faire de transaction sensible directement sur votre téléphone. Si l’on vous vol ou perdez votre téléphone, vous risquez de vivre une histoire d’horreur et de même ne pas vous en remettre. (Histoire médiatisé)
  • Trousse chez Desjardins : https://www.desjardins.com/proteger-entreprise-contre-cyberattaques/index.jsp donne beaucoup d’informations et de bonnes pratiques afin de protéger les informations personnels et d’entreprises.

Pour votre entreprise

En plus des Trucs applicables pour soi, voici une liste non limitative d’actions possibles :

  • Avoir une solution fiable de copies de sureté.

Les rançongiciels verrouillent les postes informatiques qu’ils infectent en cryptant leurs données. Les postes étant vos ordinateurs individuels sur vos bureaux, les serveurs, NAS, clé USB. En effectuant régulièrement des copies quotidiennes de sûretés, cette menace tombe à l’eau, car on peut repartir de la sauvegarde         la plus récente. Attention un NAS avec 2 disques (RAID 1) miroirs n’est pas de la sauvegarde.

De plus en plus d’organisation se dotent de sauvegarde Cloud a distance sur des sites physiques externes et mettent en place des protocoles de sauvegarde efficace, incluant une sauvegarde sur disque dur

  • Faire toutes les mises à niveau

Système d’exploitation dernière version incluant les mises à jour, logiciels, pare-feu, anti-virus, site web, par exemple.

  • Renforcer la sécurité par mot de passe (double authentification, limite d’accès de documents à certaines personnes, blocage de certains sites). Pas de mot de passe générique. Les mots de passe doivent être complexe (ex :8 caractères minimum, contenant un chiffre, un caractère spécial, une majuscule) et changé aux 3 mois.
  • L’accès à distance aux systèmes de l’entreprise se fait via un VPN efficace.
  • La protection des renseignement personnel et financiers des clients devraient être chiffrés et accessibles uniquement aux personnes qui doivent les connaitre et les code pour débloquer ces codes ne doivent pas être sauvegardé sur le serveur ou accessible.
  • Filtrer les communications électroniques.

Les courriels et les messages textes frauduleux sont probablement une des sources les plus importante qui continue de faire des victimes. Mettre en place des filtres logiciels ou infonuagique qui bloque ces messages avant d’atteindre le poste de travail.

  • Sensibiliser vos employés doit être une priorité, car ils sont votre point faible, mais aussi votre meilleure protection. Tous les moyens sont bon tels que des formation, clinique de sensibilisation, simulation, infolettre, capsule de formation, etc., et ce, sur une base régulière incluant les nouvelles tendances, trucs et moyens.
  • Faire des tests réguliers d’intégrité de vos systèmes informatique et tester vos employés par des simulations de faux courriel par exemple. Ce moyen permet d’évaluer les écarts entre les technologies et sa stratégie d’entreprise, de faire de la sensibilisation et de mettre à niveau vos systèmes et votre infrastructure.
  • Trousse chez Desjardins : https://www.desjardins.com/proteger-entreprise-contre-cyberattaques/index.jsp
  • Avoir un plan de continuité des affaires/programme ISMS basé sur ISO27001, une politique de sécurité et un aide-mémoire sur la protection contre les rançongiciels connu de tous les employés, une politique d’utilisation acceptable des TI, directives de gestion de mot de passe et des pratiques de sécurité lorsque vous avez de nouveaux employés ou lorsque ceux-ci quitte et une politique de protection de la vie privée une politique de sécurité concernant le téléchargement et l’installation de nouveaux logiciels et leurs mise à jours
  • Avoir sur place une personne compétente en interne/ service responsable de la cybersécurité ayant les ressources nécessaires. (Exigence du RGDP)
  • Avoir mis en place des moyens de gestion RGDP conforme si vous faites affaires en Europe.
  • Avoir un protocole de cybersécurité pour définir les mesures à prendre en cas d’incident à la protection des données, avoir des accords de confidentialité entre les entrepreneurs et les fournisseurs, avoir une politique pour aviser immédiatement vos clients, fournisseurs, votre banque et les autorités. Ces actions devraient être des extrants de l’analyse des risques en 6.1 de ISO9001.
  • Ce qui est le plus important, faire une vérification périodique et une mise à niveau des protocoles, politiques et pratiques. La liste peut être exhaustive, mais nous en sommes rendus à ce niveau.

CONCLUSIONS

Pour un auditeur, en se basant sur les quelques trucs et les moyens possibles, il sera possible à tout le moins de posé de meilleurs questions pour vérifier la conformité de l’application des normes ISO.

Cet article n’est qu’un simple regard sur l’évolution des technologies et de notre utilisation au quotidien. Il est grand temps de mieux traiter ces risques autant personnellement que dans nos organisations. C’est certainement un grand défi stratégique, car les impacts négatifs sur les finances et la réputation peuvent être catastrophiques dans certains cas.

RÉFÉRENCES
  • Article publier par Radio-Canada le 21 mai 2019
  • Norme ISO9001 :2015
  • Desjardins Entreprise, Protéger votre entreprise des cybermenaces, Les affaires, 10-12-2018
  • Alain Mckenna, La cybersécurité, une opportunité ?, Les affaires, 6 oct 2018
  • Alain McKenna, Les trois piliers de bonne cyberdéfense pour votre PME, Les affaires 6 oct 2018
  • Pierre Théroux, La cybersécurité, un enjeux clé, Les affaires, sept 2017
  • La presse canadienne, La cybersécurité, principal frein à la croissance en ligne, Etide BDC, sept 2019
  • Jane Boler, Cybersecurity Trends to Watch in 2019, Blog Exemplar Global Blog, 15 Avril 2019
  • Janic Tremblay, Les PME québécoises trop vulnérables aux cyberattaques, Radio-Canada, 12 avril 2019
  • Les différents visages de la cybersécurité, Deloitte
Catégories
ISO9001:2015 et Non classé
AS9100D

Previous article

Les normes qualité et les Mesures d’efficacité
31/07/2019
AS9100D

Next article

Qualité 4.0 et le Plan Stratégique Qualité
13/01/2020