Quoi : Le protocole de sécurité permet d’identifier et de classer vos données sensibles en créant un inventaire qui vous permet de vous prévenir contre les incidents en sécurité numérique et de les surmonter.
Durée approximative : Prévoyez une réunion de trois heures pour catégoriser ensemble les données sensibles de l’organisme et établir un plan d’action adéquat pour assurer leur confidentialité, leur intégrité et leur disponibilité.
Qui : Ce protocole concerne toute l’équipe.
Ce protocole de sécurité vous prépare à répondre adéquatement à tous types d’incidents numériques : qu’ils soient dus à des cyberattaques criminelles ou à nos erreurs et failles d’êtres humains.
Ce protocole se déroule en deux temps.
La première phase en est une de planification. En outre, elle vise à faire un inventaire des données et à établir un plan de sécurité conséquent avec la réalité de votre organisme.
La deuxième phase vise à établir un plan d’action qui se déploie après un incident de sécurité.
Les deux phases du protocole
Phase 1 : planification (avant un incident)
La cybersécurité, c’est préventif par définition. C’est comme porter un casque à vélo : on ne voit pas toujours l’utilité au quotidien, mais c’est essentiel en cas d’incident.
Ainsi, la meilleure (et probablement la seule) manière de minimiser les impacts d’un incident est de connaître le niveau de risque associé à l’ensemble de vos données et documents. Il s’agit ensuite d’identifier des manières de les sécuriser (assurer leurs disponibilité, confidentialité et intégrité) efficacement.
Vos artistes, membres et partenaires vous font confiance pour protéger leurs informations personnelles et documents confidentiels. De meilleures pratiques en sécurité font partie de la cybercitoyenneté, en protégeant votre organisme, et surtout votre crédibilité auprès de vos partenaires et vos allié.e.s!
A) Faire l’inventaire
Énumérez tous les documents et informations que votre organisme conserve ou utilise.
Par exemple, ces informations peuvent être :
- Les noms et courriels des donateurs.trices;
- Les reçus pour les achats de matériaux;
- Les NAS des membres du personnel;
- Les informations bancaires de votre organisme;
- Le compte PayPal (ou autre) de votre organisme;
- Le budget annuel;
- Le contenu du site Web;
- Les archives de projets antérieurs;
- Les communications professionnelles (courriels, messages textes);
- Les comptes de réseau sociaux (YouTube, Facebook, etc.);
- Les projets en développement;
- Les demandes de subvention.
Vous pouvez diviser ces informations en catégories. Cette classification vous permettra un inventaire plus systématique et vous aidera à ajouter des documents ou informations que vous auriez oubliés.
Pour vous aider à la tâche, nous avons mis en place un gabarit. À titre d’exemple, nous l’avons rempli avec l’inventaire d’informations et de documents identifiés plus haut.
B) Évaluer le niveau de risque des données
Il faut maintenant évaluer la sensibilité et le niveau de risque de chacun des documents et données que vous avez identifiés préalablement.
Référez-vous à l’étape (2) du gabarit et évaluez le degré de sensibilité des données en fonction des critères que nous avons établis dans le chapitre sur les données sensibles. Indiquez, dans la case appropriée du tableau, s’il s’agit de données :
- Publiques
- Confidentielles
- Secrètes
(Il est à noter que l’évaluation de la sensibilité des données est extrêmement subjective. Elle dépend du contexte spécifique de votre organisme. L’évaluation faite à titre d’exemple dans le gabarit est donc purement fictive.)
Ensuite, suivant l’étape (3) du tableau, identifiez les risques (sur une échelle de 1 à 25) pour chacun des évènements relatifs aux trois piliers de la sécurité numérique. Vous pouvez évaluer le niveau de risque à l’aide de la matrice d’évaluation de risque. Le risque associé à un scénario résulte de la multiplication de deux variables :
La probabilité qu’un incident se produise (1 à 5). En fonction de vos activités, de vos connaissances en informatique et de vos pratiques en sécurité actuelles, vous évaluez la probabilité en fonction du barème suivant :
- Très faible (1)
- Faible (2)
- Probable (3)
- Très probable (4)
- Extrêmement probable (5)
L’impact de l’incident sur votre organisme (1 à 5). Pour cette variable, vous devez vous questionner sur l’impact qu’auraient le vol, l’altération ou l’indisponibilité de certains documents. Vous pouvez poser des questions comme : qu’adviendrait-il si ces informations étaient rendues publiques? Qu’arriverait-il si ces informations étaient incorrectes? Qu’arriverait-il à l’organisme, aux partenaires ou aux client.e.s si on ne pouvait plus accéder à ces informations? En fonction de vos réponses, vous pouvez déterminer si l’impact est :
- Insignifiant (1)
- Mineur (2)
- Modéré (3)
- Majeur (4)
- Critique (5)
Vous devrez donc indiquer un score entre 1 et 25. Plus le score est élevé, plus votre organisation devrait déployer des efforts pour sécuriser cette donnée. Nous vous recommandons également, comme nous l’avons fait dans l’exemple, de laisser des traces écrites de votre raisonnement. Ces traces peuvent être laissées en commentaires dans le gabarit.
C) Identifier les endroits et appareils où sont stockées vos données
Commencez par dresser une liste de tous les appareils et services d’infonuagique utilisés par des membres de votre organisme (ordinateur, tablette, cellulaire, serveur, disque dur, service infonuagique…).
Assurez-vous également d’inclure les appareils de personnes qui sont avec vous de manière temporaire (pigistes, consultant.e.s…). Cette tâche peut paraître ardue, mais c’est la seule manière d’avoir une réelle connaissance de l’état de sa sécurité.
Pour vous aider à la tâche, référez-vous à l’étape (4) du gabarit. Dans ce tableau, indiquez les endroits où sont actuellement stockées vos informations et données sensibles.
Voici une astuce : pour faciliter la mise en place de votre plan d’action, utilisez un code de couleurs.
- Rouge pour les informations qui ne devraient pas être stockées à l’endroit où elles sont présentement;
- Vert pour indiquer un endroit où elles devraient être stockées;
- Gris pour les documents sauvegardés à la bonne place (aucun changement à faire).
D) Établir des priorités d’action
En ayant fait l’inventaire de vos données, l’évaluation de risques et l’inventaire des appareils où elles sont stockées, vous pouvez maintenant faire un plan d’action!
Souvenez-vous, vous ne pouvez pas sécuriser toutes vos données de manière égale. Le gabarit devrait donc être un outil qui vous aide à prioriser certaines pistes d’actions.
Cela nous mène à la cinquième section du tableau. Cette section vise à identifier, en fonction de votre évaluation de risque, les actions à entreprendre en matière de cybersécurité. Pour remplir cette section, appliquez les étapes suivantes :
- Identifiez tous les risques qui ont obtenu un score de plus de 15 (priorité 1);
- À l’aide du manuel, identifiez les actions et les protocoles qui peuvent être mis en place pour amener le risque à un niveau que vous jugez acceptable;
- Recommencez l’opération pour les risques de priorité 2 (8 à 14), priorité 3 (4 à 7) et priorité 4 (1 à 3).
Phase 2 : Réagir après un incident ou une attaque
- Déclarer et documenter lorsqu’un incident est repéré (contenu modifié, perte de dossier…). Il est possible de se faire un document « rapport d’incident numérique » pour garder le tout dans un même dossier;
- Identifier quelles données ont été touchées;
- Contacter les personnes responsables du domaine touché (site Web, archives, service infonuagique, etc.);
- Au besoin, prévenir les personnes concernées (client.e.s, partenaires, etc.). Consultez le protocole légal à cet effet;
- Réparer, remplacer les données (voir protocole Sauvegarde).
Liste de contrôle
- Énumérer les données gérées et utilisées par votre organisme (présentes dans les appareils et programmes);
- Évaluer la sensibilité de ces données (publiques, confidentielles, secrètes);
- Évaluer le niveau de risque associé à chacune de ces données;
- Dresser l’inventaire des plateformes et appareils utilisés par l’organisme;
- Établir l’ordre de priorité pour les actions à entreprendre pour ramener le risque à un niveau acceptable pour votre organisme.