Protocole d’accès

Quoi : Le protocole d’accès établit vos règles de base quant aux phrases de passe et aux accès (dossiers et documents) octroyés aux employé.e.s, contractuel.le.s et partenaires de l’organisme. Il met également en place des procédures qui s’adaptent à la promotion ou au départ d’un.e membre du personnel.

Durée approximative : Ce protocole peut être organisé dans une réunion de deux heures au cours de laquelle vous pourrez prendre ensemble les décisions qui conviennent à tou.te.s.

Qui : Selon le mode de gouvernance de votre organisme.

---

Avoir un protocole d’accès permet d’établir des règles claires et acceptées par tout le monde. Si les accès aux données sensibles (voir le chapitre Données sensibles) sont bien gérés, vous réduirez substantiellement votre surface d’attaque. En limitant les accès, vous assurerez une meilleure intégrité des documents (vous réduisez le risque qu’un.e employé.e modifie ou supprime un document par mégarde!), et ce, sans impact sur leur responsabilité!

L’objectif d’un protocole d’accès est de formaliser des règles qui font sens pour votre équipe. Effectivement, tout protocole fonctionne uniquement si tout le monde en comprend l’utilité et en maîtrise les bases.

Pour cette raison, nous vous recommandons de planifier une rencontre d’environ deux heures afin de vous entendre sur l’utilité de ces mesures et pour prendre les décisions stratégiques d’un commun accord.

Nous vous proposons d’identifier une personne au sein de votre équipe qui sera responsable de vérifier si le protocole est bien appliqué au courant de l’année qui suit sa mise en place.

Les quatre axes du protocole

• Gestion des phrases de passe;
• Planification des rôles et gestion des accès;
• Gestion des courriels;
• Plan de roulement du personnel.

---

AXE 1 : Gestion des phrases de passes

Comme nous l’avons abordé dans le chapitre sur les phrases de passe, la mise en place d’une politique interne en la matière est nécessaire pour encourager les bonnes pratiques. Ces standards devront être communiqués clairement à vos employé.e.s et collaborateur.trice.s. Voici une liste de questions qui peuvent vous aider à structurer cette politique interne :

1. Mettre en place une politique de phrases de passe

a. Déterminez vos critères en matière de longueur (nombre de caractères ou de mots) et de complexité (chiffres et caractères spéciaux) pour les phrases de passes utilisées dans le cadre des activités de l’organisme. Nous vous suggérons quelques méthodes :

• Méthode Diceware (seulement en anglais);
• Méthode mnémotechnique;
• Utilisation de la fonctionnalité « générateur de phrase de passe » automatique offerte par plusieurs gestionnaires de mots de passe.

b. Déterminez vos critères en matière d’unicité des phrases de passe :

• Vous pouvez recommander d’avoir des phrases de passe drastiquement différentes d’un compte à l’autre (p. ex. : éviter les variantes d’une même phrase de passe). Il serait judicieux que votre politique interne invite vivement vos employé.e.s à utiliser des mots/phrases de passe complètement différents de ceux utilisés dans leurs comptes personnels.

2. Sélectionner un gestionnaire de mots de passe

a. Identifiez vos critères de sélection. Voici les fonctionnalités les plus fréquemment convoitées :

• Coût (certaines options sont gratuites);
• Génère des mots de passe;
• Remplit automatiquement les champs appropriés sur votre navigateur;
• Alerte ses utilisateurs des fuites de données;
• Opérationnel sur plusieurs appareils simultanément;
• Permet une connexion avec un second facteur d’authentification.

b. Faites des recherches pour trouver le gestionnaire qui correspond à vos besoins. Pour vous aider à la tâche, voici :

• Une ressource pour vous suggérer quelques options (seulement en anglais);
• Un article qui répertorie les gestionnaires les mieux cotés en 2020 (seulement en anglais).

3. Mettre en place le gestionnaire choisi dans votre organisation

a. Choisissez un plan qui vous convient :

• Certains gestionnaires ont des forfaits entreprises. Cela pourrait vous faciliter la vie, principalement en ce qui a trait à la facturation.

b. Téléchargez le gestionnaire sur les appareils appropriés :

• Dans l’objectif de réduire la surface d’attaque, utilisez le gestionnaire uniquement sur les appareils nécessaires.

c. Familiarisez-vous avec le gestionnaire et commencez tranquillement à l’utiliser. Nous vous suggérons une implantation par étapes :

• D’abord, inclure et sauvegarder les accès actuels (sans forcément les changer);
• Ensuite, s’habituer à l’utilisation de l’outil.

4. Modifier les mots/phrases de passe

a. Assurez-vous que tous vos anciens accès correspondent aux nouvelles normes de sécurité de votre organisation.

b. Nommez une personne dans votre organisation qui s’assurera que les nouvelles normes sont respectées par tout le monde.

5. Utiliser le double facteur d’authentification

Certaines plateformes proposent de vérifier votre identité en vous authentifiant sur un autre appareil ou avec un autre moyen (vérification de code par courriel, validation sur un cellulaire, etc.). Cela ajoute une couche de sécurité : avec un second facteur d’authentification, même si un.e adversaire connaît votre mot de passe, il/elle ne pourra pas accéder à votre compte sans ce deuxième facteur.

a. Activez la fonction « 2FA » sur vos différents comptes. Minimalement, si vous utilisez un même compte à des fins personnelles et professionnelles (Gmail, Google Drive, Dropbox, par exemple), l’utilisation d’un double facteur d’authentification peut être une mesure de précaution nécessaire pour sécuriser davantage ces accès. Voici l’ensemble des plateformes qui permettent le 2FA (seulement en anglais).

b. Téléchargez une application d’authentification. La manière la plus fréquente d’implanter un second facteur d’authentification est par SMS. C’est aussi la méthode la moins sécuritaire. Nous vous recommandons donc d’utiliser une application d’authentification. Trois options s’offrent à vous (seulement en anglais) :

• Google Auth
• Microsoft Auth
• Authy

c. Sauvegardez vos codes de sauvegarde. Lors de l’activation du 2FA, plusieurs services vous fourniront des codes de backup. Ces codes vous permettent de retrouver l’accès à votre compte si jamais vous perdez votre cellulaire. Notez-les sur un papier, ou faites-en une copie dans votre gestionnaire de mots de passe : l’important, c’est que ces codes soient en sécurité!

Voici un gabarit vous permettant de dresser un protocole de phrases de passe.

AXE 2 : Planification des rôles et gestion des accès

Dans le chapitre La gestion des accès, nous abordons l’importance de formaliser les rôles et postes présents dans l’organisme afin de déterminer et clarifier les accès associés à chacun d’entre eux.

Il est recommandé de ne pas réfléchir en tant que personne (Paul, Tim et Léa), mais en tant que rôle (Administration, Communications, Production…). Dans un organisme, une même personne peut avoir plusieurs rôles. Dans la même logique, un rôle peut être attribué à plusieurs personnes.

Cela peut vous aider autant en cas de départ d’un membre du personnel, mais aussi lors de changements de poste.

a. Il faudra d’abord dresser la liste de tous les rôles/postes dans votre organisme.

• Assurez-vous de penser autant aux postes permanents, stagiaires, employé.e.s temporaires ou contractuel.le.s ainsi qu’aux potentiel.le.s partenaires avec lesquel.le.s vous devez partager des fichiers.

b. Établissez la liste des accès pour chaque rôle.

• Pensez aux dossiers, aux serveurs, aux réseaux sociaux, etc.
• Pour vous aider, vous pouvez récupérer la liste que vous avez dressée dans l’inventaire Protocole de Sécurité.

c. Mettez à jour cette liste régulièrement. Il est généralement recommandé de mettre cette liste à jour :

• À tous les six mois;
• Lors de l’arrêt de travail d’un membre de l’organisme;
• Lors d’un changement de poste (promotion ou autres).

Pour dresser cette liste, voici un gabarit qui vous permettra de formaliser la liste des rôles et des accès qui leur sont associés.

AXE 3 : Gestion des courriels

Les courriels sont la base de votre travail. Nous savons que gérer les courriels dans un organisme qui voit son personnel changer souvent peut être lourd administrativement.

Déterminer quelles informations peuvent être envoyées par courriel

Il faut garder à l’esprit qu’un courriel est un médium ouvert qui parcourt différents systèmes avant d’être reçu. Bref, c’est un moyen de communication qui comporte plusieurs risques en matière de confidentialité. Nous vous incitons à réfléchir aux informations appropriées à échanger par courriel :

• Information confidentielle : Pour une information confidentielle, l’utilisation du courriel peut être pratique et adéquate. Vous devez tout de même garder en tête que des fournisseurs d’accès peuvent avoir au contenu de ces messages – selon le service que vous utilisez. Pour réduire les risques, vous pouvez :
  • Sauvegarder les courriels plus sensibles localement sur votre ordinateur au lieu de les garder dans votre boîte courriel. Dites-vous cependant que cela aura un impact sur disponibilité du courriel, mais augmentera sa confidentialité.
  • Prendre l’habitude de demander à votre interlocuteur.trice de supprimer le courriel après la transmission de l’information. Supprimer de manière définitive votre boîte d’archive sur une base régulière est également une bonne pratique.
  • Changer de fournisseur.euse afin de faire appel à des services qui offrent plus de sécurité. Des services tels que Proton, RiseUp et Posteo ont une excellente réputation.

• Information secrète : Pour une information secrète, c’est-à-dire dont la propagation doit uniquement être restreinte aux parties impliquées (NAS, par exemple), nous vous suggérons :
  • D’utiliser des canaux de communication chiffrés de bout en bout, comme WhatsApp ou Signal;
  • Si l’information est extrêmement secrète, vous pouvez également paramétrer ces applications pour permettre les messages éphémères.

Choisir vos méthodes d’attribution de courriels

Ici, nous vous offrons deux pistes de solutions quant à l’attribution des comptes courriel. À vous de voir la méthode la plus appropriée à mettre en place au sein de votre équipe.

Courriel générique

Avantages :

•  L’option des courriels génériques (par exemple : communication@aami.ca) est très pratique pour garder un suivi lors de changement de personnel.
• La passation peut se faire avec un minimum de manœuvres de redirection et de courriels perdus. Vous aurez simplement besoin de changer la phrase de passe en respectant votre politique d’accès.

Inconvénients :

•  Un.e attaquant.e peut plus facilement deviner les comptes (d’où l’importance de la mise en place d’une phrase de passe) et, de cette manière, la boîte de courriels peut être spammée.

Courriel nominatif

Avantage:

• Les risques de pourriels seront diminués.

Inconvénients :

• Les opérations de suppression de compte seront plus complexes;
• Risques de confusion et de perte de courriels avec la fonction de redirection lors d’un changement de personnel.

Sensibiliser l’équipe, vos membres et vos partenaires aux risques de l’hameçonnage

Pour limiter les risques d’attaque par courriels, l’idéal reste de mettre en place une formation de reconnaissance des courriels douteux (comme expliquée au chapitre 5). Celle-ci peut être effectuée quelques fois par année, question que vous soyez tou.te.s bien à jour!

Voici quelques ressources (seulement en anglais) pour informer votre équipe, vos membres et vos partenaires aux risques liés à l’hameçonnage :

Explications des pourriels;

Jeu éducatif en cybersécurité abordant les courriels;

Cette ressource sur la cybersécurité féministe a une section (en rose) traitant de l’hameçonnage.

AXE 4 : Plan de roulement du personnel

Les organismes membres de l’AAMI sont soumis à un roulement de personnel important. Les équipes sont souvent constituées de stagiaires, de consultant.e.s, de pigistes…

Pour que ce changement de personnel se fasse avec le plus de sécurité possible, nous vous recommandons de mettre en place un protocole de départ.

Voici quelques questions et recommandations :

• Résilier les accès pour chaque rôle;
• Formaliser vos pratiques de gestion des courriels (redirection ou changement des phrases de passe selon la stratégie choisie);
• Identifier les mesures nécessaires pour l’effacement des données sur les appareils personnels;
• Retirer les accès avec des comptes liés (Google, Facebook…).

Le départ d’un.e membre du personnel peut occasionner des pertes de données ou des dommages pour accord de proximité avec les adjectifs suivants (volontaires ou accidentels). En ayant une liste des rôles et leurs accès ainsi qu’un protocole à appliquer avant le départ, vous pourrez éviter la plupart de ces pertes.

• Gabarit d’un document départ d’un membre du personnel.

---

Liste de contrôle

• Mettre en place une politique en matière de phrases de passe;

• Sélectionner un gestionnaire de mots de passe pour l’organisation;

• Mettre en place le gestionnaire choisi;

• S’assurer que la politique en matière de phrases de passe est respectée (changement des mots de passe non conformes);

• Mettre en place la double authentification quand c’est disponible;

• Inciter à ne plus utiliser la connexion sans authentification;

• Dresser la liste des différents rôles dans l’organisme;

• Dresser la liste des accès pour chaque rôle;

• Planifier une mise à jour régulière de la liste (dès qu’un changement s’opère dans l’organisme);

• Déterminer auprès de vos membres et de votre équipe quelles informations peuvent être envoyées par courriel;

• Choisir une méthode d’attribution des courriels;

• Mettre en place une formation de reconnaissance des courriels douteux;

• Mettre en place le protocole pour le départ d’un membre du personnel;

• Planifier la prochaine réunion pour parler des accès.