Aller au contenu principal
  • Cybersécurité

Principes de conception relatifs à la gestion des cyberrisques

Par Erin Hutchison
Spécialiste des communications

Application des principes de redondance, de pardon et du maillon le plus faible à la cybersécurité.

Il y a quelques années, j’ai suivi un excellent cours sur LinkedIn Learning intitulé « The Universal Principles of Design » (les principes universels de la conception), qui couvre plus de 50 principes fondamentaux. Chaque leçon aborde un principe et comporte un exemple concret qui permet de mettre ce principe en application ou d’expliquer son origine. Les exemples portent sur tous types de situations, allant de la prévention de catastrophes comme l’écrasement d’un avion à la conception de meilleurs bulletins de vote pour des élections.

Les principes de conception regorgent de conseils fondamentaux que vous pouvez appliquer pour améliorer les choses et vous protéger des erreurs ou des préjudices dans votre travail ou votre vie quotidienne. Ils se révèlent particulièrement utiles dans la gestion des risques, quelle qu’en soit la forme. Alors, comment pouvons-nous tirer des enseignements de la connaissance humaine pour nous prémunir contre les scénarios les plus pessimistes?

Intégrée à une stratégie de défense, une bonne conception contribue à prévenir les cyberattaques susceptibles de compromettre les systèmes et les données des organisations, provoquer des interruptions de service, nécessiter des mesures de récupération coûteuses, ruiner la réputation des marques, et plus encore. Je vous présente ici trois principes de conception ainsi que la manière dont ils s’appliquent à la gestion des cyberrisques au sein d’une organisation.

1. Le principe de redondance

Le principe de redondance consiste à disposer d’une procédure de secours qui permet à l’organisation de continuer à mener ses activités en cas de défaillance. Il existe quatre types de redondance :

  1. la redondance additive : consiste à disposer de plusieurs éléments d’un seul type;
  2. la redondance diversifiée : consiste à disposer de plusieurs éléments de types différents;
  3. la redondance active : l’élément est appliqué en tout temps;
  4. la redondance passive : l’élément n’est appliqué qu’en cas de défaillance.

Exemple de redondance au quotidien : disposer d’une roue de secours dans son coffre.

Exemple de redondance dans la gestion du cyberrisques : les sauvegardes de données. Voici ce que le Centre pour la cybersécurité indique au sujet des sauvegardes :

La sauvegarde des données est un élément essentiel des efforts qui doivent être déployés pour assurer un rétablissement rapide non seulement à la suite d’un incident de cybersécurité, comme une attaque par rançongiciel ou par maliciel, mais aussi des suites d’une catastrophe naturelle, d’une panne d’équipement ou d’un vol. Les organisations devraient conserver leurs copies de sauvegarde chiffrées dans un endroit sécurisé. Seuls les responsables de la mise à l’essai ou de l’exécution des activités de reprise devraient pouvoir accéder aux copies de sauvegarde. Les organisations devraient également envisager d’entreposer les copies de sauvegarde hors site (emplacement physique ou services d’infonuagique) pour varier les méthodes dans l’éventualité d’un sinistre (incendie, inondation, tremblement de terre ou incident de cybersécurité localisé).

Scott McMullen, gestionnaire du réseau et de la sécurité chez CIRA, a déclaré que « la diversité de vos outils et de vos fournisseurs de cybersécurité peut contribuer à la redondance. Si l’un de vos fournisseurs subit une interruption de service, vous aurez une solution de secours en place pour protéger vos données et vos systèmes ».

Remarque : La redondance est une bonne pratique, mais elle peut augmenter le coût, le poids et la complexité d’un système. Considérez l’authentification à facteurs multiples, par exemple. Bien qu’elle empêche les cybercriminels d’attaquer des cibles faciles (comme des mots de passe faciles à déchiffrer), il existe une lutte constante avec les hésitations, le refus pur et simple ou la révocation de la mise en œuvre de l’authentification à facteurs multiples, laissant les organisations vulnérables aux cyberattaques. En fin de compte, l’authentification à facteurs multiples est un moyen recommandé et éprouvé de protéger votre organisation. Les utilisateurs devraient pouvoir se permettre de prendre quelques secondes supplémentaires pour se connecter aux systèmes, mais cela peut prendre un peu de temps pour s’y habituer.

2. Le principe du maillon le plus faible

Le principe du maillon le plus faible consiste à mettre en œuvre un élément conçu pour tomber en panne afin de protéger les autres éléments du système contre les dommages. Le maillon le plus faible est également un grand jeu télévisé.

Exemple dans la vie de tous les jours : les fusibles sont conçus pour cesser de fonctionner afin qu’une surtension n’endommage pas un circuit électrique.

Exemple dans la gestion des cyberrisques : une erreur humaine est impliquée dans 95 à 98 % des cyberincidents. Elle peut être causée par des actions telles que cliquer sur un lien ou transférer de l’argent à un destinataire erroné. Cela s’explique par le fait que les cybercriminels utilisent l’ingénierie sociale pour exploiter les émotions et la vulnérabilité des humains.

On dit souvent que les humains sont le maillon le plus faible de la cybersécurité. Mais, tout comme un fusible, ils peuvent également être votre plus grande force. Notre sondage sur la cybersécurité de 2021 a révélé que 95 % des gestionnaires de TI étaient d’accord pour dire qu’une formation en cybersécurité était efficace pour réduire le nombre de cyberincidents dans leur organisation. Vous pouvez envisager de travailler avec les cybergroupes à haut risque, tels que la haute direction et le service des finances, afin de les aider à devenir des champions de la cybersécurité dans votre organisation.

3. Le principe de pardon

Le principe de pardon est un concept qui vise à aider les humains à éviter les erreurs, mais aussi à les protéger des conséquences lorsqu’ils en commettent une.

Exemple dans la vie de tous les jours : les ralentisseurs sonores (ou bandes rugueuses) qui bordent les autoroutes pour alerter les conducteurs et les empêcher de dévier de leur voie.

Exemple dans la gestion des cyberrisques : une formation en cybersécurité peut grandement contribuer à sensibiliser ses participants sur la question, mais elle n’élimine en rien les risques d’incident. Après tout, nous sommes tous humains, et même l’employé le plus féru de technologie peut être pris au dépourvu s’il passe une mauvaise journée. En appliquant le principe du pardon aux courriels d’hameçonnage, un pare-feu qui bloque l’accès aux URL malveillantes peut empêcher les cyberattaques dans le cas où un employé clique sur un lien d’hameçonnage.

Principes de conception appliqués à la cybersécurité 

Nous pouvons tous tirer des enseignements des principes de conception établis. Ils peuvent être appliqués à n’importe quel secteur d’activité pour éviter les pires scénarios, et la gestion des risques de cybersécurité au sein des organisations ne fait pas exception.

Pour en apprendre davantage, je vous recommande de lire cet excellent article sur les principes de conception propres à la sécurité, tels que les principes de moindre privilège et d’acceptabilité psychologique. Si vous cherchez à mettre en place une stratégie mature de gestion des cyberrisques au sein de votre organisation, il est bon de garder ces principes de conception à l’esprit.

À propos de l’auteur
Erin Hutchison

Erin apporte à CIRA son bagage du marketing dans les secteurs de l’enseignement supérieur et des organismes sans but lucratif. En 2016, elle a participé au Programme Jeunesse@IGF de l’ISOC et s’est rendue à Guadalajara, au Mexique, pour participer à l’IGF. Elle est titulaire d’un baccalauréat en commerce international délivré par l’Université Carleton.

Nouvelles connexes

Guide de CIRA pour repérer les escroqueries employant le nom de l’ARC

Guide de CIRA pour repérer les escroqueries employant le nom de l’ARC

Lire
Blogue
Trois façons d’assurer la cybersécurité de votre famille

Trois façons d’assurer la cybersécurité de votre famille

Lire
Blogue
Comment être en cybersécurité avec un budget limité : conseils pratiques pour la cybersécurité à faible coût

Comment être en cybersécurité avec un budget limité : conseils pratiques pour la cybersécurité à faible coût

Lire
Blogue
Au cas où vous l’auriez manqué — Risques de cybersécurité et municipalités — ce que les élu·es doivent savoir

Au cas où vous l’auriez manqué — Risques de cybersécurité et municipalités — ce que les élu·es doivent savoir

Lire
Blogue
Comment mesurer votre programme de test d’hameçonnage : tous les indicateurs que vous devez connaître

Comment mesurer votre programme de test d’hameçonnage : tous les indicateurs que vous devez connaître

Lire
Blogue
Conseils pour une nouvelle année cybersécurisée

Conseils pour une nouvelle année cybersécurisée

Lire
Blogue
Restez à l’écoute

Voir plus de nouvelles

Lire
{( translate(state.status) )}