La cybersécurité dans les petits cabinets comptables

Transcription

1 La cybersécurité dans les petits cabinets comptables VISER DE MEILLEURES PRATIQUES ET MESURES DE PROTECTION Prêter attention à la sécurité informationnelle CPA Canada a récemment fait appel à Nielsen pour mener un sondage en ligne sur la sécurité informationnelle dans les petites et moyennes entreprises (PME). Axé plus particulièrement sur les pratiques des PME, ce sondage, mené auprès de 398 professionnels comptables (la marge d erreur étant de ±4,9 %, 19 fois sur 20), portait sur certains éléments de base de la sécurité des TI et a permis de dégager des faits révélateurs sur l état de la protection des données dans divers secteurs. Lorsque l on compare les pratiques et les priorités des cabinets comptables canadiens à celles des organisations d autres secteurs, on constate que les préoccupations sont pratiquement les mêmes quant à la sécurité des TI et aux risques connexes d atteintes à l intégrité des données. Malgré cela, les petits cabinets comptables affichent un retard étonnant dans l adoption de certaines pratiques de base en matière de sécurité des TI, et ont une maigre connaissance des mesures de protection appropriées. 1

2 2 La cybersécurité dans les petits cabinets comptables Une forte proportion (81 %) des répondants se disent confiants quant à la sécurité des systèmes et des données dont dépend leur organisation, mais les répondants des cabinets comptables ont été plus enclins que ceux des autres types d organisations de petite et de moyenne taille à indiquer que leur organisation avait des lacunes dans au moins un des trois domaines suivants : 1. sauvegarde des systèmes hors site 2. modification régulière des mots de passe 3. désignation d une personne responsable de l examen régulier des droits d accès des utilisateurs et des comptes d utilisateur Cet écart entre confiance et pratiques réelles est le signe que les professionnels en exercice ont un faux sentiment de sécurité, eux qui sont tenus d adhérer à des règles de déontologie strictes. Quels sont les enjeux? Les professionnels comptables canadiens ont bien raison de se préoccuper de la sécurité des TI, car les nouvelles menaces sont loin d être négligeables et le risque d être victime d attaques malveillantes va croissant. Un incident de sécurité peut avoir des répercussions à de nombreux égards dans une organisation : temps, argent, réputation, et statut professionnel pour les membres de CPA Canada. En cas d atteinte à l intégrité des données, la probabilité de perdre plus que de simples données d entreprise augmente. Plus important encore, on risque de perdre des données relatives aux clients. Malheureusement, les organisations qui ont mis en place peu de mesures de protection efficaces sont plus vulnérables aux cyberattaques. De surcroît, elles sont moins susceptibles de détecter les incidents de sécurité et les atteintes à l intégrité des données qui pourraient nuire à leurs affaires et compromettre les renseignements dont elles ont la garde.

3 Au total, 43 % des répondants ont indiqué avoir déjà vécu un problème de sécurité qui a eu des répercussions sur leurs affaires (voir ci-dessous pour des renseignements plus détaillés sur le nombre et les types de problèmes signalés). Nous avons constaté que les organisations ayant peu de contrôles de base étaient plus susceptibles de figurer du côté des 57 % des répondants qui disent ne pas avoir vécu de problèmes de sécurité des TI ou d atteinte à la sécurité des TI, ce qui accroît la probabilité d un faux sentiment de sécurité. Quels sont les aspects positifs? Malgré la faiblesse de leurs pratiques en matière de sécurité des TI dans certains domaines, les professionnels en exercice canadiens ont appliqué autant ou plus de mesures de protection que leurs homologues dans quelques domaines importants. Ce tableau montre que les membres de CPA Canada se soucient de protéger leurs propres données de même que celles de leurs clients. En outre, dans les entreprises qui ont l avantage d avoir désigné un responsable de la sécurité informationnelle, les pratiques témoignent de l importance accordée à la protection des données et aux contrôles d accès. La cybersécurité dans les petits cabinets comptables 3

4 4 La cybersécurité dans les petits cabinets comptables Ces mesures de sécurité des TI, associées à des pratiques appropriées en matière d architecture de réseau, de classement des données, de gestion des correctifs (modification du code) et de mises à jour diligentes, sont des éléments de base essentiels à la réduction des incidents de sécurité dans toute organisation. Pratiquement tous les répondants (96 %) ont indiqué que leur organisation procédait fréquemment à la sauvegarde des systèmes et des données sur place, comparativement à environ huit répondants sur dix (78 %) qui ont indiqué faire une sauvegarde de leurs données hors site sur une base régulière. Cela semble montrer une préférence pour la simplicité de la sauvegarde sur place. De façon similaire, même si des mots de passe complexes sont utilisés, le fait de ne pas avoir l obligation de les modifier régulièrement nous rappelle que la facilité et les habitudes culturelles peuvent continuer de l emporter sur les pratiques en matière de sécurité. Que peut-on améliorer? Le secteur de la sécurité des TI a fait beaucoup de chemin ces vingt dernières années. Au début, quelques pratiques exemplaires de base ont été établies à titre de protection contre les risques croissants associés aux réseaux de systèmes informatiques. Certaines lacunes existent toujours, mais elles peuvent être corrigées si l on prête attention à des notions élémentaires en sécurité informationnelle : 1. vérifier périodiquement les droits d accès des utilisateurs et supprimer les droits inutiles 2. examiner les comptes d utilisateur afin de détecter tout signe d activité douteuse 3. instaurer la modification régulière des mots de passe La majorité des répondants au sondage ont indiqué que la sécurité des TI est gérée à l interne dans leur organisation, mais un grand nombre d entre eux n ont pas attribué les tâches correspondantes à des personnes précises à l interne ou à l externe. Dans de tels cas, faire appel à un expert en matière de sécurité des TI devrait être une priorité.

5 Ressources et lectures complémentaires (offertes sur CPACanada.ca) 1. Avis aux administrateurs : Risques liés à la cybersécurité Questions que les administrateurs devraient poser 2. Manuel de CPA Canada et normes professionnelles 3. Guide sur la protection des renseignements personnels et la sécurité des données au Canada 4. Sondage sur les principales initiatives technologiques 5. «La cyberguerre», CPA Magazine Conditions et pratiques en matière de sécurité informationnelle Les mesures à mettre en œuvre pour assurer la sécurité des actifs informationnels peuvent être organisées en fonction du type d atteinte en cause. Les atteintes à la confidentialité de l information comprennent la consultation et la publication non autorisées, ce qui rejoint le principe du droit à la vie privée. Les mesures de protection, comme le chiffrement des données et le contrôle rigoureux des droits d accès (avec, par exemple, une authentification multifactorielle visant à protéger les actifs informationnels), viennent contrer les atteintes à la confidentialité que permettent les accès à distance. Confidentialité Intégrité Sécurité informationnelle Disponibilité La cybersécurité dans les petits cabinets comptables 5

6 6 La cybersécurité dans les petits cabinets comptables L intégrité de l information renvoie à la capacité de faire obstacle aux modifications non autorisées des données et d assurer un contrôle à cet égard. Les attaques contre l intégrité peuvent ouvrir la voie à la corruption des données et à la manipulation de l information à des fins malveillantes. De telles attaques peuvent être particulièrement difficiles à détecter, surtout lorsque les données ne sont pas classées de manière adéquate. Elles peuvent entraîner la publication d une information financière inexacte et, au bout du compte, miner la réputation de l organisation. La protection de la disponibilité de l information fait en sorte que les utilisateurs autorisés peuvent accéder à l information lorsqu ils en ont besoin. En l absence de couches de protection appropriées, comme la sécurité des réseaux et la redondance des serveurs 1, les attaques visant la disponibilité, par exemple les attaques par déni de service, entravent l accès aux ressources et sont susceptibles d entraîner des pertes financières du fait qu il sera impossible d atteindre le public visé. Avec une approche de défense en profondeur (multicouches), les organisations de toutes tailles peuvent mieux protéger leurs actifs incorporels. Essentiellement, la sécurité des TI commence par une infrastructure robuste, qui permet de contrôler les flux d information entrants et sortants de l organisation. Il en résulte un contrôle de l authenticité des données et une assurance quant à l identité des parties autorisées. Par ailleurs, d autres couches de protection permettent d assurer la confidentialité, l intégrité et la disponibilité de l information. Ce sont respectivement : 1. le chiffrement des données et la détection des logiciels malveillants 2. la surveillance de l accès aux fichiers et aux dossiers et le déclenchement d alertes en cas d activité douteuse 3. l amélioration du routage réseau, de l accès à Internet et de la redondance des systèmes Pour en savoir plus sur la prévention des intrusions, les interventions en cas d intrusion, le signalement des incidents, le chiffrement de bout en bout, la sécurité physique et la continuité des activités, les cabinets peuvent faire appel à des experts et adopter une culture d amélioration continue quant à la protection de leurs renseignements précieux. Auteur : Claudiu Popa 1 Les serveurs redondants permettent de stocker les systèmes et les données névralgiques sur deux ensembles d ordinateurs (sauvegarde en miroir). Par exemple, l un des serveurs est établi localement, et l autre se trouve chez le fournisseur d accès Internet (FAI). AVERTISSEMENT La présente publication, préparée par les Comptables professionnels agréés du Canada (CPA Canada), fournit des indications ne faisant pas autorité. CPA Canada et les auteurs déclinent toute responsabilité ou obligation pouvant découler, directement ou indirectement, de l utilisation ou de l application de cette publication.