Adopter une démarche de sécurité multicouche


Édition du 11 Octobre 2023

Adopter une démarche de sécurité multicouche


Édition du 11 Octobre 2023

Par Philippe Jean Poirier
|

Bernard Després, associé et directeur de la pratique en cybersécurité de la firme MS Solutions (Photo: courtoisie)

CYBERSÉCURITÉ. Si le modèle à vérification systématique (le Zero trust) constitue le Saint-Graal de la cybersécurité, la démarche de sécurité « multicouche » (ou « défense en profondeur ») est sans doute mieux adaptée à la réalité des PME, par le fait qu’elle peut se déployer… une « couche » à la fois.

Commençons par distinguer les deux méthodes. « Le modèle Zero trust est basé sur le principe de “ne jamais faire confiance, toujours vérifier”, même après l’authentification initiale », explique Bernard Després, associé et directeur de la pratique en cybersécurité de la firme MS Solutions. Ce modèle peut être complexe à mettre en œuvre, car il nécessite une analyse et une vérification continues. 

La démarche « multicouche » repose sur l’idée de mettre en place plusieurs barrières de protection pour maintenir la sécurité d’une organisation même si une des barrières cède. « Si on transpose cette stratégie à une maison, illustre Bernard Després, une couche de sécurité pourrait être la porte, ensuite la serrure, ensuite un système d’alarme, ensuite des caméras. » Aussi désigné « défense en profondeur » — comme dans le jargon militaire —, le modèle implique de creuser plusieurs tranchées entre soi et l’ennemi. 

« Les PME qui souhaitent implanter de façon volontaire du multicouche ne courent pas les rues, concède le directeur. Les entreprises qui s’engagent dans cette voie sont celles qui ont été échaudées par une cyberattaque ou qui ont des contraintes contractuelles avec des clients qui leur imposent cette approche-là. » 

Bernard Després cite l’exemple d’un client de MS Solutions — un bureau d’avocats — qui a connu une croissance de son volume d’affaires dans le domaine financier et qui s’est fait imposer de nouvelles exigences de sécurité de l’information par cette clientèle.

Depuis 2017, la firme d’avocats a progressivement mis en place une série de mesures de protection : de l’activation d’un pare-feu dans tous ses bureaux à travers le Québec à l’installation de systèmes de sécurité physique tels que des caméras de surveillance et des systèmes de contrôle d’accès biométrique, en passant par de la segmentation de son réseau pour isoler les différentes divisions et protéger les données sensibles ou encore de la formation de ses employés sur les bonnes pratiques de sécurité en lien avec le domaine financier. Un vaste chantier, donc, qui se poursuit aujourd’hui avec le déploiement d’une solution de « gestion, détection et réponse » (ou « MDR » pour Managed Detection and Response) et un travail de formation continue du personnel.

 

Multicouche « pour tous » 

Pour Mickael De Oliveira, directeur du développement des affaires de la firme Mon technicien, toutes les entreprises québécoises — petites ou moyennes, présentes dans un secteur « sensible » ou non — devraient s’intéresser au modèle de sécurité multicouche, du fait qu’il peut se déployer progressivement, une couche à la fois. 

Chaque semaine, le directeur du développement des affaires discute avec des clients de divers secteurs — incluant le transport et le manufacturier — pour les amener à adopter cette démarche. « Les deux premières étapes vont de soi : renforcer ses mots de passe et activer la double activation pour tous les employés. » L’opération n’est pas coûteuse, fait-il valoir. Elle demande toutefois une certaine « gestion du changement » visant à convaincre les utilisateurs d’installer une application de double authentification sur leur téléphone personnel, si l’employeur ne leur fournit pas d’appareil. 

La troisième couche à ajouter est l’accès conditionnel. « On va limiter l’accès à l’environnement de l’entreprise à des appareils bien précis, que ce soit des ordinateurs ou des téléphones. » De cette façon, on évite qu’un employé entre ses codes d’accès sur un appareil non contrôlé (un poste d’ordinateur dans un hôtel, par exemple). Ensuite, on ferme la porte aux pirates qui tentent de s’introduire « à distance » sur le réseau de l’entreprise. 

Tout au bout du spectre cybersécuritaire, une des couches « maximales » à mettre en place est un système de détection et de réponse aux terminaux (un « EDR » ou Endpoint Detection and Response), qui est la version dernier cri des antivirus intelligents. « Un EDR va détecter et bloquer un ordinateur compromis. Idéalement, on ne veut pas en arriver là », prévient Mickael De Oliveira.

Ultimement, les couches de protection à déployer dépendent de la réalité de chaque entreprise. Il faut aussi garder en tête que le risque zéro n’existe pas. « C’est une utopie vers lequel on tend pas à pas, en s’améliorant un peu chaque année, en accordant des budgets récurrents qui respectent la capacité de payer de l’entreprise », explique Bernard Després.

Sur le même sujet

Les équipes de TI ont moins la cote

24/04/2024 | Emmanuel Martinez

Les équipes des TI sont moins engagées qu’avant dans les décisions de leurs entreprises, selon le rapport «Portrait TI».

La course aux ordinateurs quantiques: enjeux pour la cybersécurité et l'équilibre des pouvoirs

09/04/2024 | Martin Berthiaume

OPINION. La course à la domination quantique présente des parallèles avec la course à l’armement nucléaire.

OPINION Les entreprises technologiques canadiennes déplorent la bureaucratie gouvernementale
03/04/2024 | La Presse Canadienne
Comment une Américaine s'est fait dépouiller en cryptomonnaie?
26/02/2024 | AFP
Le projet de loi sur les préjudices en ligne prévu la semaine prochaine, dit Trudeau
21/02/2024 | La Presse Canadienne

À la une

Compétitivité: Biden pourrait aider nos entreprises

26/04/2024 | François Normand

ANALYSE. S'il est réélu, Biden veut porter le taux d'impôt des sociétés de 21 à 28%, alors qu'il est de 15% au Canada.

Et si les Américains changeaient d’avis?

26/04/2024 | John Plassard

EXPERT INVITÉ. Environ 4 électeurs sur 10 âgés de 18 à 34 ans déclarent qu’ils pourraient changer leur vote.

L’inflation rebondit en mars aux États-Unis

Mis à jour le 26/04/2024 | AFP

L’inflation est repartie à la hausse en mars aux États-Unis, à 2,7% sur un an contre 2,5% en février.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024