Les municipalités empruntent de plus en plus le virage des nouvelles technologies. Elles tendent ainsi vers le concept de ville intelligente pour optimiser leurs activités et améliorer le bien-être des citoyens. Ces derniers bénéficient dès lors de plusieurs services en ligne (déposer des demandes de permis ou régler le paiement des impôts fonciers, à titre d’exemple). Mais la multiplication de ces portails augmente aussi les risques de cyberattaque. Et c’est sans compter le déploiement de tous les dispositifs basés sur l’Internet des objets (IdO).
Or, le nerf de la guerre pour se protéger des cyberattaques demeure la prévention. Le cheminement pour protéger les systèmes, les données, les infrastructures et l’intégrité de votre municipalité exige le déploiement de ressources considérables et la multiplication de petites actions bien ciblées, à intervalles réguliers. Mais rassurez-vous : ça demeure bien plus simple que de récupérer le laissez-passer A-38 dans la maison qui rend fou, comme dans les célèbres Douze travaux d’Astérix. Marche à suivre en huit points pour guider vos équipes de travail dans la lutte contre un fléau bien d’actualité !
Cybersécurité : 8 bonnes pratiques à implanter
1- Évaluer les risques critiques pour votre organisation
Identifiez d’abord les renseignements et les systèmes critiques sur lesquels repose le bon fonctionnement de la municipalité. D’après un récent sondage de KPMG, près du trois quarts des entreprises répondantes ont affirmé que leurs systèmes d’information et de technologie opérationnelle les rendent vulnérables aux cyberattaques. Les vôtres sont-ils davantage à la hauteur ? Voilà le point de départ pour identifier les actions à entreprendre. Vos ressources — financières et humaines — doivent être allouées en priorité vers ces points critiques.
Selon une analyse de la firme Gartner publiée 2016 (en anglais seulement), les organisations devraient consacrer de 4 % à 7 % de leur budget consacré aux technologies de l’information (TI) à la cybersécurité. Sept ans plus tard, ce chiffre doit probablement être revu à la hausse : il a néanmoins le mérite de vous offrir un point de comparaison entre vos investissements actuels et ceux qui devraient l’être.
2- Identifier les menaces potentielles qui pèsent sur les villes
En matière de cybersécurité, il faut être constamment bien informé. Tenez-vous au courant des cybermenaces qui planent actuellement contre les organisations. Que ce soit en participant à des événements récurrents liés aux TI ou en consultant les alertes du Centre canadien pour la cybersécurité, obtenez toute l’information requise en faisant preuve de curiosité. De nouvelles menaces surgissent régulièrement…
Rappelez-vous que le pirate informatique n’a qu’à déceler qu’une seule vulnérabilité pour l’exploiter. Les municipalités, quant à elles, doivent constamment être à l’affût des brèches potentielles et effectuer elles-mêmes des vérifications à 360 degrés, sachant que certaines de leurs infrastructures critiques pourraient être à risque. Pour bien vous protéger, apprenez à identifier les stratégies d’attaques des arnaqueurs du clavier.
3- Déployer de la formation en entreprise sur la cybersécurité
C’est l’essence même d’un rançongiciel ou de l’hameçonnage : un employé ouvre par mégarde un lien ou un fichier contaminé… et les problèmes commencent ! Il est donc primordial que les municipalités portent non seulement une attention particulière à la protection de leur réseau, mais aussi à la sensibilisation et à la formation du personnel concernant la cybersécurité. D’après le même sondage de KPMG cité précédemment, seulement 38 % des répondants ont affirmé que leurs employés ont reçu une formation adéquate pour reconnaître ces types d’attaques. Démarquez-vous du lot !
Alors, quels thèmes pourraient être abordés lors de ces sessions de formation ? Le choix de mots de passe robustes, la détection de courriels et de liens malveillants et l’utilisation sécuritaire des médias sociaux en sont de premiers exemples. L’objectif, c’est de s’assurer que tous soient en mesure de prévenir les incidents de cybersécurité, pour mieux s’y préparer.
4- Communiquer le plan de match dans l’éventualité d’une cyberattaque
Les municipalités doivent envisager les incidents de cybersécurité comme étant inévitables. Elles doivent donc élaborer un plan d’intervention pour assurer le maintien et la reprise de leurs activités. Et pour que ces politiques et autres protocoles en matière de cybersécurité portent leurs fruits, la communication efficace de l’information est essentielle à tous les niveaux de l’organisation. Dressez donc une liste des employés impliqués dans la gestion d’un éventuel cyberincident. Veillez à ce que les rôles et responsabilités de chacun soient bien définis.
Il est recommandé de ne nommer qu’un seul responsable pour gérer les communications en temps de crise. Celui-ci doit être en mesure de bien vulgariser tous les concepts liés aux technologies impliquées. Il doit également connaître les obligations juridiques qui incombent aux municipalités en matière de protection des renseignements personnels et liées à la divulgation de toute brèche de confidentialité. La loi 25 (Loi relative à la protection des renseignements personnels) prévoit de nouvelles obligations pour les organismes publics en matière de protection des renseignements personnels.
5- Adopter les bonnes pratiques de sécurité de base
Un ensemble de petits gestes forme bien souvent la première ligne de défense des organisations. Assurez-vous que le b.a.-ba de la sécurité informatique soit adopté à tous les niveaux hiérarchiques. Par exemple, ayez une politique claire sur la longueur, la complexité et la réutilisation des mots de passe. Ou, encore, prenez position sur l’utilisation (ou la non-utilisation) d’un gestionnaire de mots de passe.
L’authentification multifacteur est aussi un moyen à envisager pour réduire les risques d’intrusion. Cette méthode combine l’utilisation d’un mot de passe avec une seconde étape de sécurité : l’envoi d’un code généré par une application ou la réception d’un appel téléphonique automatisé vers un appareil déterminé, à titre d’exemple.
Pour réduire les risques en matière de cybersécurité, vos équipes de travail TI peuvent aussi activer les mises à jour automatiques de tous les logiciels et systèmes informatiques utilisés. Les solutions infonuagiques d’entreprise de Vidéotron Affaires permettent d’ailleurs de filtrer les applications et les pages Web, en plus de bloquer les plus récentes menaces mondiales grâce aux mises à jour automatiques.
6- Sauvegarder l’ensemble de vos données
La sauvegarde des données est un élément essentiel pour assurer le rétablissement rapide de vos activités, non seulement à la suite d’un incident de cybersécurité, mais aussi à la suite d’un bris de matériel ou d’un vol. Les causes à l’origine d’une perte de données sont d’ailleurs nombreuses et la suppression accidentelle de fichiers est l’une d’elles.
La création de sauvegardes de données stockées sur site, dans des emplacements hors site et dans le nuage est recommandée. Les municipalités doivent plus que jamais mettre en place des technologies, des règles et des procédures pour protéger l’ensemble de leurs données. Or, cette tâche de protection des données peut rapidement devenir complexe et onéreuse : les volumes de données doublent rapidement et la conformité aux normes peut aussi être un défi. N’hésitez donc pas à faire appel à un partenaire de confiance pour remédier à un tel enjeu.
7- Envisager l’achat d’une police d’assurance cybersécurité
Une municipalité victime d’une cyberattaque doit prendre des moyens considérables pour s’en remettre. Les conséquences financières d’une cyberattaque sur votre organisation peuvent d’ailleurs être désastreuses. Les protections offertes par l’assurance cyberrisques sont un rempart contre le risque de liquidités.
En août 2021, le Bureau d’assurance du Canada (BAC) révélait d’ailleurs que 24 % des entreprises ont souscrit à une assurance cyberrisques intégrée à une couverture globale ou, dans 15 % des cas, à la pièce. Voilà donc une autre bonne pratique à envisager en amont. Sachez que, depuis le lancement de ce type de polices d’assurance, les primes ont cependant monté en flèche !
8- Mettre votre plan d’intervention à l’épreuve
Votre plan d’intervention dans l’éventualité d’une cyberattaque est-il bien ficelé ? Pour savoir s’il tient la route, mieux vaut le mettre à l’épreuve en procédant à une simulation d’attaque… avant que l’une de celles-ci ne survienne. Ce type d’exercice doit d’ailleurs se faire sur une base régulière. Préparez donc différents scénarios de réponse à des incidents potentiels et aiguisez les réflexes de votre personnel dans ces circonstances.
Cybersécurité : des solutions technologiques à votre disposition
Au-delà des bonnes pratiques à adopter, il existe aussi des solutions technologiques clés en main pour renforcer la cybersécurité des municipalités. Les services gérés de Vidéotron Affaires permettent d’ailleurs de libérer vos ressources internes pour leur permettre de se concentrer sur ce qui compte vraiment : la mission de votre organisation. Alors, avez-vous besoin d’une goutte de potion magique pour muscler vos défenses contre les pirates informatiques ? Voici trois technologies à considérer sans tarder.
-
La protection contre les attaques DDoS
Une attaque par déni de service (DoS, pour Denial of Service, de l’anglais) consiste à inonder les serveurs d’un trafic important dans le but d’épuiser les ressources et la bande passante d’une entreprise ou d’une municipalité. Le système ciblé devient donc surchargé, et incapable de répondre aux demandes légitimes des citoyens et citoyennes.
Rassurez-vous : le service de protection contre les attaques DDoS de Vidéotron Affaires intercepte et neutralise les tentatives malicieuses de saturation de la bande passante qui pourrait viser vos systèmes.
-
Le réseau virtuel privé
Le télétravail est désormais bien installé dans les politiques des organisations. Cette extension du périmètre informatique entraîne une hausse évidente des vulnérabilités et des risques de cyberattaques. Et c’est ici qu’un réseau virtuel privé, ou VPN (Virtual Private Network), est en mesure de garantir votre sécurité informatique.
Le VPN proposé par Vidéotron Affaires utilise un protocole de connexion à distance chiffré aux serveurs de l’entreprise. C’est en quelque sorte une extension sécurisée du réseau interne qui permet aux employés d’accéder aux applications et aux données auxquelles ils ont normalement accès au bureau, à partir de n’importe quel appareil autorisé connecté à l’Internet.
-
La technologie SD-WAN
Souhaitez-vous que votre municipalité puisse fonctionner comme si tous ses employés étaient regroupés à la même adresse, même si leurs bureaux sont répartis aux quatre coins de la ville ? La technologie SD-WAN (pour Software-Defined Wide Area Network) permet d’ajouter facilement et rapidement de nouveaux sites au réseau de l’organisation, sans avoir à se soucier du fournisseur d’accès Internet qui se trouve à chacune des adresses en question. La solution SD-WAN proposée par Vidéotron Affaires se veut donc un moyen fort efficace de créer un seul grand réseau virtuel unifié, par l’utilisation de logiciels performants.
Bonne pratique
Contactez-nous pour résister aux envahisseurs, avant que le ciel ne vous tombe sur la tête !
À lire aussi
30 novembre 2023, Par Vidéotron Affaires