Bernard Després, associé et directeur de la pratique en cybersécurité de la firme MS Solutions (Photo: courtoisie)
CYBERSÉCURITÉ. Si le modèle à vérification systématique (le Zero trust) constitue le Saint-Graal de la cybersécurité, la démarche de sécurité « multicouche » (ou « défense en profondeur ») est sans doute mieux adaptée à la réalité des PME, par le fait qu’elle peut se déployer… une « couche » à la fois.
Commençons par distinguer les deux méthodes. « Le modèle Zero trust est basé sur le principe de “ne jamais faire confiance, toujours vérifier”, même après l’authentification initiale », explique Bernard Després, associé et directeur de la pratique en cybersécurité de la firme MS Solutions. Ce modèle peut être complexe à mettre en œuvre, car il nécessite une analyse et une vérification continues.
La démarche « multicouche » repose sur l’idée de mettre en place plusieurs barrières de protection pour maintenir la sécurité d’une organisation même si une des barrières cède. « Si on transpose cette stratégie à une maison, illustre Bernard Després, une couche de sécurité pourrait être la porte, ensuite la serrure, ensuite un système d’alarme, ensuite des caméras. » Aussi désigné « défense en profondeur » — comme dans le jargon militaire —, le modèle implique de creuser plusieurs tranchées entre soi et l’ennemi.
« Les PME qui souhaitent implanter de façon volontaire du multicouche ne courent pas les rues, concède le directeur. Les entreprises qui s’engagent dans cette voie sont celles qui ont été échaudées par une cyberattaque ou qui ont des contraintes contractuelles avec des clients qui leur imposent cette approche-là. »
Bernard Després cite l’exemple d’un client de MS Solutions — un bureau d’avocats — qui a connu une croissance de son volume d’affaires dans le domaine financier et qui s’est fait imposer de nouvelles exigences de sécurité de l’information par cette clientèle.
Depuis 2017, la firme d’avocats a progressivement mis en place une série de mesures de protection : de l’activation d’un pare-feu dans tous ses bureaux à travers le Québec à l’installation de systèmes de sécurité physique tels que des caméras de surveillance et des systèmes de contrôle d’accès biométrique, en passant par de la segmentation de son réseau pour isoler les différentes divisions et protéger les données sensibles ou encore de la formation de ses employés sur les bonnes pratiques de sécurité en lien avec le domaine financier. Un vaste chantier, donc, qui se poursuit aujourd’hui avec le déploiement d’une solution de « gestion, détection et réponse » (ou « MDR » pour Managed Detection and Response) et un travail de formation continue du personnel.
Multicouche « pour tous »
Pour Mickael De Oliveira, directeur du développement des affaires de la firme Mon technicien, toutes les entreprises québécoises — petites ou moyennes, présentes dans un secteur « sensible » ou non — devraient s’intéresser au modèle de sécurité multicouche, du fait qu’il peut se déployer progressivement, une couche à la fois.
Chaque semaine, le directeur du développement des affaires discute avec des clients de divers secteurs — incluant le transport et le manufacturier — pour les amener à adopter cette démarche. « Les deux premières étapes vont de soi : renforcer ses mots de passe et activer la double activation pour tous les employés. » L’opération n’est pas coûteuse, fait-il valoir. Elle demande toutefois une certaine « gestion du changement » visant à convaincre les utilisateurs d’installer une application de double authentification sur leur téléphone personnel, si l’employeur ne leur fournit pas d’appareil.
La troisième couche à ajouter est l’accès conditionnel. « On va limiter l’accès à l’environnement de l’entreprise à des appareils bien précis, que ce soit des ordinateurs ou des téléphones. » De cette façon, on évite qu’un employé entre ses codes d’accès sur un appareil non contrôlé (un poste d’ordinateur dans un hôtel, par exemple). Ensuite, on ferme la porte aux pirates qui tentent de s’introduire « à distance » sur le réseau de l’entreprise.
Tout au bout du spectre cybersécuritaire, une des couches « maximales » à mettre en place est un système de détection et de réponse aux terminaux (un « EDR » ou Endpoint Detection and Response), qui est la version dernier cri des antivirus intelligents. « Un EDR va détecter et bloquer un ordinateur compromis. Idéalement, on ne veut pas en arriver là », prévient Mickael De Oliveira.
Ultimement, les couches de protection à déployer dépendent de la réalité de chaque entreprise. Il faut aussi garder en tête que le risque zéro n’existe pas. « C’est une utopie vers lequel on tend pas à pas, en s’améliorant un peu chaque année, en accordant des budgets récurrents qui respectent la capacité de payer de l’entreprise », explique Bernard Després.