Poser les bonnes questions au sein de votre organisation est essentiel pour gérer efficacement les cyberrisques. Voici 10 questions que vous devriez poser à votre équipe :
1. Quels sont les renseignements et les systèmes qui nous intéressent et pourquoi?
- Renseignements personnels (employés; clients); exclusifs; confidentiels de tiers
- Quels sont les systèmes essentiels à notre exploitation continue?
2. Quels sont les scénarios de risque qui créent une exposition pour nous selon les réponses à la question #1?
- Risque interne (malveillant ou erreur); Attaque externe (hameçonnage; force brute); Problème du fournisseur ou du tiers (victime d'une attaque ou d'une erreur)
3. Quelles mesures avons-nous mises en place pour gérer les risques liés aux tiers?
- Dispositions contractuelles (restrictions à l'utilisation et à la conservation des renseignements; obligation de protéger et de mettre en œuvre des mesures de sécurité particulières; notification en cas d'incident suspect ou confirmé; obligations en cas d'incident (enquêter/partager des renseignements); droit de vérification; dispositions facultatives : certification de sécurité par un tiers; assurance)
- Mise à jour des logiciels et des tests dans un environnement contrôlé
4. Quelles sont les obligations réglementaires en matière de cybersécurité?
- Documentation défendable pour établir la conformité
5. Quelle est l'exposition financière estimée à partir des scénarios de risque qui se matérialisent?
- Exposition par : accès non autorisé, manque d'intégrité, incapacité d'accès
- Valeur monétaire de chaque jour d'interruption d'activité; perte d'achalandage
- Réclamations potentielles des personnes concernées (combien de personnes concernées; catégories d'information/sensibilité; devrions-nous même avoir cette information?)
- Conséquences de la rupture de contrat
6. Quels outils techniques avons-nous en place et comment protégent-ils contre les scénarios de risque?
- Qu'utilisons-nous comme point de référence et pourquoi est-ce pertinent?
- Sommes-nous à jour avec les dernières tactiques des auteurs de menaces?
- Comment saurons-nous s'il y a un accès non autorisé à notre réseau? Quelqu'un reçoit-il une alerte s'il y a une activité inhabituelle?
- Comment définissons-nous la portée de ce qui est « inhabituel »? (p. ex., connexion à partir d'un endroit inhabituel; connexion à partir de deux endroits différents)
- Si l'intrus y accède, avec quelle facilité peut-il se déplacer sans être détecté? Comment avons-nous protégé la plupart des renseignements sensibles?
- Avons-nous configuré tous les outils pour maximiser la sécurité et créer des exceptions lorsque cela est nécessaire pour les objectifs opérationnels (p. ex., le pare-feu n'autorise que certaines connexions entrantes et sortantes)
- Pouvons-nous imposer des restrictions pour limiter les risques? (p. ex., authentification multifacteur toujours requise; restrictions de mot de passe; restriction de la capacité des utilisateurs d'installer des logiciels; chiffrement; limitation de la capacité de téléchargement)
7. Comment un scénario de risque pourrait-il se concrétiser malgré tous les outils techniques en place?
- Erreur humaine; Problème lié à un tiers ou à un fournisseur
8. Quelles politiques et quels protocoles devons-nous mettre en place pour gérer les scénarios de risque?
- Par exemple, vérification des candidats, formation des employés, impartition, règles relatives à l'utilisation des appareils personnels, correctifs, conservation des données, stratégie de mise à jour, escalade
9. De quelles façons sommes-nous préparés à une attaque?
- Avons-nous des sauvegardes fiables et testées? Quelle est l'actualité?
- Recueillons-nous et préservons-nous les journaux?
- Notre documentation défendable est-elle en place?
- Testez la préparation au moyen d'exercices sur table et intégrez les apprentissages dans la stratégie.
- Avons-nous les bons experts en numérotation abrégée?
10. Avons-nous accès à toutes les ressources externes disponibles?
- Avons-nous considéré le Centre canadien pour la cybersécurité comme une ressource? Groupes de l'industrie pour l'échange d'information et la coordination?
- Avons-nous consulté des experts au sujet de notre stratégie de préparation?
