Introduction
Les opérations de l’organisation dépendent en grande partie de l’information qui est traitée, produite et communiquée. Cette information est très vaste et peut exister sur support papier ou technologique. Elle comprend, entre autres, les renseignements personnels des clients et des membres du personnel, la propriété intellectuelle produite par les développeurs, ainsi que la documentation interne stratégique et administrative.
Comme toute autre organisation, Unicorne fait face à une multitude de menaces pouvant porter atteinte à la confidentialité, l’intégrité et la disponibilité de nos informations. Ces menaces, dont la nature est en constante évolution, comprennent, entre autres, le vol d’identité et d’informations confidentielles, la fraude, l’espionnage industriel et le vol de propriété intellectuelle, l’utilisation, la divulgation et la destruction d’information, les défaillances techniques, les événements naturels et l’erreur humaine.
Dans ce contexte, Unicorne met en œuvre, maintient à jour et assure l’application d’une politique de sécurité de l’information qui établit la mise en œuvre de processus formels de sécurité de l’information permettant, notamment, d’assurer la gestion des risques, la gestion de l’accès à l’information et la gestion des incidents.
L’organisation s’engage à aviser la Commission d’accès à l’information du Québec (CAI) ainsi que toutes personnes touchées si elle s’avère visée par une cyberattaque ou tout autre incident similaire. De plus, une personne responsable de la sécurité est nommée afin de s’assurer du respect de cette politique ainsi que du suivi des actions nécessaires en cas de problème.
Personne responsable: Patrice Naud, Vice-président opérations
Objectif
L’objectif principal de cette politique est d’affirmer la détermination et l’engagement de l’organisation de gérer avec efficacité et efficience les risques à la sécurité de l’information. L’approche préconisée vise l’identification des intervenants et la définition de leurs rôles, la sensibilisation des utilisateurs aux risques et la conception et l’implantation de mesures qui assurent efficacement la sécurité de l’information tout au long de son cycle de vie.
Champs d’application
La sécurité de l’information est l’affaire de tous. Cette politique s’applique à toute personne physique (développeurs, gestionnaires, personnel administratif, consultants et visiteurs), ou à toute personne morale qui utilise ou accède aux ressources informationnelles de l’organisation.
Cette politique s’applique à toute l’information que détient l’organisation dans l’exercice de ses fonctions ou dont elle a la garde, durant tout son cycle de vie, peu importe sa forme, son support et son emplacement.
Il n’y a pas de restriction quant à l’utilisation de l’ordinateur d’Unicorne à des fins personnelles par un employé. Par contre, toute activité et installation de logiciel doit être faite en suivant les recommandations de cette politique.
Mesure de contrôle
Afin d’assurer le respect de cette politique, la personne responsable s’engage à effectuer un audit interne auprès des employés au moins une fois par année civile.
- Des employés seront choisis au hasard
- Ils devront, lors d’une rencontre avec la personne responsable, démontrer qu’ils ont bien mis en place les mesures de sécurité de cette politique.
- Les résultats d’audit seront conservés selon l’annexe 1.
- Tout manquement entraînera une ou plusieurs actions correctives dans le rapport. Celles-ci devront être corrigées dans un délai maximum d’une semaine.
Mesures administratives et sanctions
En cas de contravention à la présente politique :
L’utilisateur ou l’utilisatrice engage sa responsabilité personnelle en cas de contravention à la présente politique ; il en est de même pour la personne qui, par négligence ou par omission, fait en sorte que l’information n’est pas protégée adéquatement.
Tout membre de l’organisation qui contrevient au cadre légal, à la présente politique et/ou aux mesures de sécurité de l’information qui en découlent, s’expose à des sanctions selon la nature, la gravité et les conséquences de la contravention, en vertu de la loi ou des règles disciplinaires internes applicables.
De même, toute contravention par un fournisseur, un partenaire, un invité, un consultant ou un organisme externe l’expose aux sanctions prévues au contrat le liant à l’organisation ou en vertu des dispositions de la législation applicable en la matière.
Lorsqu’une vérification ou une enquête donne lieu de croire qu’une infraction à une loi ou un règlement a été commise, la personne responsable de la sécurité peut aussi référer le dossier à toute autre autorité compétente pour vérifier notamment s’il y a matière à poursuite. Il peut alors transmettre à cette autorité les informations colligées au cours de cette vérification ou de cette enquête. Toute contravention à la présente politique peut entraîner, en plus des mesures prévues aux lois, règlements, politiques ou ententes, les conséquences suivantes, en fonction de la nature, de la gravité et des répercussions du geste ou de l’omission :
- a) L’annulation des privilèges d’accès aux actifs informationnels de l’organisation. L’annulation peut être effectuée sans préavis selon la nature et la gravité de la contravention.
- b) L’obligation de remboursement à l’organisation de toute somme que cette dernière serait dans l’obligation de défrayer à la suite d’une utilisation non autorisée, frauduleuse, ou illicite de ses services ou de ses actifs informationnels.
Mesures de protections
Les renseignements confidentiels recueillis ne doivent pas être divulgués à l’occasion de discussions ou de conversations informelles. La communication de renseignements doit se faire de façon objective, sans formuler de jugement et sans préjugés. Toutes les informations sur les projets clients doivent être considérées comme des renseignements confidentiels à protéger.
Chaque personne doit veiller à la sécurité des renseignements qu’elle a recueilli. Les renseignements confidentiels doivent être conservés dans un endroit sécurisé lorsque la personne qui en a le dépôt est absente. Cette responsabilité s’applique également aux renseignements apparaissant sur un écran d’ordinateur.
Devoir de protection
Protection de l’information
Tous les membres du personnel doivent protéger tous les renseignements (dossiers) dont ils ont la charge. Le non-respect des dispositions de la présente politique sur la confidentialité peut entraîner des mesures disciplinaires pouvant aller jusqu’au congédiement.
Signalement
Tous les membres du personnel, consultants, clients ou partenaires doivent avertir la personne responsable de la sécurité s’ils remarquent une situation qui pourrait nuire à la sécurité ou à la confidentialité des renseignements.
Divulgation externe
Il est nécessaire d’obtenir un consentement écrit avant de divulguer des renseignements à un tiers qui ne fait pas partie de l’entreprise.
Méthodes de protection
Authentification à double facteur
Pour limiter les accès non-autorisés, nous demandons d’activer l’authentification à double facteur sur tous les comptes où cette fonctionnalité est possible. (AWS, GitLab, Google, GitHub, Bitbucket, Jira, Confluence, 1Password). Utiliser un outil tel que Google Authenticator ou Authy pour conserver vos MFA
Mises à jour de logiciel et de système d’exploitation
Pour assurer une meilleure sécurité des équipements et de l’information, toutes les options de mise à jour automatiques doivent être activées sur les postes de travail et serveurs. Activer les mises à jour automatiques de vos systèmes d’exploitation et de vos navigateurs. Pour tout autre logiciel qui ne possède pas ces options, les mises à jour doivent être faites à l’intérieur de 48h suivant une notification.
Pare-feu
Pour limiter les accès non-autorisés, nous demandons d’activer les pare-feu des systèmes d’exploitation des postes de travail et des serveurs.
Gestionnaire de mots de passe
Afin de sécuriser les informations de connexion, nous demandons d’utiliser le gestionnaire de mot de passe fourni par l’organisation 1Password uniquement. Évitez d’utiliser les gestionnaires de mot de passe intégrés à votre navigateur.
Partage de mots de passe
Si des informations de connexions doivent être partagées, elles doivent l’être de manière sécuritaire. L’échange de mots de passe par courriel ou texto, par exemple, est à proscrire. Le gestionnaire de mots de passe 1password possède une option pour le partage de ce type d’information.
Sécuriser votre Wifi
Utilisez des réseaux WiFi sécurisés. Assurez-vous de l’activation du WPA2, des mises à jour des routeurs et que les mots de passe soient sécurisés. Un VPN doit être utilisé pour les réseaux publics comme par exemple les espaces de coworking, les conférences, réseaux clients ou autres. Si vous n’avez pas de VPN personnel, vous pouvez utiliser celui fourni par Unicorne.
Sécuriser votre cellulaire
Si vous utilisez votre cellulaire pour des communications en lien avec le travail (Slack, Email, etc…), activez le code de sécurité avec 6 caractères minimum.
Éviter l’impression de documents
Évitez l’impression des documents. Si nécessaire, assurez-vous de les traiter avec le bon niveau de sécurité et de les détruire correctement lorsque nécessaire.
Crypter
Cryptez le disque dur de votre ordinateur pour éviter le vol de données en cas de perte ou de vol de votre ordinateur.
Lieux publiques
Lorsque vous travaillez dans un lieu public, comme un espace cowork par exemple, assurez-vous de toujours verrouiller votre ordinateur lorsque vous n’êtes plus présent. Aussi, l’ordinateur ne devrait jamais être laissé seul sans surveillance.
Sauvegardes du disque dur
Le logiciel “Time machine” de Apple doit être utilisé avec un disque dur externe afin d’effectuer des copies de sauvegarde cryptées du disque dur. Les sauvegardes peuvent être faites automatiquement si le disque externe est connecté, sinon, elles doivent être faites au minimum une fois par semaine. Tout cela est configurable dans les paramètres de l’ordinateur.
Embauche employés/ sous-traitants
Assurez-vous de vous coordonner avec la personne responsable des ressources humaines pour faire une vérification des antécédents pour chaque nouveaux employés ou sous-traitants ayant accès à des données sensibles.
Configuration des accès
La configuration des accès doit toujours se faire avec le minimum d’accès nécessaire à la réalisation de la tâche.
Exemple :
- Les contrats avec les sous-traitants peuvent être partagés avec le chargé de projets en lien avec ce sous-traitant et l’équipe administrative ;
- Le répertoire Google Drive “ClientAdministration” contenant les contrats et données financières des clients ne doit pas être partagé avec tous les employés. Seul le chargé de projets du client, ainsi que l’équipe administrative a accès à ce répertoire ;
- Les espaces Google Drive “Client” contenant les fichiers nécessaires aux équipes de développement peuvent être partagés à l’interne de Unicorne ;
- Les espaces “Confluence” par client peuvent être partagés entre les membres de l’équipe;
- Les dossiers d’employés ne doivent être partagés qu’aux superviseurs immédiats de l’employé ;
- Les accès AWS sont donnés aux personnes lorsqu’ils sont actifs dans le projet du client avec le Principe du moindre privilège.
Services Amazon Web Services
Chez Unicorne, nous nous engageons à garantir la sécurité des données et de l’infrastructure de nos clients. En tant que partenaire AWS, nous respectons les normes de sécurité de l’industrie et les meilleures pratiques pour protéger vos informations sensibles et maintenir l’intégrité de vos systèmes.
Compréhension des Processus et Technologies de Sécurité AWS
Dans le cadre de notre engagement en matière de sécurité, nous veillons à ce que nos clients comprennent les processus de sécurité et les technologies fournies par Amazon Web Services (AWS). AWS propose un ensemble complet de services et de fonctionnalités de sécurité conçus pour protéger les données, les systèmes et l’infrastructure hébergés sur la plateforme AWS.
Pilier de Sécurité du Cadre de Référence AWS Well-Architected
Nous suivons les directives énoncées dans le Pilier de Sécurité du Cadre de Référence AWS Well-Architected. Ce cadre fournit les meilleures pratiques et des conseils pour concevoir, construire et maintenir des environnements AWS sécurisés. En tirant parti du Pilier de Sécurité, nous aidons nos clients à mettre en œuvre des mesures de sécurité conformes aux normes de l’industrie et aux exigences réglementaires.
Principes Clés du Pilier de Sécurité du Cadre de Référence AWS Well-Architected
Protection des Données
Nous mettons en œuvre des mécanismes robustes de chiffrement des données et de contrôle d’accès pour garantir la confidentialité et l’intégrité de vos données.
Gestion des Identités et des Accès (IAM)
Principe du moindre privilège
Lors de l’octroi d’autorisations dans AWS Identity and Access Management (IAM), il est impératif de suivre le principe du moindre privilège. Cela signifie que les utilisateurs et les rôles IAM ne doivent se voir attribuer que les autorisations nécessaires pour accomplir leurs tâches spécifiques.
Directives
Évitez d’utiliser des caractères génériques tels que les astérisques (*) dans les éléments d’action et de ressource autant que possible;
Limitez les autorisations aux actions et aux ressources spécifiques requises par chaque principal IAM.
Utilisation d’identifiants dédiées
Tout individu nécessitant un accès à un compte AWS doit utiliser des identifiants dédiés à cette fin. Cette pratique garantit la traçabilité et la sécurité des accès.
Directives
Les identifiants d’accès attribués aux partenaires doivent être exclusivement dédiés à leur collaboration avec notre organisation;
Il est strictement interdit de partager des identifiants entre les individus ou les entités, même au sein de la même organisation.
Détection et Réponse
Nous utilisons une surveillance proactive, des journaux et des alertes pour détecter et répondre aux incidents de sécurité de manière proactive.
Protection de l’Infrastructure
Nous mettons en œuvre une segmentation réseau, des pare-feux et d’autres contrôles de sécurité pour protéger l’infrastructure AWS contre les accès non autorisés et les menaces cybernétiques.
Gestion des Incidents
Nous avons établi des procédures de gestion des incidents pour répondre efficacement aux incidents de sécurité et minimiser leur impact sur vos opérations commerciales.
Amélioration Continue
La sécurité est un processus continu, et nous nous engageons à améliorer continuellement nos pratiques de sécurité pour répondre aux menaces et vulnérabilités émergentes. Nous examinons et mettons à jour régulièrement nos politiques, procédures et contrôles de sécurité pour garantir leur efficacité dans la réduction des risques.
Sensibilisation et Éducation des Clients
Nous croyons que la sécurité est une responsabilité partagée, et nous travaillons en étroite collaboration avec nos clients pour les sensibiliser aux meilleures pratiques de sécurité et les aider à prendre des décisions éclairées concernant leurs environnements AWS. Nous fournissons des formations, des ressources et des conseils pour aider nos clients à comprendre et à mettre en œuvre efficacement les mesures de sécurité.
Conclusion
En choisissant Unicorne comme votre partenaire AWS de confiance, vous pouvez être sûr que vos données et votre infrastructure sont protégées par des mesures et des pratiques de sécurité de premier plan de l’industrie. Nous sommes déterminés à maintenir les normes les plus élevées en matière de sécurité et à vous aider à atteindre vos objectifs commerciaux en toute sécurité sur la plateforme AWS. Pour plus d’informations sur nos pratiques de sécurité ou pour discuter de vos besoins spécifiques en matière de sécurité, veuillez nous contacter à info@unicorne.cloud.