Ajouter un commentaire

 

Permettre le #GCnumérique avec une sécurité pragmatique

Catégorie

De nos jours, les gouvernements fonctionnent par une communication et une collaboration constantes avec des partenaires externes. Il y a longtemps que nous avons dépassé l’époque de la création de programmes derrière des portes closes. La capacité de travailler dans la collectivité où ils se trouvent, en utilisant les outils qu’ils utilisent, est essentielle aux programmes #GCnumérique et #GouvOuvert, et l’équipe de cybersécurité que je dirige essaie de la faciliter.

Depuis que j’ai commencé à travailler dans le domaine de la cybersécurité, on m’a dit que les cyberpraticiens sont censés être des « facilitateurs opérationnels ». Nous sommes censés comprendre les besoins des utilisateurs et des entreprises et déterminer les contrôles qui aideront nos collègues à atteindre leurs objectifs en toute sécurité.

Cela semble bien beau en théorie, mais en pratique, ce n’est pas toujours le cas. Les praticiens de la cybersécurité sont souvent placés dans la position difficile d’équilibrer le risque et la fonctionnalité, et ont tendance à être considérés comme les personnes du « non » ou les personnes qui vous empêchent de faire un travail parce que le risque est trop élevé. Bien que nous voulions agir en tant que facilitateurs opérationnels, il nous incombe également d’assurer la protection soutenue de nos fonds de renseignements. Cela peut certainement être un défi de taille, mais nous devons trouver un moyen de faire la transition vers un endroit où nous pouvons équilibrer les objectifs commerciaux et l’innovation commerciale avec un niveau de risque approprié.

Un cas de changement

Un bon exemple de ce besoin de changement de mentalité est l’accès aux sites Web sur les ordinateurs du gouvernement. Le débat sur les sites Web auxquels nous sommes autorisés à accéder à partir de nos appareils de travail dure depuis des années, mais il a pris de l’ampleur récemment avec l’utilisation accrue des médias sociaux et des outils de collaboration par l’entremise du Web comme Google Docs, Slack et Trello à des fins professionnelles. Pendant longtemps, les ministères et organismes du gouvernement du Canada ont bloqué ces sites, invoquant souvent le « risque potentiel pour la sécurité » comme raison.

Maintenant, il y a beaucoup de bonnes raisons de bloquer certains sites Web des appareils de travail. Activité illégale ou criminelle? Absolument. Des sites malveillants connus? Absolument. Bien sûr, si cela a des incidences importantes. Mais bloquer un site parce qu’il y a un risque que quelqu’un publie quelque chose de sensible? Cela pourrait être presque n’importe quel site Web.

J’entends cet argument tous les jours. « Nous devons bloquer Twitter parce que quelqu’un pourrait y publier quelque chose de sensible. » Ou « nous devons bloquer Google Docs parce que quelqu’un pourrait téléverser un document sensible ». Ou « nous devons bloquer Slack parce que quelqu’un pourrait dire quelque chose de mal dans un canal de clavardage ». Eh bien, en fait, que vous bloquiez ou non ces sites, ces risques existent tous les jours avec tout ce que nous utilisons sur Internet, que ce soit le courriel ou la section de commentaires de votre site de nouvelles préférées. La seule façon d’éliminer vraiment ce risque est de se déconnecter complètement d’Internet, et nous savons tous que cela ne se produira pas.

Croyez-moi, c’est sécurisé… ou est-ce vraiment le cas?

En bloquant ces sites, on a tendance à penser que la mission a été accomplie. La barrière est abaissée, personne ne peut donc la contourner, n’est-ce pas? Bien sûr, temporairement, jusqu’à ce qu’ils s’occupent de la « sécurité » mise en œuvre, ils transfèrent un fichier à leur téléphone personnel et effectuent le même téléversement qu’ils essayaient de faire plus tôt. Donc, quand on y pense, la posture de sécurité est pire parce que les transferts de fichiers se font sur un réseau où on n’a aucune visibilité. Pour ma part, je préfère savoir ce qui se passe plutôt que de prétendre que ce n’est pas du tout le cas.

Lorsque nous accordons la priorité aux menaces potentielles à la sécurité plutôt qu’à la fonctionnalité, le défi est que les employés trouvent un moyen de contourner ces contrôles, ce qui entraîne des vulnérabilités supplémentaires, une baisse de productivité et des employés frustrés qui n’ont pas accès aux outils nécessaires pour faire leur travail. Au bout du compte, nous devons nous rendre compte que les gens veulent simplement faire leur travail et qu’ils trouveront les outils nécessaires pour le faire, que nous les leur fournissions ou non. L’aversion au risque peut en fait créer plus de risques et nous devons commencer à envisager une approche différente.

Une nouvelle orientation

Cette nouvelle approche commence par la publication récente de l’Avis de mise en œuvre de la politique (AMOP) sur la Politique sur l’utilisation acceptable des dispositifs et des réseaux (PUADR). Lorsque la PUADR a été publiée en 2014, elle exigeait des ministères qu’ils ouvrent l’accès à Internet, y compris aux outils Web 2.0. Depuis, la mise en œuvre a été sporadique, ce qui a donné lieu à une approche incohérente dans l’ensemble du gouvernement. Le nouvel AMOP fournit des directives plus normatives sur la façon dont les ministères doivent configurer leurs politiques de filtrage Web. Nous demandons aux ministères de bloquer les sites illégaux et malveillants, de bloquer certains sites de diffusion en continu s’il y a des preuves d’un impact important sur le réseau, mais d’ouvrir le reste d’Internet par défaut. Vous avez déjà entendu l’expression « ouvert par défaut » pour nos données. Pourquoi ne pas le faire pour nos outils également?

Évidemment, tout site Internet général ne doit servir qu’à traiter des renseignements non sensibles. C’est donc à nous tous, les spécialistes de la cybersécurité, de sensibiliser nos utilisateurs aux choses à faire et à ne pas faire pour ces sites. Donc, plutôt que de bloquer les employés, travaillons avec eux, en leur donnant de la formation, en étant disponibles pour des questions, et, en fin de compte, leur permettant d’utiliser les sites Web correctement. Cela évitera les solutions de contournement non sécuritaires, ce qui leur permettra de faire leur travail plus facilement et de veiller à ce que toutes les activités demeurent sur un réseau que nous surveillons et protégeons.

Les gens qui me connaissent savent que je parle souvent de #securitépragmatique. Tout ce que cela signifie, c’est que nous devons trouver des moyens d’équilibrer les besoins des utilisateurs et les mesures de sécurité pratiques. Si nous leur rendons la tâche trop difficile, croyez-moi, ils trouveront une solution de rechange qui, sans aucun doute, vous laissera dans une situation pire du point de vue de la sécurité. Nous devons toujours chercher ce « point idéal » pour les agents de sécurité et les utilisateurs, et nous espérons que cet AMOP sera un bon premier pas vers cet objectif.

Imraan


Imraan Bashir

Image
Imraan Bashir
Directeur principal, Cybersécurité, Direction du dirigeant principal de l'information, Secrétariat du Conseil du Trésor du Canada

Imraan dirige l'équipe chargée d'assurer le leadership, l'orientation et la surveillance de la cybersécurité pour l'ensemble de l'organisation du GC, ce qui permet la prestation sécuritaire des programmes et des services aux Canadiens. Il est un membre actif de la collectivité de la sécurité du gouvernement du Canada, et il milite pour que les praticiens adoptent une approche à la sécurité fondée sur le risque plus équilibrée, en mettant l'accent sur l'obtention de résultats opérationnels. Imraan est un fervent partisan de #securitépragmatique, et on l'entend souvent en parler sur Twitter.

Règles de participation

Nous avons hâte de recevoir vos commentaires. Vos idées et vos commentaires sont essentiels au développement du portail du gouvernement ouvert et de l’approche du gouvernement du Canada en matière de gouvernement ouvert.

Même si les commentaires sont modérés, le portail ne censurera aucun commentaire sauf dans les quelques cas précis énoncés ci-dessous. Les comptes des personnes qui ne respectent pas ces règles pourraient être désactivés de façon temporaire ou permanente.

Commentaires et interaction

Notre équipe lira les commentaires et participera aux discussions lorsque ce sera approprié. Vos commentaires et contributions doivent être pertinents et respectueux.

Notre équipe ne s’engagera pas dans les questions partisanes ou politiques et ne répondra pas aux questions qui enfreignent ces modalités.

Notre équipe se réserve le droit de supprimer des commentaires et des contributions, et de bloquer des utilisateurs en fonction des critères ci-dessous :

Les commentaires ou les contributions seront supprimés s'ils :

  • contiennent des renseignements personnels, ou des renseignements protégés ou classifiés du gouvernement du Canada, ou portent atteinte à la propriété intellectuelle ou à un droit de propriété;
  • ne respectent pas les principes de la Charte canadienne des droits et libertés, Loi constitutionnelle de 1982;
  • communiquent des messages racistes, haineux, sexistes, homophobes ou diffamatoires, ou contiennent du matériel obscène ou pornographique ou y font allusion;
  • sont menaçants, violents, intimidants ou harcelants;
  • ne respectent pas les lois fédérales, provinciales ou territoriales du Canada;
  • constituent de l'usurpation d'identité, de la publicité ou un pourriel;
  • encouragent ou incitent toute activité illégale ou criminelle;
  • sont rédigés dans une autre langue que le français ou l'anglais;
  • constituent une violation de cet avis de quelque autre manière que ce soit.

Notre équipe ne peut s’engager à répondre à chaque message ou commentaire qui est publié, mais nous participerons aux conversations lorsque cela est possible. Veuillez prendre note que les réponses seront fournies dans la langue d’origine du commentaire.

Notre équipe répondra aux commentaires dans la langue officielle dans laquelle ils sont affichés. Il se peut que nous répondions dans les deux langues officielles lorsque nous estimons que la réponse présente de l'intérêt pour le grand public.

Date de modification :