Permettre le #GCnumérique avec une sécurité pragmatique

Catégorie
juin 15, 2018

De nos jours, les gouvernements fonctionnent par une communication et une collaboration constantes avec des partenaires externes. Il y a longtemps que nous avons dépassé l’époque de la création de programmes derrière des portes closes. La capacité de travailler dans la collectivité où ils se trouvent, en utilisant les outils qu’ils utilisent, est essentielle aux programmes #GCnumérique et #GouvOuvert, et l’équipe de cybersécurité que je dirige essaie de la faciliter.

Depuis que j’ai commencé à travailler dans le domaine de la cybersécurité, on m’a dit que les cyberpraticiens sont censés être des « facilitateurs opérationnels ». Nous sommes censés comprendre les besoins des utilisateurs et des entreprises et déterminer les contrôles qui aideront nos collègues à atteindre leurs objectifs en toute sécurité.

Cela semble bien beau en théorie, mais en pratique, ce n’est pas toujours le cas. Les praticiens de la cybersécurité sont souvent placés dans la position difficile d’équilibrer le risque et la fonctionnalité, et ont tendance à être considérés comme les personnes du « non » ou les personnes qui vous empêchent de faire un travail parce que le risque est trop élevé. Bien que nous voulions agir en tant que facilitateurs opérationnels, il nous incombe également d’assurer la protection soutenue de nos fonds de renseignements. Cela peut certainement être un défi de taille, mais nous devons trouver un moyen de faire la transition vers un endroit où nous pouvons équilibrer les objectifs commerciaux et l’innovation commerciale avec un niveau de risque approprié.

Un cas de changement

Un bon exemple de ce besoin de changement de mentalité est l’accès aux sites Web sur les ordinateurs du gouvernement. Le débat sur les sites Web auxquels nous sommes autorisés à accéder à partir de nos appareils de travail dure depuis des années, mais il a pris de l’ampleur récemment avec l’utilisation accrue des médias sociaux et des outils de collaboration par l’entremise du Web comme Google Docs, Slack et Trello à des fins professionnelles. Pendant longtemps, les ministères et organismes du gouvernement du Canada ont bloqué ces sites, invoquant souvent le « risque potentiel pour la sécurité » comme raison.

Maintenant, il y a beaucoup de bonnes raisons de bloquer certains sites Web des appareils de travail. Activité illégale ou criminelle? Absolument. Des sites malveillants connus? Absolument. Bien sûr, si cela a des incidences importantes. Mais bloquer un site parce qu’il y a un risque que quelqu’un publie quelque chose de sensible? Cela pourrait être presque n’importe quel site Web.

J’entends cet argument tous les jours. « Nous devons bloquer Twitter parce que quelqu’un pourrait y publier quelque chose de sensible. » Ou « nous devons bloquer Google Docs parce que quelqu’un pourrait téléverser un document sensible ». Ou « nous devons bloquer Slack parce que quelqu’un pourrait dire quelque chose de mal dans un canal de clavardage ». Eh bien, en fait, que vous bloquiez ou non ces sites, ces risques existent tous les jours avec tout ce que nous utilisons sur Internet, que ce soit le courriel ou la section de commentaires de votre site de nouvelles préférées. La seule façon d’éliminer vraiment ce risque est de se déconnecter complètement d’Internet, et nous savons tous que cela ne se produira pas.

Croyez-moi, c’est sécurisé… ou est-ce vraiment le cas?

En bloquant ces sites, on a tendance à penser que la mission a été accomplie. La barrière est abaissée, personne ne peut donc la contourner, n’est-ce pas? Bien sûr, temporairement, jusqu’à ce qu’ils s’occupent de la « sécurité » mise en œuvre, ils transfèrent un fichier à leur téléphone personnel et effectuent le même téléversement qu’ils essayaient de faire plus tôt. Donc, quand on y pense, la posture de sécurité est pire parce que les transferts de fichiers se font sur un réseau où on n’a aucune visibilité. Pour ma part, je préfère savoir ce qui se passe plutôt que de prétendre que ce n’est pas du tout le cas.

Lorsque nous accordons la priorité aux menaces potentielles à la sécurité plutôt qu’à la fonctionnalité, le défi est que les employés trouvent un moyen de contourner ces contrôles, ce qui entraîne des vulnérabilités supplémentaires, une baisse de productivité et des employés frustrés qui n’ont pas accès aux outils nécessaires pour faire leur travail. Au bout du compte, nous devons nous rendre compte que les gens veulent simplement faire leur travail et qu’ils trouveront les outils nécessaires pour le faire, que nous les leur fournissions ou non. L’aversion au risque peut en fait créer plus de risques et nous devons commencer à envisager une approche différente.

Une nouvelle orientation

Cette nouvelle approche commence par la publication récente de l’Avis de mise en œuvre de la politique (AMOP) sur la Politique sur l’utilisation acceptable des dispositifs et des réseaux (PUADR). Lorsque la PUADR a été publiée en 2014, elle exigeait des ministères qu’ils ouvrent l’accès à Internet, y compris aux outils Web 2.0. Depuis, la mise en œuvre a été sporadique, ce qui a donné lieu à une approche incohérente dans l’ensemble du gouvernement. Le nouvel AMOP fournit des directives plus normatives sur la façon dont les ministères doivent configurer leurs politiques de filtrage Web. Nous demandons aux ministères de bloquer les sites illégaux et malveillants, de bloquer certains sites de diffusion en continu s’il y a des preuves d’un impact important sur le réseau, mais d’ouvrir le reste d’Internet par défaut. Vous avez déjà entendu l’expression « ouvert par défaut » pour nos données. Pourquoi ne pas le faire pour nos outils également?

Évidemment, tout site Internet général ne doit servir qu’à traiter des renseignements non sensibles. C’est donc à nous tous, les spécialistes de la cybersécurité, de sensibiliser nos utilisateurs aux choses à faire et à ne pas faire pour ces sites. Donc, plutôt que de bloquer les employés, travaillons avec eux, en leur donnant de la formation, en étant disponibles pour des questions, et, en fin de compte, leur permettant d’utiliser les sites Web correctement. Cela évitera les solutions de contournement non sécuritaires, ce qui leur permettra de faire leur travail plus facilement et de veiller à ce que toutes les activités demeurent sur un réseau que nous surveillons et protégeons.

Les gens qui me connaissent savent que je parle souvent de #securitépragmatique. Tout ce que cela signifie, c’est que nous devons trouver des moyens d’équilibrer les besoins des utilisateurs et les mesures de sécurité pratiques. Si nous leur rendons la tâche trop difficile, croyez-moi, ils trouveront une solution de rechange qui, sans aucun doute, vous laissera dans une situation pire du point de vue de la sécurité. Nous devons toujours chercher ce « point idéal » pour les agents de sécurité et les utilisateurs, et nous espérons que cet AMOP sera un bon premier pas vers cet objectif.

Imraan


Imraan Bashir

Image
Imraan Bashir
Directeur principal, Cybersécurité, Direction du dirigeant principal de l'information, Secrétariat du Conseil du Trésor du Canada

Imraan dirige l'équipe chargée d'assurer le leadership, l'orientation et la surveillance de la cybersécurité pour l'ensemble de l'organisation du GC, ce qui permet la prestation sécuritaire des programmes et des services aux Canadiens. Il est un membre actif de la collectivité de la sécurité du gouvernement du Canada, et il milite pour que les praticiens adoptent une approche à la sécurité fondée sur le risque plus équilibrée, en mettant l'accent sur l'obtention de résultats opérationnels. Imraan est un fervent partisan de #securitépragmatique, et on l'entend souvent en parler sur Twitter.

Ajouter un commentaire

Règles de participation

Nous avons hâte de recevoir vos commentaires. Vos idées et vos commentaires sont essentiels au développement du portail du gouvernement ouvert et de l’approche du gouvernement du Canada en matière de gouvernement ouvert.

Même si les commentaires sont modérés, le portail ne censurera aucun commentaire sauf dans les quelques cas précis énoncés ci-dessous. Les comptes des personnes qui ne respectent pas ces règles pourraient être désactivés de façon temporaire ou permanente.

Commentaires et interaction

Notre équipe lira les commentaires et participera aux discussions lorsque ce sera approprié. Vos commentaires et contributions doivent être pertinents et respectueux.

Notre équipe ne s’engagera pas dans les questions partisanes ou politiques et ne répondra pas aux questions qui enfreignent ces modalités.

Notre équipe se réserve le droit de supprimer des commentaires et des contributions, et de bloquer des utilisateurs en fonction des critères ci-dessous :

Les commentaires ou les contributions seront supprimés s'ils :

  • contiennent des renseignements personnels, ou des renseignements protégés ou classifiés du gouvernement du Canada, ou portent atteinte à la propriété intellectuelle ou à un droit de propriété;
  • ne respectent pas les principes de la Charte canadienne des droits et libertés, Loi constitutionnelle de 1982;
  • communiquent des messages racistes, haineux, sexistes, homophobes ou diffamatoires, ou contiennent du matériel obscène ou pornographique ou y font allusion;
  • sont menaçants, violents, intimidants ou harcelants;
  • ne respectent pas les lois fédérales, provinciales ou territoriales du Canada;
  • constituent de l'usurpation d'identité, de la publicité ou un pourriel;
  • encouragent ou incitent toute activité illégale ou criminelle;
  • sont rédigés dans une autre langue que le français ou l'anglais;
  • constituent une violation de cet avis de quelque autre manière que ce soit.

Notre équipe ne peut s’engager à répondre à chaque message ou commentaire qui est publié, mais nous participerons aux conversations lorsque cela est possible. Veuillez prendre note que les réponses seront fournies dans la langue d’origine du commentaire.

Notre équipe répondra aux commentaires dans la langue officielle dans laquelle ils sont affichés. Il se peut que nous répondions dans les deux langues officielles lorsque nous estimons que la réponse présente de l'intérêt pour le grand public.

Commentaires

Soumis par Lisa Fast le ven 15/06/2018 - 18:29

Wonderful to acknowledge reality and encourage #PragmaticSecurity. Thank You from someone who has used every online work-around we could dream up for our teams to collaborate across and within departments.

Soumis par Keith Douglas le lun 18/06/2018 - 14:59

What about other uses of blocking, not necessarily for security but for bandwidth reasons, say?

Soumis par Anonyme le mer 20/06/2018 - 18:31

In 2018, bandwidth shouldn't be an issue. If it really does become an issue I think handling bandwidth case by case makes the most sense. Assume users won't abuse, deal with the ones that do. Oftentimes there are real business reasons for accessing high bandwidth websites that might not be immediately obvious.

Soumis par Imraan le lun 25/06/2018 - 13:31

Good question, Keith. PANDU does state that the definition of 'unacceptable use' includes activity that "impacts negatively the performance of Government of Canada electronic networks and devices". If a departmental CIO sees that allowing certain sites (e.g. video streaming) is causing significant impact to the network, the PIN allows them to approve the blocking of offending sites with that rationale. Having said that, there are often other ways to address bandwidth concerns (e.g. traffic shaping, user education/awareness), so we encourage departments to investigate those options first.

Soumis par Jason White le ven 20/07/2018 - 13:40

As government departments adopt a new workplace design with fewer or no cubicle walls, more shared coworking space, etc, employees will often try to adapt by listening to music streaming services at work. It's important that departments explicitly recognize this tradeoff and increase bandwidth as appropriate.

Soumis par Rick Labelle le mar 19/06/2018 - 12:34

Thank you for this article. I have spent most of my career in Project Management, Security and Privacy. Communicating the message of business needs directly to Security assessors has always been a challenge and I understand their position and why they say 'no'. Hopefully, the message of a balanced approach with business and security can be disseminated to our security colleagues.

Soumis par Jamie Armstrong le Jeu 21/06/2018 - 19:58

Of course there is demand for web based collaboration and sharing tools across the GC and yes, certainly these can be used to facilitate and enhance our business operations But allowing “open by default” to the growing proliferation of data sharing services must be accompanied by increased investment in security tooling and capabilities to give your GC security teams accurate and real-time visibility and monitoring of their networks and endpoints so they can detect sensitive information leaving the Dept regardless of whether it is to an "approved" site or not.

Soumis par Sergio le lun 25/06/2018 - 04:49

A great piece indeed. If government functions through constant interaction with external partners, should partners provide visibility to the government of their levels of risk?

Soumis par Anonymous Coward le mar 07/08/2018 - 12:34

It's been nearly two months since this new policy and my department (ESDC) is still blocking several of the above mentioned sites (Google Docs, Slack, Imgur (where W3C hosts a number of image files.), etc.) So I wonder how optional this policy is. The language in this post ("policy", and "directing departments to....") makes it sound pretty mandatory. But, it still hasn't happened in my dept.
Date de modification :