De nos jours, les gouvernements fonctionnent par une communication et une collaboration constantes avec des partenaires externes. Il y a longtemps que nous avons dépassé l’époque de la création de programmes derrière des portes closes. La capacité de travailler dans la collectivité où ils se trouvent, en utilisant les outils qu’ils utilisent, est essentielle aux programmes #GCnumérique et #GouvOuvert, et l’équipe de cybersécurité que je dirige essaie de la faciliter.
Depuis que j’ai commencé à travailler dans le domaine de la cybersécurité, on m’a dit que les cyberpraticiens sont censés être des « facilitateurs opérationnels ». Nous sommes censés comprendre les besoins des utilisateurs et des entreprises et déterminer les contrôles qui aideront nos collègues à atteindre leurs objectifs en toute sécurité.
Cela semble bien beau en théorie, mais en pratique, ce n’est pas toujours le cas. Les praticiens de la cybersécurité sont souvent placés dans la position difficile d’équilibrer le risque et la fonctionnalité, et ont tendance à être considérés comme les personnes du « non » ou les personnes qui vous empêchent de faire un travail parce que le risque est trop élevé. Bien que nous voulions agir en tant que facilitateurs opérationnels, il nous incombe également d’assurer la protection soutenue de nos fonds de renseignements. Cela peut certainement être un défi de taille, mais nous devons trouver un moyen de faire la transition vers un endroit où nous pouvons équilibrer les objectifs commerciaux et l’innovation commerciale avec un niveau de risque approprié.
Un cas de changement
Un bon exemple de ce besoin de changement de mentalité est l’accès aux sites Web sur les ordinateurs du gouvernement. Le débat sur les sites Web auxquels nous sommes autorisés à accéder à partir de nos appareils de travail dure depuis des années, mais il a pris de l’ampleur récemment avec l’utilisation accrue des médias sociaux et des outils de collaboration par l’entremise du Web comme Google Docs, Slack et Trello à des fins professionnelles. Pendant longtemps, les ministères et organismes du gouvernement du Canada ont bloqué ces sites, invoquant souvent le « risque potentiel pour la sécurité » comme raison.
Maintenant, il y a beaucoup de bonnes raisons de bloquer certains sites Web des appareils de travail. Activité illégale ou criminelle? Absolument. Des sites malveillants connus? Absolument. Bien sûr, si cela a des incidences importantes. Mais bloquer un site parce qu’il y a un risque que quelqu’un publie quelque chose de sensible? Cela pourrait être presque n’importe quel site Web.
J’entends cet argument tous les jours. « Nous devons bloquer Twitter parce que quelqu’un pourrait y publier quelque chose de sensible. » Ou « nous devons bloquer Google Docs parce que quelqu’un pourrait téléverser un document sensible ». Ou « nous devons bloquer Slack parce que quelqu’un pourrait dire quelque chose de mal dans un canal de clavardage ». Eh bien, en fait, que vous bloquiez ou non ces sites, ces risques existent tous les jours avec tout ce que nous utilisons sur Internet, que ce soit le courriel ou la section de commentaires de votre site de nouvelles préférées. La seule façon d’éliminer vraiment ce risque est de se déconnecter complètement d’Internet, et nous savons tous que cela ne se produira pas.
Croyez-moi, c’est sécurisé… ou est-ce vraiment le cas?
En bloquant ces sites, on a tendance à penser que la mission a été accomplie. La barrière est abaissée, personne ne peut donc la contourner, n’est-ce pas? Bien sûr, temporairement, jusqu’à ce qu’ils s’occupent de la « sécurité » mise en œuvre, ils transfèrent un fichier à leur téléphone personnel et effectuent le même téléversement qu’ils essayaient de faire plus tôt. Donc, quand on y pense, la posture de sécurité est pire parce que les transferts de fichiers se font sur un réseau où on n’a aucune visibilité. Pour ma part, je préfère savoir ce qui se passe plutôt que de prétendre que ce n’est pas du tout le cas.
Lorsque nous accordons la priorité aux menaces potentielles à la sécurité plutôt qu’à la fonctionnalité, le défi est que les employés trouvent un moyen de contourner ces contrôles, ce qui entraîne des vulnérabilités supplémentaires, une baisse de productivité et des employés frustrés qui n’ont pas accès aux outils nécessaires pour faire leur travail. Au bout du compte, nous devons nous rendre compte que les gens veulent simplement faire leur travail et qu’ils trouveront les outils nécessaires pour le faire, que nous les leur fournissions ou non. L’aversion au risque peut en fait créer plus de risques et nous devons commencer à envisager une approche différente.
Une nouvelle orientation
Cette nouvelle approche commence par la publication récente de l’Avis de mise en œuvre de la politique (AMOP) sur la Politique sur l’utilisation acceptable des dispositifs et des réseaux (PUADR). Lorsque la PUADR a été publiée en 2014, elle exigeait des ministères qu’ils ouvrent l’accès à Internet, y compris aux outils Web 2.0. Depuis, la mise en œuvre a été sporadique, ce qui a donné lieu à une approche incohérente dans l’ensemble du gouvernement. Le nouvel AMOP fournit des directives plus normatives sur la façon dont les ministères doivent configurer leurs politiques de filtrage Web. Nous demandons aux ministères de bloquer les sites illégaux et malveillants, de bloquer certains sites de diffusion en continu s’il y a des preuves d’un impact important sur le réseau, mais d’ouvrir le reste d’Internet par défaut. Vous avez déjà entendu l’expression « ouvert par défaut » pour nos données. Pourquoi ne pas le faire pour nos outils également?
Évidemment, tout site Internet général ne doit servir qu’à traiter des renseignements non sensibles. C’est donc à nous tous, les spécialistes de la cybersécurité, de sensibiliser nos utilisateurs aux choses à faire et à ne pas faire pour ces sites. Donc, plutôt que de bloquer les employés, travaillons avec eux, en leur donnant de la formation, en étant disponibles pour des questions, et, en fin de compte, leur permettant d’utiliser les sites Web correctement. Cela évitera les solutions de contournement non sécuritaires, ce qui leur permettra de faire leur travail plus facilement et de veiller à ce que toutes les activités demeurent sur un réseau que nous surveillons et protégeons.
Les gens qui me connaissent savent que je parle souvent de #securitépragmatique. Tout ce que cela signifie, c’est que nous devons trouver des moyens d’équilibrer les besoins des utilisateurs et les mesures de sécurité pratiques. Si nous leur rendons la tâche trop difficile, croyez-moi, ils trouveront une solution de rechange qui, sans aucun doute, vous laissera dans une situation pire du point de vue de la sécurité. Nous devons toujours chercher ce « point idéal » pour les agents de sécurité et les utilisateurs, et nous espérons que cet AMOP sera un bon premier pas vers cet objectif.
Imraan
Ajouter un commentaire
Commentaires
Bravo!
Soumis par Lisa Fast le ven 15/06/2018 - 18:29
Other uses?
Soumis par Keith Douglas le lun 18/06/2018 - 14:59
In 2018, bandwidth shouldn't…
Soumis par Anonyme le mer 20/06/2018 - 18:31
Exceptions
Soumis par Imraan le lun 25/06/2018 - 13:31
As government departments…
Soumis par Jason White le ven 20/07/2018 - 13:40
Thank you!
Soumis par Rick Labelle le mar 19/06/2018 - 12:34
For security to be pragmatic it still requires security.
Soumis par Jamie Armstrong le Jeu 21/06/2018 - 19:58
Very clear
Soumis par Sergio le lun 25/06/2018 - 04:49
How optional is this?
Soumis par Anonymous Coward le mar 07/08/2018 - 12:34
Flall Tip
Soumis par gamesellru le dim 16/05/2021 - 20:28
It is remarkable, it is a valuable piece