Sujets

Instaurer une culture de la sécurité
Une base solide :
Sécurisation des comptes et des appareils
Communiquer et stocker des données en toute sécurité
Rester en sécurité sur Internet
Protéger la sécurité physique
Que faire lorsque les choses tournent mal

Communiquer et stocker des données en toute sécurité

Stocker des données en toute sécurité

Pour la plupart des parlements, l’une des décisions les plus importantes à prendre est de savoir où stocker leurs données. Est-il « plus sûr » de stocker des données sur les ordinateurs du personnel, sur un serveur local, sur des appareils de stockage externes ou dans le nuage ? Dans 99 % des cas, l’option la plus simple et la plus sûre consiste à conserver les données stockées au sein de services de stockage en nuage fiables. Les exemples les plus courants sont sans doute Microsoft 365 et Google Drive. Sans un programme de stockage en nuage intégré, il est probable que les données de votre parlement soient stockées à divers endroits, notamment sur les ordinateurs du personnel et des députés, sur des disques durs externes, voire sur des serveurs locaux. S’il est possible de sécuriser les données sur tous ces appareils, il est très difficile de le faire de manière satisfaisante sans dépenser beaucoup d’argent et sans engager une équipe informatique assez conséquente.

Stockage des données et parlements

Two long banks of computers in a server room.

L’avènement du stockage de données dans le nuage à un prix abordable (parfois gratuit) a rendu la vie plus facile et plus sûre pour de nombreux parlements et autres organisations. Malheureusement, nombreux sont ceux qui tentent encore d’héberger leurs propres serveurs avec des compétences ou un soutien informatique relativement limités. En mars 2021, la menace d’une telle infrastructure organisationnelle est devenue réelle pour des dizaines de milliers d’organisations à travers le monde, notamment des parlements, lorsqu’un acteur malveillant affilié au gouvernement chinois, appelé Hafnium, a déclenché une catastrophe mondiale en matière de cybersécurité avec une attaque sophistiquée sur des serveurs Microsoft Exchange auto-hébergés. L’attaque a compromis les serveurs locaux, notamment celui du parlement norvégien, permettant aux pirates d’accéder aux comptes e-mail du parlement, d’installer des logiciels malveillants supplémentaires sur les serveurs de la victime et les systèmes connectés, et finalement d’extraire des données sensibles.

Bien que Microsoft ait rapidement publié une mise à jour et des instructions afin d’identifier et de supprimer les intrus potentiels une fois les piratages rendus publics, de nombreuses organisations plus petites n’avaient pas la capacité informatique d’appliquer rapidement ces mises à jour, ce qui les a laissées exposées pendant de longues périodes. L’ampleur et l’impact de ce piratage mondial révèlent le danger que courent les parlements et autres organisations qui choisissent d’héberger elles-mêmes leurs serveurs de messagerie électronique et d’autres types de données sensibles, en particulier sans investir massivement dans du personnel spécialisé en cybersécurité.

Avantages du stockage en nuage

Même si vous prenez toutes les mesures nécessaires pour protéger vos ordinateurs contre les logiciels malveillants et le vol physique, il est toujours possible pour un adversaire déterminé de pirater votre ordinateur ou votre serveur parlementaire local. Il leur est beaucoup plus difficile de déjouer les défenses de sécurité de Google ou de Microsoft, par exemple. Les entreprises de stockage en nuage fiables disposent de ressources de sécurité inégalées et ont tout intérêt à offrir une sécurité maximale à leurs utilisateurs. En bref, une stratégie de stockage en nuage fiable sera beaucoup plus facile à mettre en œuvre et à protéger au fil du temps. Ainsi, au lieu d’essayer d’identifier (et de retenir) le nombre d’employés spécialisés et hautement qualifiés en cybersécurité requis pour protéger les serveurs locaux de votre parlement, concentrez votre énergie sur une poignée de tâches plus simples. Il s’agit notamment de choisir l’option de stockage en nuage qui convient à vos besoins en matière de confidentialité des données et de localisation, de mettre en place une bonne sécurité des comptes, de former le personnel à partager (et à ne pas partager) correctement les dossiers et les documents (en général, vous devriez créer des dossiers dans votre unité de stockage en nuage qui limitent l’accès aux seuls membres du personnel qui en ont besoin pour des fichiers donnés), et d’auditer régulièrement votre système pour vous assurer que le personnel et les membres ne partagent pas trop de fichiers (par exemple en activant le partage universel de liens pour des fichiers qui devraient plutôt être limités à quelques personnes seulement).

Le fait de conserver l’essentiel de vos informations dans le nuage permet de faire face à toute une série de risques courants. L’ordinateur de quelqu’un a été oublié dans un restaurant ou son téléphone dans le bus ? Votre enfant a renversé un verre de jus sur votre clavier, ce qui rend votre appareil inutilisable ? Avez-vous besoin de séparer les données qui appartiennent à une députée elle-même des informations qu’elle génère pour le parlement lui-même ? Un membre du personnel a-t-il été infecté par un logiciel malveillant et doit-il réinitialiser son ordinateur ? Si la plupart des documents et des données se trouvent dans le nuage, il est facile de les resynchroniser et de repartir à zéro sur un ordinateur nettoyé ou entièrement neuf. De même, si un logiciel malveillant s’introduit dans un ordinateur ou si un voleur scanne un disque dur, il n’y a rien à voler si la plupart des documents sont accessibles via le navigateur web.

Pouvons-nous vraiment faire confiance au stockage en nuage ?

En bref, il n’y a rien d’intrinsèquement indigne de confiance dans le stockage en nuage. Comme indiqué plus haut, la plupart des grands fournisseurs de services de stockage en nuage disposent d’équipes composées des meilleurs ingénieurs en sécurité au monde qui travaillent chaque jour à la protection de leurs produits et offrent à leurs clients une assistance en matière de sécurité qui va au-delà de ce que la plupart des petits services informatiques pourraient être en mesure d’offrir par eux-mêmes. Il faut toutefois garder à l’esprit que les services traditionnels de stockage en nuage nécessitent généralement d’accorder l’accès aux données sensibles à une société tierce qui fournit le service. Cela dit, chaque parlement devra tenir compte de ses propres considérations politiques et exigences légales (telles que les mandats de localisation des données) pour décider s’il peut faire confiance à un fournisseur de stockage en nuage donné et l’utiliser.

Quel fournisseur de stockage en nuage choisir ?

Si votre parlement n’a pas à tenir compte d’exigences en matière de localisation des données et n’a aucun problème avec le partage de l’accès aux données par une entreprise tierce de confiance, les deux options de stockage en nuage les plus populaires sont Google Workspace (anciennement connu sous le nom de GSuite) et Microsoft 365. Si votre parlement utilise déjà Gmail, l’inscription à Google Workspace et le stockage des données dans Google Drive avec ses applications intégrées Google Docs, Sheets et Slides pour le traitement de texte, les feuilles de calcul et les présentations sont très utiles. De même, si votre parlement dépend d’Excel et de Word, le choix le plus simple est de s’inscrire à Microsoft 365, qui lui donne accès à Outlook pour le courriel et aux versions sous licence de Microsoft Word, Excel, Powerpoint et Teams.

Que se passe-t-il si nous devons contrôler nos propres données ou nous conformer aux lois sur la localisation des données ?

Pour de nombreux parlements, une option aussi simple n’est peut-être pas réalisable en raison des exigences en matière de localisation des données ou des attentes spécifiques qui requièrent un contrôle exclusif du parlement sur ses propres données. La bonne nouvelle, c’est que les fournisseurs de stockage en nuage sécurisé ont récemment développé des options qui permettent aux entreprises clientes de choisir l’emplacement de leurs données (notez que cela est principalement limité aux clients européens pour l’instant), ou de contrôler leurs propres clés de chiffrement. En pratique, cela signifie que votre parlement a la possibilité de contrôler ses propres données tout en bénéficiant de l’infrastructure et de la sécurité du stockage en nuage.

Si votre entreprise utilise actuellement ou souhaite utiliser Google Workspace pour le stockage et le partage de données dans le nuage, Google a introduit une fonctionnalité permettant le Cryptage côté client pour les organisations Enterprise Plus. Bien qu’elle soit actuellement en phase de test et qu’elle ne soit disponible que pour les plans Google Workspace les plus chers, cette fonctionnalité permet de profiter de l’ensemble des fonctions de stockage et de partage de données de Google Drive, ainsi que des fonctions de sécurité qui y sont intégrées, tout en limitant la capacité de Google à accéder aux informations sensibles ou privées de votre parlement. Avec le chiffrement côté client, vous pouvez choisir d’intégrer un service supplémentaire de gestion des clés, tel que Virtru, et permettre aux utilisateurs de gérer leurs propres clés de chiffrement sans autoriser l’accès à Google lui-même. Un tel service exige que chacun prenne soin de protéger ces clés afin de protéger correctement l’accès au système de gestion des clés que vous avez choisi d’intégrer à l’espace de travail Google. Les administrateurs de compte peuvent en savoir plus sur l’activation du chiffrement côté client sur la page d’assistance de Google Workspace.

Si votre parlement utilise actuellement ou s’intéresse à Microsoft 365 pour le stockage et le partage de données dans le nuage, il propose une option légèrement plus complexe mais bien établie pour gérer vos propres clés de chiffrement, connue sous le nom de Microsoft 365 Double Key Encryption. Cette option de sécurité nécessite Microsoft 365 E5, mais vous permet de garder le contrôle de toutes les données parlementaires sensibles ou privées et d’en limiter l’accès même à Microsoft elle-même.

Tresorit est une autre option plus simple à mettre en œuvre si votre parlement craint de permettre à un tiers d’accéder à vos informations internes. Tresorit fournit un chiffrement de bout en bout pour le stockage en nuage et le partage de fichiers, et offre une gamme d’options de résidence des données.
 

Renforcer la sécurité des comptes en nuage parlementaires

Si votre parlement choisit de configurer un domaine dans Google Workspace ou Microsoft 365, sachez que ces deux sociétés offrent des niveaux de sécurité plus élevés pour les comptes à risque. Le Programme Protection Avancée de Google et AccountGuard de Microsoft offrent une sécurité encore plus solide à tous les comptes en nuage des organisations éligibles et vous aident à réduire considérablement la probabilité de hameçonnage efficace et de compromission des comptes. Si vous pensez que votre parlement satisfait aux conditions requises et que vous souhaitez la faire adhérer à l’un ou l’autre de ces programmes, visitez les sites Web indiqués ci-dessus ou contactez [email protected] pour obtenir une assistance supplémentaire.

Que se passe-t-il si nous ne pouvons faire confiance à aucune solution de stockage en nuage ?

Si vous choisissez de faire cavalier seul et de vous appuyer sur des serveurs locaux pour stocker les données de votre parlement, il est essentiel que vous investissiez beaucoup de temps et de ressources dans le renforcement des défenses numériques des appareils de votre parlement et que vous veilliez à ce que ces serveurs soient correctement configurés, chiffrés et physiquement sécurisés. Comme indiqué ci-dessus, une telle approche nécessite d’identifier, d’embaucher et de conserver un certain nombre de personnes dévouées et hautement qualifiées dans le domaine de la cybersécurité afin de maintenir la sécurité de votre infrastructure de serveurs locaux.

Sauvegarde des données

Que votre parlement stocke des données sur des dispositifs physiques ou des serveurs dans le nuage, il est important de disposer d’une sauvegarde. Gardez à l’esprit que si vous dépendez d’un dispositif de stockage physique, il est assez facile de perdre l’accès à vos données. Vous pourriez renverser du café sur votre ordinateur et en détruire le disque dur. Les ordinateurs du personnel pourraient être piratés et tous les fichiers locaux verrouillés par un ransomware. Quelqu’un pourrait perdre un appareil dans un train ou se le faire voler avec sa mallette. Comme mentionné ci-dessus, c’est une autre raison pour laquelle l’utilisation du stockage en nuage peut être un avantage, car ce dernier n’est pas lié à un appareil spécifique qui peut être infecté, perdu ou volé. Les Macs sont dotés d’un logiciel de sauvegarde intégré appelé Time Machine qui s’utilise avec un périphérique de stockage externe ; pour les appareils Windows, Historique des fichiers offre une fonctionnalité similaire.Les appareil iPhone et Android peuvent sauvegarder automatiquement leurs contenus les plus importants dans le nuage si cette option est activée dans les paramètres de votre téléphone.

Si votre parlement utilise un stockage en nuage (comme Google Drive), le risque que Google soit mis hors service ou que vos données soient effacées en cas de catastrophe est assez faible, mais l’erreur humaine (comme la suppression accidentelle de fichiers importants) reste possible. Il peut être intéressant de se tourner vers une solution de sauvegarde en nuage comme Backupify ou SpinOne Backup.

Si les données sont stockées sur un serveur local et/ou des dispositifs locaux, une sauvegarde sécurisée devient encore plus indispensable. Vous pouvez sauvegarder les données de votre parlement sur un disque dur externe ou une série de disques, mais veillez à chiffrer ces disques avec un mot de passe fort. Time Machine peut chiffrer les disques durs pour vous, ou vous pouvez également utiliser des outils de chiffrement fiables pour l’ensemble de vos disques durs, comme VeraCrypt ou BitLocker. Veillez à conserver vos dispositifs de sauvegarde dans un endroit distinct de vos autres dispositifs et fichiers. N’oubliez pas qu’un incendie qui détruit à la fois vos ordinateurs et leurs sauvegardes vous prive de toute sauvegarde. Pensez à conserver une copie dans un endroit très sûr, comme un coffre-fort.

Stocker des données en toute sécurité

  • Stockez vos données sensibles exclusivement dans un service de stockage en nuage de confiance.
    • Veillez à ce que tous les comptes connectés utilisés pour accéder à un tel service soient dotés de mots de passe forts et d’un système 2FA.
  • Définissez et appliquez une politique afin de limiter les paramètres de partage au sein du nuage.
    • Formez l’ensemble des membres et du personnel sur la manière de partager correctement (et non de surpartager) les documents.
  • Si votre parlement opte pour le stockage local des données, investissez dans un personnel informatique qualifié.
  • Assurez la sécurité de vos sauvegardes de données en chiffrant les disques durs ou autres dispositifs de sauvegarde.