Exemple de politique sur la cybersécurité
Cet exemple de politique sur la cybersécurité a été fourni par IslamicFamily.ca.
Introduction
Pour maintenir notre intégrité, ainsi que les relations et les liens de confiance que nous avons établis avec la communauté, nous devons traiter les données en notre possession comme une responsabilité sacrée, prévoir la continuité des services et réduire les répercussions d’une éventuelle cyberattaque. Ce document vise à faciliter l’identification de gestes concrets susceptibles d’accroître la sécurité de votre organisation en faisant le point sur vos actifs et les risques existants, de même que les mesures préventives et réactives à la portée de votre organisation.
Adapter ce document à vos besoins…
Le présent document est protégé par une licence Attribution – Utilisation non commerciale – Partage dans les mêmes conditions. Nous vous invitons à en produire des copies et à l’adapter à vos besoins. Dans ce cas, veuillez inclure la référence et nous faire parvenir vos commentaires.
Principes
Notre approche en matière de cybersécurité s’appuie sur les principes suivants :
1) La technologie offre des possibilités : nous voulons aider nos équipes à utiliser les technologies avec plaisir, optimisme et curiosité. La technologie offre l’occasion de communiquer autrement, d’améliorer les flux de travail et de nous réjouir.
2) Plus que les activités, c’est le résultat qui compte : la sécurité n’est pas une question de travail acharné, mais de mesures proactives mesurables qui produisent des résultats perceptibles. Par exemple, nous devons faire plus que sensibiliser nos employé.e.s, nous devons connaître le pourcentage d’appareils dont le système d’exploitation est à jour.
3) Préparer et prévenir
4) Informer et corriger : nous communiquons nos compromis et échecs aux personnes affectées, y compris nos client.e.s, notre équipe et nos partenaires, à mesure que nous en prenons connaissance. Nous faisons notre possible pour corriger les dommages subis en offrant du soutien (surtout aux personnes marginalisées), en faisant le lien avec diverses ressources, en révisant nos politiques et procédures, et en offrant nos excuses.
5) La paranoïa nuit à la prévention, soyons honnêtes
D’abord, les politiques rébarbatives nuisent à la sécurité. Nous voulons que nos équipes se sentent en sécurité et soutenues, plutôt qu’observées et restreintes par nos politiques. Ensuite, nous devons faire preuve d’honnêteté et de transparence. Les outils de cybersécurité facilitent la surveillance et peuvent nuire à la culture et à l’efficacité de notre organisation. Nous préconisons une approche de « sécurité honnête ».
Formation du personnel
Tous les membres du personnel doivent suivre une formation d’intégration (qu’ils devront reprendre tous les deux ans par la suite). L’information concernant les formations suivies est sauvegardée dans WebHR. La formation couvre les sujets suivants :
1) Créer des mots de passe sûrs à l’aide d’un gestionnaire de mots de passe (p. ex. Keychain d’Apple, 1Password).
2) Utiliser l’Internet et les médias sociaux de manière sécuritaire, y compris des méthodes proactives et positives pour interagir sur les médias sociaux (voir : Créer un plan de communication personnelle).
3) Utiliser de manière sécuritaire des logiciels et des applications sur les dispositifs de travail.
4) Savoir détecter les liens suspicieux et les courriels d’hameçonnage.
Les membres du personnel responsable du traitement des données clients doivent suivre des formations supplémentaires sur :
5) L’obtention du consentement. Étudier les principes de propriété, de contrôle, d’accès et de possession, appliqués par les Premières Nations (PCAP), le RGPD et la LPRPDE.
6) Le stockage de données sur les appareils et dans le nuage.
Les membres du personnel responsable du développement et de la gestion des produits numériques et des médias sociaux doivent suivre les modules de formation suivante :
7) Simply Secure e-learning, offerts par la Toronto Metropolitan University.
Actifs et mesures à prendre
| Actif numérique | Mesure préventive | Mesure réactive | Responsable |
|---|---|---|---|
| Mots de passe | Garder les mots de passe dans un endroit sûr et limiter l’accès à cet endroit.
Changer le mot de passe après le départ d’un.e employé.e. |
Opérations | |
| Données de la clientèle et renseignements personnels | Stocker les données des client.e.s de manière sûre et les transférer par des canaux chiffrés, si possible.
Limiter la sauvegarde de données des client.e.s en supprimant les photos de documents, etc., et en évitant de stocker des données sensibles dans le nuage. Demander et documenter le consentement avant d’enregistrer et de partager l’information. |
Informer l’ensemble des client.e.s possiblement affecté.e.s par une violation.
Offrir de l’aide en cas de vol d’identité. |
Direction, Innovation clinique Direction, personnel en contact avec la clientèle |
| Données des supporteurs.trices et donateurs.trices | Utiliser des méthodes sécuritaires pour l’entrée d’information de paiement et sans la sauvegarder sur l’appareil.
Limiter l’accès au système de gestion des relations donateurs.trice (GRD) au.à la contrôleur.euse, au.à la gestionnaire des relations communautaires et aux cadres. Donner un accès partiel au système GRD (nom, coordonnées, durée de la relation) seulement aux personnes ayant passé une vérification de sécurité et signé un serment. Utiliser Bloomerang/ FundraiseUp pour les appels afin que les données des donateurs.trices ne soient pas sauvegardées sur les ordinateurs des client.e.s. |
Gestionnaire, Relations communautaires, Contrôleur.euse |
|
| Accès aux abonné.e.s | Limiter l’accès aux médias sociaux, listes de diffusion, etc., aux membres du personnel pertinents. | Responsable des communications | |
| Systèmes de communication interne (cellulaire, courriel, Slack) | Informer le personnel de notre plan de communication de secours, p. ex. si Slack est en panne, utiliser le courriel; si GSuite est en panne, appeler le.la gestionnaire; en cas de doute, se présenter au bureau.
Maintenir une chaîne téléphonique (groupe WhatsApp/Signal) avec les coordonnées des membres du personnel, du CA et de la direction. |
Envoyer des mises à jour sur l’équipe en utilisant la chaîne téléphonique/d’autres outils de clavardage. | Opérations |
| Comptes GSuite (mauvais usage ou détournement par hameçonnage) |
Suspendre tous les accès lors du départ d’un.e employé.e.
Suspendre les comptes de bénévoles/membres du CA après 6 mois d’inactivité. À l’interne, appliquer l’authentification à deux facteurs à toute demande (p. ex. créer un nouveau compte pour un.e bénévole doit comprendre une vérification par Slack et par courriel). |
Informer le personnel des options de secours si leur appareil est compromis, p. ex. aller au bureau, appeler et répondre aux questions d’identification.
Suspendre tout compte aux activités suspectes. Effacer les données d’appareils à distance. |
Opérations |
| Abonnements numériques | Réviser tous les abonnements numériques actifs sur une base mensuelle à l’aide de relevés de carte de crédit et des comptes fournisseurs.
Conserver une liste des abonnements actifs dans Notion. |
Annuler les abonnements non désirés, informer la compagnie émettrice de la carte de crédit de tout paiement non autorisé. | Opérations |
| Livre de paie | Limiter l’accès au livre de paie au.à la contrôleur.euse.
Le.la contrôleur.euse révise les relevés de paie du fournisseur. L’auditeur.trice révise le livre de paie. |
Faire réviser la paie par deux personnes : DG et le.la contrôleur.euse. |
Contrôleur.euse Trésorier.ière DG |
| Systèmes financiers : paiements sortants |
Autoriser les transactions sortantes (TEF, transfert électronique) en utilisant 2 modes de communication (p. ex. courriel et Slack).
Demander 2 autorisations pour tout paiement sortant. |
Contrôleur.euse Trésorier.ière DG |
|
| Systèmes financiers : paiements entrants |
Vérifier les changements dans les paiements entrants et faire un suivi trimestriel des montants prévus et réels. | Contrôleur.euse Trésorier.ière DG |
| Actif numérique | Mesure préventive | Mesure réactive | Responsable |
|---|---|---|---|
| Espace physique (Hüb) |
Exiger un engagement (de ne pas partager l’accès à la porte) pour accéder à notre espace.
Accorder l’accès seulement aux membres du personnel et aux personnes prenant l’engagement. Limiter l’accès selon les besoins/ autorisations de sécurité. Réviser le journal d’accès. Sécuriser le réseau sans fil en créant des accès distincts pour les membres du personnel et les invité.e.s. |
Opérations | |
| Appareils physiques | Installer et entretenir un logiciel de gestion des appareils mobiles (MDM).
Installer les correctifs dans un délai de 14 jours. Faire barrer la carte SIM de tout téléphone par le fournisseur pour prévenir les attaques causées par le remplacement des cartes SIM. À l’aide de MDM, surveiller les appareils du personnel pour détecter les menaces informatiques. Mises à jour mensuelles sur le statut des appareils du personnel : combien d’appareils requièrent une mise à jour/un correctif? Combien de menaces ont été évitées? |
Effacer les données de tout appareil déclaré perdu. | Opérations |
| Applications développées à l’interne | Réaliser un audit indépendant de la transmission de données par les applications pour vérifier le chiffrement de bout en bout et la sécurité des données.
Envisager un audit indépendant du code utilisé pour la sécurité des données. Mettre en place différents types de logiciel de cybersécurité, axés sur : la lutte contre les cyberattaques, p. ex. filtrage DNS, la protection contre les logiciels malveillants, les pare-feu et les solutions de sécurité courriel. Aussi, les données sauvegardées sur les ordinateurs, appareils intelligents, routeurs, réseaux et dans le nuage requièrent une protection logicielle. Copies de secours et mises à jour régulières des systèmes. Créer un guide pour assurer la protection des données personnelles et la sécurité physique des appareils, prévenir la fatigue des mots de passe et reconnaître des courriels/URL suspicieux. |
Gestionnaire, produit |
| Risque externe | Répercussion | Prévention | Réaction | Responsable
|
|---|---|---|---|---|
| Être visé dans les médias sociaux (divulgation de données personnelles, mésinformation, désinformation) | Inonder les téléphones, systèmes de SMS et courriels pour rendre la communication avec les client.e.s difficile. | Surveiller les courriels et la ligne de plainte pour détecter les activités inhabituelles.
Maintenir l’exactitude de l’information affichée sur le site Web et les médias sociaux. |
1. Signaler – Essayer de supprimer le contenu problématique faisant référence à l’organisation par un signalement. La coordination de plusieurs membres du personnel peut être nécessaire afin d’attirer l’attention des modérateurs.trices. 3. Ignorer – Ne pas réagir au contenu si cela risque de générer plus d’attention. 3. Informer – Préparer et publier une réponse au contenu. |
Gestionnaire, communications
|
| Violation côté fournisseur (p. ex. AWS ou Google est touché par une violation de données) |
Maintenir une liste de nos systèmes essentiels et les surveiller pour détecter toute compromission.P. ex. AWS, GSuite, Stripe. Maintenir une liste des systèmes que nous utilisons et de ceux auxquels ils sont connectés (p. ex. Notion est développé sur AWS). Utiliser la fonction de surveillance de 1Password pour être informé de toute compromission de systèmes. |
Informer nos parties prenantes en cas de violations côté fournisseur. |
