Speaker #0Bonjour à toutes et à tous, bienvenue dans Cyber en clair, je suis François Perroux pour Rayon Solutions et aujourd'hui on démarre fort avec un sujet essentiel, l'identité en entreprise. Pourquoi on commence par l'identité ? Tout simplement parce que beaucoup pensent que la cybersécurité commence avec des pare-feux ou même des antivirus. En réalité, si on y réfléchit bien, tout commence avec l'identité. Lorsque vous accédez à un site web ou même un logiciel d'entreprise, qu'est-ce que vous rentrez au tout début ? Votre nom d'utilisateur, votre mot de passe. Suite à cela, vous avez un accès à un outil numérique. C'est pour ça qu'il faut impérativement s'assurer que nos identités sont bien gérées et sécurisées. Sinon, c'est comme des portes ouvertes vers vos données les plus sensibles. Ce que j'observe dans beaucoup de PME, c'est que les accès sont souvent accordés aux besoins. sans suivi, parfois même jamais réévoqué. C'est comme si on distribue des clés de l'entreprise sans savoir à qui et ni comment les récupérer. J'aimerais vous partager un premier modèle très important à savoir et en même temps très simple, mais aussi très puissant. Retenez le triple A. Ce sont trois piliers pour sécuriser les identités. Le premier A qui est l'authentification. Tout simplement, vous devez prouver que vous êtes bien la personne que vous prétendez être. En général, on va rentrer un identifiant, donc un nom d'utilisateur, qui va venir avec un mot de passe pour authentifier que ce nom d'utilisateur vous appartient. Vous avez bien évidemment aussi la possibilité d'utiliser une authentification beaucoup plus forte avec ce qu'on appelle le MFA, le Multi-Factor Authentication, qui vous permet tout simplement d'utiliser un autre facteur. pour vous authentifier à ce moment-là. Cet autre facteur peut être un téléphone, une empreinte digitale, ça peut être également votre face avec le Face ID par exemple. Vous avez plusieurs manières de vous authentifier avec une autre méthode que votre mot de passe. Le deuxième A qui est l'autorisation. C'est bien, vous êtes rentré dans l'application. Maintenant, qu'est-ce que vous pouvez faire avec votre identité ? Donc là, vous donnez un accès ou un privilège. Ici, on va appliquer le principe du moindre privilège. Plutôt que de donner les accès administrateurs à tous les employés de l'entreprise, on va uniquement donner l'accès à ce qui est nécessaire, pas moins ni plus. Finalement, on s'est authentifié, on a nos privilèges et ensuite, qu'est-ce qu'on fait ? Il faut absolument auditer. C'est le troisième A qui est l'audit. Qu'est-ce que ça fait ici l'audit ? Ça vous permet d'avoir un suivi essentiel pour justement détecter des anomalies, comprendre des incidents ou même prouver votre conformité aux yeux de la loi 25 si vous résidez au Québec. Très important à ne pas oublier. Ici, nous avons des principes essentiels à retenir. Ce sont vraiment les principes clés de l'identité. Tout d'abord, on commence par le moindre privilège. Comme je l'expliquais, vous donnez seulement ce qui est strictement nécessaire comme autorisation dans une application. Ensuite, plutôt que de gérer les personnes une à une, on va les ajouter à des groupes cohérents et clairs, des groupes de sécurité. Par exemple, on peut créer un groupe de sécurité marketing ou un groupe de sécurité ressources humaines. Puis ensuite, on ajoute... les personnes reliées à ces services-là de votre entreprise dans ces groupes. Ainsi, ça vous permet tout simplement de gérer des groupes de manière centralisée, cohérente et claire pour vous et votre entreprise. Le MFA, le MFA, le MFA est obligatoire. Un seul mot de passe, c'est fini. Il faut absolument du MFA. C'est une barrière incontournable, d'autant plus que toutes les applications applications auquel vous accédez, je dirais dans 99% des cas, le propose. C'est juste un switch à activer. Faites-le absolument, rendez-le obligatoire pour tout le monde dans l'organisation. Ensuite, vous avez une revue régulière. Dans votre entreprise, vous avez des projets qui évoluent, qui changent, ainsi que les rôles. Les accès aussi, les accès de vos employés. C'est pour ça qu'il est très important de les réviser chaque trimestre. dépendamment bien évidemment de la taille de votre entreprise mais en bonne pratique si vous êtes une pme ou tpe chaque trimestre cela devrait être fait Finalement, vous avez un gestionnaire de mots de passe. Fini le fichier Excel, s'il vous plaît. Fini le post-it sous la souris ou le clavier. Très important d'avoir un gestionnaire de mots de passe professionnel et sécurisé. D'autant plus que ça vous permet de donner des mots de passe aux différents services ou aux applications de votre entreprise de manière à appliquer le principe de moindre privilège encore une fois. Vous donnez l'accès à des sites gouvernementaux uniquement. au comptable par exemple, plutôt que de le donner à toute l'organisation. Donc optez pour un vrai gestionnaire sécurisé. Si on devait retenir les différentes leçons ici, c'est que la menace ne vient pas toujours de l'extérieur. Il faut bien comprendre qu'un ancien employé qui a un mot de passe réutilisé ou même un accès oublié peut suffire à ouvrir une brèche dans votre entreprise. Très important à ne pas oublier. Aussi, la gestion des identités, ce n'est pas une option. c'est l'assurance de votre survie numérique dans votre entreprise. Finalement et pour conclure, je vous dirais qu'en plus, l'identité est sans doute le domaine le plus critique, mais aussi le plus accessible à améliorer rapidement. Activez le MFA, changez un mot de passe, c'est très rapide à faire et pourtant ça sécurise énormément votre organisation. Dans les prochains épisodes de Cyber en clair, nous irons encore plus loin avec des actions simples. semaine après semaine pour renforcer la posture de sécurité de votre entreprise. Je suis François Perroux pour Rayon Solutions et vous avez écouté Cyber Enclair. A très bientôt pour la semaine numéro 1.
