Facteurs à considérer sur le plan de la recherche et du développement (ITSAP.00.130)

Les organismes de R et D sont des cibles de grande valeur

Vos recherches peuvent viser à améliorer les fonctionnalités d’un produit ou d’un service, ou à faire progresser les connaissances dans un domaine particulier. C’est pourquoi la recherche et le développement (R et D) sont essentiels à la croissance économique, à la prospérité et à la sécurité du Canada. Les entreprises canadiennes font appel à vos données de recherche pour tirer un avantage concurrentiel sur le marché. Par exemple, le système de soins de santé compte sur la R et D pour améliorer les soins prodigués aux patients à travers le monde.

En plus de satisfaire les besoins des consommateurs, les organismes de R et D se font concurrence entre eux pour accroître la valeur pour les actionnaires. Ils ont besoin d’un soutien financier pour contribuer à la croissance économique du Canada et à l’expansion de son infrastructure.

Les auteurs de cybermenace peuvent mener des attaques en vue de perturber les activités de R et D, de voler des données aux fins de vente ou de procurer un avantage à des concurrents. Les mesures de cybersécurité protègent vos données et vous aident à conserver un avantage concurrentiel. Si votre organisme n’a encore mis en place aucune mesure de sécurité, il convient d’adopter les pratiques exemplaires décrites dans la présente. Des contrôles de sécurité efficaces aideront à protéger votre organisme contre les menaces qui pourraient avoir une incidence sur les résultats de vos activités de R et D.

Les cybermenaces courantes

Les auteurs de cybermenace peuvent avoir recours à différentes méthodes pour falsifier ou voler vos données de recherche et votre propriété intellectuelle. Les menaces ci-dessous ne sont que deux exemples, mais ces attaques peuvent rendre vos systèmes vulnérables à d’autres menaces.

Hameçonnage : Un auteur de menace vous appelle, vous envoie un texto ou un courriel, ou communique avec vous par l’entremise des médias sociaux pour vous inciter à cliquer sur un lien malveillant, à télécharger un maliciel ou à divulguer de l’information sensible. Les attaques par hameçonnage peuvent permettre à l’auteur de menace de voler les mots de passe que vous utilisez pour vous connecter à un portail de recherche ou à des comptes liés à votre travail.

Pour de plus amples renseignements, consultez l’ITSAP.00.101, Ne mordez pas à l’hameçon : Reconnaître et prévenir les attaques par hameçonnage.

Menace interne : Quiconque a accès à l’infrastructure et aux données de votre organisme peut causer des dommages sans le vouloir ou de façon délibérée. Un membre de votre personnel pourrait, par exemple, obtenir accès aux bases de données de recherche dans le but d’en voler le contenu. Par ailleurs, un chercheur ou un collègue qui perd un dispositif de stockage portatif (p. ex. clé USB) contenant des données sensibles est un exemple de menace interne non intentionnelle. Qu’elle soit intentionnelle ou non, la menace interne peut avoir pour incidence d’entraver les progrès réalisés par l’organisme ou de mettre à risque son information.

Pour de plus amples renseignements, consultez l’ITSAP.10.003, Comment protéger votre organisation contre les menaces internes.

Assurez la formation du personnel de votre organisme

Les employés, les chercheurs, les étudiants et les entrepreneurs devraient prendre part à une formation dans le cadre de laquelle on abordera les questions de cybersécurité et les pratiques exemplaires à adopter. Ils pourront ainsi mieux comprendre le rôle qu’ils seront appelés à jouer pour protéger votre organisme des cybermenaces. Vous pourriez inclure dans la formation des sujets tels que la création de phrases de passe, des astuces sur la façon de reconnaître les courriels suspects et malveillants, et comment naviguer sur Internet en toute sécurité. Il convient également de discuter des comportements attendus et des exigences en matière de sécurité, notamment le chiffrement de l’information, le verrouillage des dispositifs et des ordinateurs lorsqu’ils sont inutilisés, et le signalement des incidents à un point de contact désigné.

Faites appel à l’authentification multifacteur

L’authentification multifacteur est un processus qui consiste à vérifier les identités en faisant appel à deux méthodes distinctes (appelées facteurs d’authentification). On retrouve trois types de facteurs d’authentification : quelque chose que vous connaissez, quelque chose que vous avez et quelque chose qui vous caractérise. Vous utilisez sans doute déjà certaines formes d’authentification multifacteur comme le fait d’avoir à utiliser votre laissez-passer (quelque chose que vous avez) et à saisir un code (quelque chose que vous connaissez) pour entrer dans les installations de recherche, ou encore d’utiliser votre empreinte digitale pour déverrouiller votre téléphone (quelque chose qui vous caractérise).

Installez des logiciels et des outils de sécurité

Vous pouvez installer des outils de sécurité sur vos systèmes et vos dispositifs, comme des pare-feux et des antivirus, pour protéger vos systèmes et vos réseaux contre les maliciels. Nous vous recommandons d’utiliser le Bouclier canadien de l’Autorité canadienne pour les enregistrements Internet (ACEI) pour protéger vos systèmes contre les attaques par hameçonnage et les maliciels.

Si vos employés font du télétravail, mettez en place un réseau privé virtuel (RPV). Un RPV permet de créer un tunnel chiffré par l’entremise duquel les employés pourront envoyer de l’information en toute sécurité. Pour de plus amples renseignements, consultez l’ITSAP.80.101, Les réseaux virtuels privés, sur notre site Web.

Appliquez les mises à jour et les correctifs aux dispositifs et aux logiciels

Appliquez les mises à jour et les correctifs à vos dispositifs et à vos logiciels de manière à protéger vos systèmes contre les vulnérabilités de sécurité (p. ex. des bogues logiciels). L’application fréquente des mises à jour et des correctifs permettra de réduire le risque que des cybermenaces arrivent à porter atteinte aux systèmes et aux données de votre organisme.

Mettez en place des contrôles d’accès

Les employés de votre organisme n’ont pas tous besoin d’accéder à la même information. Votre organisme devrait appliquer le principe du droit d’accès minimal et n’accorder à ses employés que les privilèges nécessaires à l’exercice de leurs fonctions. L’octroi de privilèges excessifs fait planer de plus grands risques sur votre organisme, puisqu’il pourrait en résulter une fuite de données ou une atteinte à la vie privée.

Les justificatifs d’identité servant à se connecter aux systèmes devraient être propres à chaque employé et non partagés entre plusieurs utilisateurs. Il conviendra également de révoquer les privilèges accordés au moment où des employés changent de projet ou quittent l’organisme.

Sauvegardez vos données

La sauvegarde des données de votre organisme vous aidera à récupérer vos systèmes d’information en cas d’attaque, de panne ou de catastrophe naturelle. Assurez-vous de stocker vos sauvegardes sur un dispositif qui n’est pas directement connecté au réseau principal. Il sera ainsi possible de les protéger des cyberattaques visant vos systèmes principaux (p. ex. des rançongiciels) et de fournir une façon de les récupérer au besoin. Vous devriez aussi tester vos sauvegardes sur une base régulière.

Les services d’infonuagique sont un moyen courant et commode de stocker les sauvegardes de données. Assurez-vous que le fournisseur de services a recours à l’authentification multifacteur pour accéder à l’information et chiffrer les données inactives et en transit, et qu’il stocke les données au Canada (c.-à-d., qu’elles sont protégées en vertu des lois canadiennes en matière de protection de la vie privée).