Accompagnement à la norme CAN/CIOSC 104:2021

Votre entreprise aspire à une conformité exemplaire aux normes de cybersécurité, en particulier à la nouvelle CAN/CIOSC 104:2021, mais vous vous sentez désorienté dans cette démarche ? Optez pour l’expertise de MicroSecure, votre partenaire de confiance, pour vous guider à travers ce processus en toute sérénité !

Discutez avec un expert

Qu’est-ce que la norme CAN/CIOSC 104:2021?

La norme CAN/CIOSC 104:2021 est une norme nationale du Canada qui établit des contrôles de cybersécurité de base spécialement conçus pour les petites et moyennes entreprises (PME). Elle vise à fournir aux PME une base solide pour renforcer leur sécurité informatique.

Cette norme définit deux niveaux de contrôles de sécurité : Niveau 1 et Niveau 2.

Les exigences de Niveau 1

Les exigences de Niveau 1 sont destinées aux petites organisations qui abordent la cybersécurité pour la première fois. Ces entreprises disposent généralement de ressources limitées pour investir dans les technologies de l’information et ne font que commencer à explorer le domaine de la cybersécurité.

Les exigences de Niveau 2

Les exigences de Niveau 2 viennent s’ajouter à celles du Niveau 1 à mesure qu’une organisation progresse dans sa maturité et renforce sa posture en matière de cybersécurité. Pour adopter les exigences de Niveau 2, une organisation doit avoir déjà mis en œuvre celles de Niveau 1, avoir acquis des connaissances de base en cybersécurité et être consciente des risques liés à son secteur d’activité, tout en cherchant à s’améliorer continuellement dans ce domaine.

En résumé, la norme CAN/CIOSC 104:2021 offre aux PME une feuille de route claire pour améliorer leur cybersécurité, en tenant compte de leur niveau de maturité et de leurs ressources disponibles. Elle constitue un outil essentiel pour renforcer la protection des données et des systèmes informatiques des petites et moyennes entreprises au Canada.

Les petites et moyennes organisations sont les plus susceptibles d’être la cible de cybermenaces et de cybercriminalité entraînant souvent des conséquences immédiates sur le plan financier ou de la vie privée.
– l’Évaluation des cybermenaces nationales 2018

Quels sont les contrôles de cybersécurité de la norme nationale du Canada?

Contrôles de base



Plan d’intervention en cas d’incident

L’entité doit élaborer un plan d’action en cas d’incident lié à la sécurité informatique, tout en prévoyant également une stratégie pour les incidents qu’elle ne peut pas gérer de manière autonome.



Application automatique de correctifs aux applications et systèmes d’exploitation

Il faut s’assurer d’activer les mises à jour automatiques sur vos différents systèmes informatiques afin de corriger les vulnérabilités.



Activation des logiciels de sécurité

Mise en place de logiciels antivirus, pare-feu et antimaliciels sur tous les appareils connectés, autant que possible, de manière à assurer la sécurité.



Configuration des appareils pour assurer la sécurité

Il faut éviter d’utiliser des mots de passe administrateur générés par défaut



Contrôle et autorisation de l’accès

En adhérant au principe de l’accès minimal, c’est-à-dire en limitant l’utilisation aux fonctions essentielles, l’organisation renforce sa sécurité informatique.



Utilisation d’une authentification robuste des utilisateurs

L’organisation doit entre autres mettre en place l’authentification à facteurs multiples. Pour les exigences de niveau 2, il faut mettre en place un gestionnaire de mots de passe.



Sauvegardes et chiffrement des données

La sauvegarde revêt également son utilité lorsque l’accès aux systèmes devient impossible ou en cas de risque de falsification des données ou des informations. Il est essentiel que l’entreprise effectue périodiquement le renouvellement des sauvegardes et les stocke en toute sécurité dans un emplacement externe protégé.



Établissement de défenses de base sur le périmètre

Il faut sécuriser les réseaux Internet avec un pare-feu, logiciel ou matériel, pour surveiller le trafic et repousser les intrusions. Le pare-feu DNS bloque les domaines malveillants connus. Des solutions existent pour tous les appareils d’une organisation.

En plus des points de contrôles de base, il existe aussi les contrôles propres à l’environnement d’exploitation



Sécurité des services mobiles

On utilise tous des téléphones cellulaires, ce point de contrôle assure à renforcer la sécurité de ces appareils en fonction des besoins de votre entreprise.



Sécurité des services infonuagiques et des services TI externalisés

Il faut évaluer l’implication de nos données par rapport à ces services et s’assurer que ces fournisseurs respectent certains critères de cybersécurité



Sécurité des sites web

Il est possible de veiller à la sécurité de ses sites Web en tenant compte des 10 principales vulnérabilités relevées par l’Open Web Application Security Project (OWASP)



Sécurité des supports amovibles

Les supports amovibles (disques durs, clés USB, cartes mémoire) sont pratiques pour transférer des fichiers entre appareils, mais leur portabilité les expose au risque de perte ou de vol, mettant ainsi en danger les données et le réseau de l’organisation



Systèmes de points de vente et systèmes financiers

Au minimum, toute organisation utilisant des systèmes de points de vente et financiers doit respecter les normes de sécurité des données de l’industrie des cartes de paiement (PCI DSS) et maintenir l’isolation de ces systèmes par rapport à Internet.



Gestion des journaux de sécurité informatique

Collecter, analyser et gérer les journaux est essentiel en TI pour sécuriser et gérer les incidents. Toutes les organisations, quelle que soit leur taille, doivent avoir une politique de gestion des journaux adaptée

Tout incident être déclaré à la Commission d’accès à l’information du Québec, ou au Commissariat à la protection de la vie privée du Canada dans le cas que la compagnie est hors-québec.

Êtes-vous en mesure de détecter lorsqu’un incident se produit? Contactez-nous afin de recevoir le meilleur encadrement en termes de conformité et de cybersécurité!

Comment MicroSecure peut vous accompagner à optimiser votre conformité?

MicroSecure propose une gamme complète de solutions et de services pour accompagner les entreprises dans leur démarche de conformité aux normes de sécurité informatique. De la sécurisation des réseaux au respect du principe d’accès minimal, en passant par la gestion des journaux et la protection des données, nous offrons une expertise approfondie pour renforcer la cybersécurité de nos clients. Notre approche sur mesure garantit que chaque entreprise, quelle que soit sa taille, dispose des outils et des stratégies nécessaires pour prévenir les menaces numériques et gérer efficacement les incidents, contribuant ainsi à une sécurité informatique solide et fiable.

Discutez avec un expert