Livre blanc sur la sécurité Rédigé par Snaile Inc., 2021
Au cours des dernières années, les Canadiens et les entreprises canadiennes s’en sont de plus en plus remis à Internet pour leurs activités quotidiennes. Et cette tendance n’a fait que s’accentuer dans le contexte de la pandémie de COVID-19, avec davantage de Canadiens travaillant, socialisant et magasinant en ligne. Les consommateurs ont des attentes de plus en plus pointues de leur système de gestion des colis; cela s’applique désormais à des notifications en temps réel, un accès via leur téléphone intelligent, et même la possibilité de laisser des articles dans leur casier pour qu’ils soient collectés ou retournés. En même temps, le nombre et le degré de sophistication des auteurs de cybermenaces sont également à la hausse.[1] Les solutions de livraison de colis modernes — qui reçoivent et traitent des données depuis des sources multiples — ne sont désormais plus un luxe, mais bien une nécessité.
Chez Snaile, la société de casiers à colis du Canada, nous comprenons que la confidentialité, l’intégrité et la disponibilité de nos produits et services sont de la plus haute importance aux yeux de nos clients. En tant que chef de file canadien dans la fabrication de systèmes de casiers à colis intelligents entièrement intégrés, nous servons des organisations de secteurs très variés, comme les pharmacies, les magasins de détail, les immeubles résidentiels ou encore les campus scolaires, pour n’en citer que quelques-uns. Nous sommes bien conscients qu’en plus de demander à ces organisations de mettre entre nos mains des informations sensibles pour leur fournir des communications d’entreprise cruciales, nous demandons également à leurs clients de nous confier leurs renseignements personnels. En résumé, les enjeux sont importants.
Sans la bonne solution, les entreprises courent le risque de dévoiler les renseignements privés de leurs clients, ainsi que les leurs. De plus, la non-conformité aux normes et réglementations canadiennes régissant les informations peut résulter en sanctions juridiques et en lourdes amendes, en plus d’importantes pertes d’ordre financier ou en matière d’avantage concurrentiel, de réputation et de confiance.
La sécurité et la confidentialité sont et resteront toujours des objectifs de taille. À mesure que les normes de conformité et de nouvelles menaces apparaissent, les organisations doivent y répondre et réévaluer régulièrement leurs systèmes et leurs pratiques. La sécurité de l’information est un élément clé chez Snaile et fait partie intégrante de notre ADN. De nos technologies à nos processus, en passant par les interactions avec les intervenants individuels entre eux-mêmes et avec les données, c’est un enjeu qui est au cœur de nos préoccupations. Nous abordons la sécurité et la confidentialité d’un point de vue global, en nous assurant que la moindre donnée provenant de nos clients est en sécurité, et que notre service, infonuagique et sur place, est aussi sécuritaire que possible. Contrairement à de nombreux fournisseurs de solutions de casiers à colis, Snaile détient, développe, héberge et maintient le logiciel ainsi que le matériel liés à notre solution de livraison de colis. Cela nous assure d’avoir un contrôle intégral sur la sûreté et la sécurité de nos produits et services, qui nous permet d’offrir une garantie de sécurité à chaque point de contact. Ce livre blanc décrit les stratégies et tactiques de Snaile en termes de cybersécurité. Il présente aussi les pratiques de la société en matière de cybersécurité, notamment la gouvernance, la conformité, les évaluations de sécurité, les audits et la gestion des incidents, ainsi que des plans pour les prochaines étapes dans le domaine de la cybersécurité.
L’état actuel de la cybersécuritéÀ l’heure actuelle, la cybersécurité est une préoccupation pour les entreprises canadiennes de toute taille, et cela devrait persister. Selon l’Évaluation des cybermenaces nationales 2020, la cybercriminalité est la « menace la plus susceptible de toucher les Canadiens et les organisations canadiennes. »
La cybercriminalité : qu’est-ce que c’est?La cybercriminalité est le vol d’informations perpétré par des auteurs de cybermenaces. Ces informations peuvent regrouper propriété intellectuelle, renseignements financiers et systèmes de paiement, données sur les clients, partenaires, fournisseurs, installations industrielles et machinerie. Ces informations sont souvent rançonnées, vendues ou utilisées afin d’obtenir un avantage concurrentiel déloyal. L’année précédent juillet 2020, les cyberattaques ont augmenté chez 99 % des organisations canadiennes.[2] Dans une enquête menée par VMWare, inc., 100 % des DPI, DPT et des OPSI interrogés ont déclaré que leur entreprise avait « connu une atteinte à la sécurité au cours des 12 derniers mois ». D’ailleurs, l’entreprise moyenne déclare avoir connu plus d’une atteinte à la sécurité au cours des 12 derniers mois. Comment cela va-t-il se dérouler pour les immeubles résidentiels? Aux alentours de début avril 2021, les employés de Douglas Elliman Property Management à New York ont repéré des activités suspectes dans leurs systèmes informatiques. [3]L’enquête a révélé qu’une « partie non autorisée » avait obtenu accès aux données confidentielles des propriétaires et des employés, dont les noms, dates de naissance, adresses postales, numéros de sécurité sociale, de permis de conduire, de passeport, ainsi que des renseignements financiers. Cette atteinte a potentiellement touché des milliers de personnes, étant donné que le cabinet représentait près de 400 propriétés, avec environ 46 500 logements. La direction a dû informer la police, et le FBI a également été impliqué. Par la suite, le cabinet a mis en place une assistance téléphonique pour répondre aux questions des résidents. Il a également offert aux personnes touchées un abonnement gratuit d’un an à un service de prévention du vol d’identité et de surveillance du crédit. Mais qu’importent ces mesures correctives coûteuses, la réputation de ce cabinet de gestion immobilière a été sérieusement entachée. Les renseignements personnels de particuliers étant désormais potentiellement disponibles, l’ampleur exacte des conséquences de cette atteinte reste encore à voir : vol d’identité, fraude ou autres actions malveillantes.
Les données suggèrent qu’une organisation canadienne sur cinq a rencontré un incident de cybersécurité en 2020.[4]Le rapport sur la défense contre les cybermenaces 2020, qui s’est intéressé aux cyberattaques du monde entier, rapporte que les rançongiciels ont touché plus de 70 % des organisations canadiennes en l’espace d’un an. [5] Un chiffre encore plus alarmant : plus d’une compagnie sur dix a versé la rançon aux attaquants. Rien qu’en 2020, les entreprises canadiennes ont versé en moyenne 400 000 $ dans le cadre d’attaques par rançongiciel, en totalisant notamment la rançon, le temps d’arrêt, les services de spécialistes et la perte de marché.[6]
Les pratiques de sécurité de bout en bout des casiers SnaileAvec 80 % des PDG canadiens exprimant leurs inquiétudes quant à la cybersécurité comme menace à la croissance,[7] nous avons adopté une approche globale proactive de la sécurité et de la confidentialité. Les politiques de cybersécurité de Snaile s’appliquent à nos logiciels, notre matériel, l’infrastructure qui supporte notre plateforme, nos processus internes, la façon dont nous formons nos employés, dont nous gérons les comptes et données des clients et dont nous interagissons avec les vendeurs tiers.
En plus de notre approche de la gestion basée sur les risques, nous avons défini les objectifs suivants, qui sont surveillés continuellement :
Chez Snaile, nous percevons la sécurité des données de nos clients comme la responsabilité de toute notre organisation. Au niveau de l’entreprise, la gouvernance de la sécurité est menée par notre comité de gouvernance de la cybersécurité, qui se compose de notre président-directeur général (PDG), notre directeur des techniques informatiques (DTI) et notre officier principal de la sécurité de l’information (OPSI). Notre officier principal de la sécurité de l’information est un cadre expérimenté et dévoué, au fait des exigences légales et des meilleures pratiques en matière de confidentialité et de sécurité des données au Canada. Rencontrez l’OPSI de Snaile. Nous reconnaissons l’importance d’appliquer des pratiques saines de gestion de la confidentialité et de la cybersécurité, et nous soutenons toutes les activités nous rapprochant de notre engagement à fournir les meilleurs services de notre catégorie en matière de sécurité. En adoptant un cadre de conformité qui se fonde sur les normes reconnues du secteur et sur les modèles de gestion de la cybersécurité, nous avons mis en place des mesures de sécurité dans l’ensemble de notre organisation.
Étant donné que les casiers à colis peuvent envoyer des courriels ou des messages textes aux utilisateurs finaux pour leur fournir les codes de collecte/de retrait, il est important que ces messages électroniques respectent la Loi canadienne antipourriel (LCAP). En cas de non-respect de la LCAP, les sociétés de télécommunication peuvent bloquer la circulation des messages dans leurs réseaux. En plus de se conformer aux exigences actuelles de la LCAP, Snaile se tient régulièrement à jour pour maintenir son statut de conformité. Nous respectons la norme ISO-27001 et faisons l’objet d’une vérification par une tierce partie.
Qu’est-ce que la certification ISO-27001?La certification ISO-27001 fournit une approche axée sur les processus pour l’établissement, la mise en application, le fonctionnement, la surveillance et l’amélioration des systèmes de gestion de la sécurité de l’information, en se basant sur des normes internationales établies par des experts en la matière.
Au premier trimestre de 2022, Snaile obtiendra la certification SOC 2. À destination des fournisseurs de SaaS, cette procédure est à la fois un contrôle et une exigence pour les organisations de services basés sur la technologie dont les données sont stockées dans le nuage. Elle garantit la sécurité, la disponibilité, l’intégrité du traitement, la confidentialité et le respect de la vie privée dans la gestion des données d’une entreprise afin de protéger l’organisation comme ses clients. [8] Snaile travaille avec des auditeurs externes de premier plan dans le secteur, afin de vérifier la conformité de nos contrôles, politiques et plans de sécurité et toute autre documentation avec les normes et les meilleures pratiques en matière de cybersécurité.
Qu’il s’agisse d’assurer la sécurité des données de nos clients, de fournir des casiers numériques solides ou de protéger les renseignements personnels de nos employés, la confiance est au cœur de toutes nos activités. Chez Snaile, nous sommes fiers d’avoir un modèle transparent qui prouve notre engagement total envers la sécurité de l’information. Et dans l’éventualité où un problème surviendrait, notre cyberassurance protège nos clients, les utilisateurs finaux et Snaile. Nos clients peuvent avoir l’esprit tranquille sachant qu’ils sont protégés par une police d’assurance canadienne qui indemnise au Canada pour les atteintes au Canada, contrairement aux polices américaines qui n’indemniseraient pas au Canada si les données n’étaient pas hébergées dans le même pays, ne seraient pas conformes aux normes commerciales et ne respecteraient pas la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE).
Accès aux données, sécurité et exploitationSnaile fonctionne dans un environnement à locataires multiples et a recours à l’isolation logique pour séparer les données des résidents. Une authentification de compte, une séparation logique du champ des données, des contrôles de gestion de session et des clés de chiffrement distinctes sont utilisés pour limiter l’accès des clients aux données à leur propre organisation uniquement.
Une configuration du système et des captures instantanées des bases de données sont effectuées chaque jour. Toutes les copies de secours disposent de la même protection que celle pour la production. Toutes les données des clients sont conservées uniquement pendant la période de contrat, et sont effacées en toute sécurité à la demande du client ou à la fin du contrat.
La gestion de l’accès est un aspect important dans tout modèle de gestion de la sécurité. Snaile s’efforce d’assujettir l’accès des intervenants au principe d’accès sélectif. Notre personnel dispose d’accès aux systèmes selon le principe du droit d’accès minimal. Cela signifie que chaque utilisateur dispose du niveau d’accès/de permission minimal requis pour remplir ses fonctions. Qu’il s’agisse de systèmes de développement ou de production, chaque demande doit passer par un processus d’approbation avant d’accorder l’accès en fonction du rôle de l’utilisateur. Une politique impose au personnel de créer des mots de passe solides et d’utiliser un système d’authentification à facteurs multiples pour les systèmes clés. L’accès aux systèmes de production, en particulier, est limité exclusivement au strict nécessaire pour supporter les applications. Notre équipe de gestion dirigée par le directeur des techniques informatiques de Snaile, examine chaque trimestre l’accès de chaque profil d’utilisateur aux systèmes et aux données et retire tous les accès qui ne sont plus nécessaires. L’accès est également révoqué en cas de cessation d’emploi.
Snaile surveille tous les services pour évaluer la performance et repérer les activités malveillantes. Nous recueillons des rapports produits par les dispositifs de réseau comme les pare-feu, les services de sécurité tels que les IDS et IPS et les services et appareils présents dans l’environnement de production. Tous les événements ainsi que les schémas d’activité sont examinés en vue de déceler toute activité suspecte ou dégradation de la performance. En parallèle, Snaile développe actuellement un plan de gestion de la continuité, qui comprend un plan d’intervention en cas d’incident de cybersécurité.
Tous les membres du personnel de Snaile sont tenus de suivre et de terminer une formation de sensibilisation à la sécurité au moins une fois par an. Cette formation, créée par des chefs de file en matière de sécurité, vise à aider les employés à comprendre et à identifier les principales menaces, et leur enseigne en quoi la confidentialité et la sécurité des données jouent un rôle dans leurs principales responsabilités. Les membres du personnel peuvent signaler toute activité suspecte par courriel, dans une boîte de réception dédiée.
Nos produits ont été conçus dans le but de fournir un portail client sécurisé grâce auquel les clients peuvent directement gérer leur solution. Les systèmes de communication exploitent le chiffrement des données, aussi bien lorsqu’elles sont en transit qu’inactives. Toutes les données en transit et inactives sont sécurisées à l’aide de mécanismes de chiffrement. Plus particulièrement, les communications entre les casiers et les serveurs sont chiffrées avec le chiffrement AES 256, une norme de l’industrie. Les communications Web entre l’application et le casier sont chiffrées selon le protocole TLS 1.2 et un chiffrement plus récent. L’ensemble des données des clients enregistrées dans l’environnement d’hébergement de Snaile est chiffré lorsqu’elles sont inactives, avec le chiffrement AES 256 également.
De plus, l’accès des clients est contrôlé de façon sécuritaire grâce à un accès propre à chaque rôle, pour permettre aux administrateurs de clients de facilement :
Les procédures internes de Snaile limitent l’accès aux informations sensibles au personnel selon le principe d’accès sélectif. Ces protections s’étendent également à la sécurité des données sensibles des clients avec les fournisseurs et entrepreneurs tiers. Nous privilégions les prestataires de services qui partagent la même culture d’entreprise que Snaile en matière de cybersécurité. Nous exigeons de tous nos vendeurs tiers qu’ils fournissent des attestations de sécurité et des assurances semblables aux nôtres, et ces assurances doivent être appliquées conformément à notre contrat. Snaile évalue consciencieusement chaque prestataire de service tiers et ne retient que ceux qui se conforment à nos politiques et pratiques en matière de sécurité. De plus, au moins une fois par an, nous réévaluons nos vendeurs tiers.
L’emplacement de l’hébergement des données en nuage est un facteur important en matière de confidentialité. Au Canada, il existe des lois et réglementations spécifiques qui régissent la protection des données personnelles. Les données personnelles comprennent des renseignements comme les noms, les numéros de téléphone, les adresses postales et électroniques. Ces données sont strictement protégées en vertu de la LPRPDE, mais les données doivent être hébergées au Canada pour être conformes, pour que cette loi s’applique et pour que les polices de cyberassurance acceptent d’indemniser. Certains fournisseurs de casiers, comme ceux des entreprises américaines ou canadiennes qui revendent des casiers américains, contournent les lois canadiennes : en conséquence, les Canadiens ne peuvent pas bénéficier de la protection de leurs données, conformément aux lois sur lesquelles ils comptent pourtant. Snaile reconnaît l’importance des exigences en matière de vie privée, aussi bien pour ses clients que pour ses employés. En conséquence, toutes les données de Snaile sont hébergées dans le nuage d’Amazon Web Services (AWS), dans la région Canada (Centre) à l’extérieur de Montréal, Québec.[9] Snaile a également mené à bien une évaluation de l’impact sur la protection de la vie privée. Cela détermine la façon dont les produits et services pourraient avoir un impact sur la vie privée des individus, et dont l’entreprise évite ou limite les effets négatifs sur la vie privée qui pourraient survenir.[10]
Infrastructure logicielle et du systèmeLe système de Snaile a été conçu et bâti en tenant compte de la redondance. Nous avons choisi AWS comme principal fournisseur de services d’infonuagique en raison de ses meilleures pratiques de gestion de la sécurité, en plus de la sécurité physique de son centre de données. AWS garantit l’évolutivité, la disponibilité et la qualité de l’infrastructure fournie, ce qui fait partie intégrante de l’engagement de Snaile à proposer des services de sécurité exemplaires.
Pour atténuer la perte potentielle des données ou les éventuelles menaces de rançongiciel, l’environnement AWS de Snaile a été configuré de façon à prendre des captures instantanées quotidiennes de nos serveurs et de nos bases de données. Notre infrastructure est sécurisée selon des pratiques reconnues par l’industrie, et elle n’est accessible que par quelques professionnels des TI soigneusement sélectionnés, qui effectuent des activités de maintenance et administratives.
Avec Snaile, grâce à notre logiciel propriétaire, les clients ne sont jamais à la merci des tiers. Cela signifie que Snaile contrôle aussi bien les logiciels que le matériel, ce qui nous permet d’offrir un soutien à nos clients de bout en bout, contrairement aux revendeurs de casiers intelligents qui ne disposent pas de l’accès au code source du logiciel, et ne sont donc pas en mesure de fournir eux-mêmes une assistance logicielle. Voilà pourquoi le coût des concurrents de Snaile est souvent plus élevé : les revendeurs doivent ajouter une marge sur les casiers afin de réaliser des bénéfices et doivent généralement faire face à l’évolution du taux de change.
Snaile utilise dans son développement un répertoire de code et les processus CI/CD qui favorisent la stabilité grâce à plus de transparence et un meilleur contrôle, une intégration et une prestation continues. Nous avons également effectué des révisions des codes pour nous assurer de répondre aux normes internes et de sécurité, et mettre en œuvre un pipeline CI/CD automatisé pour une sécurité intégrée, une livraison plus rapide et des pipelines variables. [11] Snaile est une société entièrement canadienne avec des produits gérés, installés et révisés en intégralité au Canada. Nos casiers à colis ont été conçus pour résister au climat rigoureux du Canada (jusqu’à -40 °C), sont certifiés selon les normes canadiennes pour les installations électriques et sont conformes à la loi nationale LPRPDE qui garantit la sécurité des données. Les spécialistes de l’intégration clientèle de Snaile sont disponibles pour se rendre sur place pour aider le personnel, les clients ou les locataires à se familiariser avec le système de casiers intelligents une fois activé. Nous proposons également une assistance sécurisée, instantanée et continue par téléphone et en ligne, ainsi qu’un service sur place le jour ouvré suivant.
Architecture produitLes produits de Snaile dépendent autant du logiciel, qui facilite un bon fonctionnement, que du matériel. L’architecture de l’application en nuage de Snaile est hébergée à Montréal et repose sur des principes de défense en profondeur et de la confiance zéro, conçus pour favoriser les échanges et le traitement de renseignements confidentiels. Toutes les configurations sont continuellement comparées aux normes et aux pratiques de l’industrie afin de garantir l’intégrité du système de production.
Divers tiers indépendants effectuent des analyses de vulnérabilité annuelles ainsi que des tests de pénétration continus. Les tests de pénétration par un tiers sont un procédé lors duquel une société de piratage éthique tente de s’introduire dans le logiciel. Cette société fournit ensuite des rapports de réparation pratiques basés sur les problèmes trouvés. Snaile a investi dans les vérifications de sécurité afin d’inclure une analyse régulière de l’application Web ainsi que des tests de pénétration annuels pour nos composantes d’infrastructure et d’application. Tout problème trouvé se voit accorder la plus haute priorité en matière de réparation. Cela nous permet de fournit un haut niveau d’assurance dans notre architecture et les produits que nous proposons. Snaile tient un registre de ses actifs, notamment les ordinateurs, les serveurs et les applications logicielles. En utilisant plusieurs solutions comme TeamViewer, Azure et AWS, nous examinons régulièrement nos actifs en vue de détecter et corriger l’entrée de tout système ou logiciel potentiellement inconnu ou non autorisé dans notre environnement. Une technologie de détection et réponse gérées est installée sur tous les systèmes Windows pour limiter les menaces de virus et de logiciels malveillants. Des analyses planifiées sont effectuées régulièrement pour repérer et éliminer tout logiciel malveillant détecté.
Avancer ensemble vers un avenir plus sûr et sécuritaire.L’avenir est rempli d’opportunités pour les entreprises canadiennes, mais aussi de défis en termes de cybersécurité (actuels et imprévus). Cela est d’autant plus vrai pour les organisations qui doivent gérer des renseignements confidentiels dans le cadre de leurs activités quotidiennes. Les Canadiens exigent un accès transparent à leurs livraisons à partir de casiers et de salles dans les copropriétés, les immeubles d’habitation, les tours d’habitation, les campus scolaires et les logements étudiants. Les utilisateurs veulent pouvoir récupérer leurs colis dans un endroit sécurisé lorsqu’ils font des achats en ligne : il s’agit-là d’une tendance qui ne semble pas ralentir. Cependant, des cybermenaces de plus en plus sophistiquées et des individus malveillants menacent la capacité de ces organisations canadiennes à répondre à ces attentes.
La stratégie de Snaile en matière de cybersécurité et de pratiques de cybersécurité de bout en bout nous permet de nous concentrer sur la confidentialité, l’intégrité et la disponibilité de notre système, tout en maintenant la confidentialité des renseignements sur nos clients en respectant les normes les plus rigoureuses. Cet engagement envers la sécurité identifie et intègre un besoin de s’adapter et de chercher constamment à faire mieux. Nous visons à améliorer continuellement la sécurité de Snaile en :
Nous accordons beaucoup d’importance à l’amélioration continue et nous resterons vigilants sur tous les aspects liés à la sécurité et à la vie privée. Pour une solution de casiers à colis destinés aux entreprises canadiennes qui fait passer la sécurité avant tout, ne cherchez pas plus loin : Snaile est la solution. Pour en savoir plus sur les politiques et les mesures liées à la cybersécurité de Snaile, vous pouvez nous contacter à info@snaile.com.
