Les pratiques de sécurité d’identification ont évolué en tandem avec les avancées technologiques et la sophistication des cybermenaces. Bien sûr, il y a les mesures usuelles, comme l’utilisation de mots de passe robustes et la vigilance quant à l’hameçonnage, mais pour protéger votre entreprise, il faut périodiquement revoir et consolider ces pratiques exemplaires.

La sécurité d’identification est essentielle pour maintenir la confiance des clients, assurer la continuité des activités et préserver votre réputation. Nous présentons ici quatre stratégies pour sécuriser vos procédures d’identification et protéger votre entreprise contre les menaces

Conseil no 1 : utiliser des clés d’accès et l’AFM

Les mots de passe faibles sont l’une des failles les plus courantes pour les cybercriminels. Les clés d’accès (conformes aux normes FIDO2 WebAuthn) viennent donc remplacer les mots de passe traditionnels par l’authentification biométrique ou basée sur un appareil, ce qui élimine complètement le risque d’hameçonnage.

Quelques solutions à envisager :

• Un gestionnaire de mots de passe pour entreprise, qui génère automatiquement de longs mots de passe très robustes.


• Un système d’accès juste-à-temps, où les mots de passe sont générés pour une seule session et expirent dès qu’ils sont utilisés.


• L’authentification non textuelle, par exemple au moyen de clés de sécurité physiques (YubiKey, Google Titan…), pour les comptes à risque élevé.

En outre, l’authentification à facteurs multiples (AFM) doit être imposée à l’échelle de l’organisation. Pour ajouter une autre couche de sécurité, les employés devraient s’identifier au moyen d’une application ou d’un jeton physique, car l’AFM par SMS n’est pas sécurisée et est vulnérable aux attaques de substitution de carte SIM.

Outils d’AFM populaires

• Google Authenticator:

Largement utilisé pour générer des mots de passe uniques à durée de vie limitée afin de sécuriser les connexions.

• Microsoft Authenticator:

S’intègre parfaitement à Office 365, ce qui en fait un choix idéal pour les organisations qui utilisent la suite de Microsoft.

Conseil no 2 : actualiser les données de compte régulièrement

Tenir les renseignements de compte à jour n’est pas qu’une tâche administrative; c’est aussi une mesure de sécurité cruciale. En effet, les données de récupération désuètes pourraient vous empêcher de reprendre le contrôle de vos comptes en cas de brèche

Chaque trimestre, actualisez les renseignements sur les adresses courriel, les numéros de téléphone et les questions de sécurité en veillant à ce que les données de récupération soient exactes et stockées de manière sécurisée.

Conformité aux lois canadiennes sur la protection des données

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les entreprises sont tenues de protéger les renseignements personnels et de s’assurer que les données des comptes des clients et des employés sont exactes, à jour et sécurisées.

La vérification régulière des renseignements sur les comptes, c’est aussi une excellente façon de gagner la confiance des clients et des partenaires en ce que cela démontre votre volonté de protéger les données. Pour simplifier le processus, il existe des protocoles de gestion automatisée du cycle de vie des données, qui vérifient pour vous les renseignements sur les comptes et y font périodiquement le ménage. En automatisant ces vérifications, on réduit le risque d’erreur, on renforce la sécurité et on assure la conformité.

Conseil no 3 : être vigilant quant à l’hameçonnage

L’hameçonnage demeure l’une des cybermenaces les plus prévalentes et les plus efficaces. Ces messages trompeurs tentent d’inciter le destinataire à dévoiler des renseignements confidentiels ou à installer des maliciels.

La première ligne de défense, c’est de sensibiliser les employés. Les organisations devraient former leur personnel à en reconnaître les signes courants, comme les fautes d’orthographe, les liens suspects et les demandes urgentes

Il est aussi primordial de mettre la vigilance des employés à l’épreuve en simulant des tentatives d’hameçonnage, notamment en leur donnant l’apparence de provenir de l’intérieur de l’organisation, pour détecter les vulnérabilités et fournir des formations à point nommé. Envisagez de tenir des ateliers de rappel et d’utiliser des méthodes pédagogiques pour assurer la pertinence et l’uniformité des formations.

Implanter des protocoles de sécurité des comptes

L’hameçonnage vise à accéder aux comptes privilégiés en court-circuitant les couches de sécurité. Accompagnée d’experts en cybersécurité, votre organisation peut recourir à des outils de surveillance pour détecter les changements soudains dans le comportement des utilisateurs, par exemple :

• une connexion depuis un endroit inhabituel;
• une demande d’opération anormale;
• de multiples tentatives d’AFM dans un court laps de temps

Reconnaître l’hameçonnage spécifique au Canada

Les entreprises canadiennes sont fréquemment la cible de stratagèmes d’hameçonnage usurpant l’identité d’institutions de confiance, comme l’Agence du revenu du Canada (ARC), les grandes banques et les entreprises des télécommunications. Les arnaqueurs utilisent souvent les deux langues officielles pour donner de la crédibilité à leurs messages frauduleux

Conseil no 4 : surveiller régulièrement l’activité des comptes

La surveillance active est indispensable pour détecter les accès non autorisés et gérer les menaces avant qu’elles ne deviennent graves. Même avec de solides mesures de prévention, la surveillance régulière permet de détecter les failles de sécurité et de les colmater rapidement.

• Surveiller les comportements inhabituels:

Accès inhabituel aux données, tentative d’accès à un compte d’administration depuis un nouvel appareil avec des empreintes digitales inconnues, ou anomalies de connexion (p. ex., connexions simultanées en différents lieux).

• Automatiser les interventions à l’aide d’une plateforme SOAR:

Canon Canada peut suivre un processus SOAR (Security Orchestration, Automation and Response) pour immédiatement mettre en quarantaine un compte ébréché, c’est-à-dire le verrouiller lors d’une tentative de connexion suspecte ou exiger une nouvelle authentification si un comportement risqué est détecté.

• Enregistrer l’activité des comptes privilégiés:

Pour les comptes sensibles (p. ex., administrateur système, équipe des finances), consignez toutes les activités qui leur sont exclusives. Ainsi, vous pourrez retracer et annuler les éventuelles commandes ou configurations non autorisées.

Chez Canon Canada, nous suivons l’évolution de la sécurité informatique et comprenons les menaces qui guettent les entreprises du Canada. Nos solutions de TI sont conçues pour aider les organisations à sécuriser leurs activités tout en laissant place à la transformation et à la croissance.