Le ministère de l’Éducation de l’Ontario a publié son nouveau projet de norme de réponse aux cyberincidents à l’intention des conseils scolaires, qui définit ses attentes en ce qui concerne la gestion d’éventuelles situations de crise. Le présent article en donne les grandes lignes et explique aux conseils scolaires comment aborder cette nouvelle et importante initiative.
Le projet de norme
Après un an de discussion avec les acteurs du secteur, le ministère a publié son projet de norme, en précisant expressément que ce dernier était ambitieux. Si la norme devient contraignante, les conseils scolaires auront 36 mois pour s’y conformer. À ce stade, elle exigerait de ces derniers qu’ils mettent en œuvre un plan d’intervention en cas de cyberincident.
Ce plan doit contenir :
- Un énoncé de la portée
- Le rôle et les responsabilités de tout le monde
- Un système de classification des incidents par gravité, accompagné d’un plan d’activation
- Une liste des cybermenaces potentielles déterminées par une évaluation des risques
- Un plan de communication avec les parties prenantes qui comprend des solutions hors bande
- Des exigences en matière de signalement au ministère et à la division de cybersécurité provinciale
- Une chaîne de traçabilité
- Des guides propres à chaque menace, évalués et mis à jour semestriellement
- Un plan de documentation des incidents
- Un glossaire et d’autres annexes pertinentes
- Des précisions sur l’entreposage, la distribution, l’examen et la mise à jour du plan
Le ministère précise que le plan doit prévoir des phases et un flux de travail basés sur les modèles sectoriels, de préférence ceux du National Institute of Standard and Technology ou du Centre for Internet Security.
Les conseils scolaires doivent élaborer leur propre plan en fonction des exigences prévues par la norme, lesquelles sont rédigées en termes généraux, à l’exception de l’obligation de classification des incidents.
En effet, les incidents doivent être classés sur une échelle de gravité allant de 1 à 4. Les catégories (telles que définies par le ministère) sont les suivantes :
- Cyberincident non signalé : Incident de nature simple qui peut être traité par le conseil scolaire avec son processus standard de gestion des problèmes informatiques. Il n’entraîne aucune perte de données et ne présente qu’une faible probabilité de nuire aux activités.
- Cyberincident signalé : Incident qui présente un risque élevé de compromettre la disponibilité, l’intégrité ou la confidentialité des systèmes ou des données du conseil scolaire. Il nécessite plus de ressources ou de temps pour être réglé que ce que prévoit le processus de gestion des problèmes informatiques du conseil.
- Incident de cybersécurité : Incident qui menace la cybersécurité des élèves. Il est généralement source de préoccupations pour la cybersécurité et le bien-être des élèves et géré selon le protocole de sécurité du conseil scolaire, lequel peut faire intervenir son service des TI.
- Cyberincident repéré par un outil de sécurité : Dans le cas où un conseil scolaire utilise des outils avancés de détection des cyberincidents et de réponse à ceux-ci, certains problèmes peuvent être automatiquement repérés et catalogués. Il peut s’agir d’indicateurs précoces d’une activité anormale dans l’environnement informatique ou d’un écart par rapport aux politiques de sécurité. Le tout nécessite généralement une intervention rapide pour éviter que la situation ne se transforme en cyberincident signalé.
La norme exige que les conseils scolaires précisent les types d’incident qui déclencheront l’activation de leur plan d’intervention (la plupart risquent de choisir les cyberincidents signalés).
Pour accompagner le projet de norme, le ministère a préparé un modèle de plan (avec squelette, instructions et exemples).
Commentaire
La réponse aux cyberincidents dans le secteur public est un défi qui nécessite de la préparation. Le ministère encourage à juste titre les conseils scolaires à agir le plus rapidement possible; le projet de norme, qui cerne tous les enjeux importants en la matière, est un pas dans la bonne direction. Formulé en termes généraux, il devrait laisser aux conseils toute la latitude nécessaire pour élaborer des plans adaptés à leurs intérêts et à leurs pratiques optimales.
Beaucoup d’encre a toutefois coulé à propos des signalements au ministère. Le projet de norme précise que les cyberincidents signalés doivent être déclarés immédiatement. Le rapport doit préciser la date de l’incident, le type de menace, les indicateurs de compromission, les suspects potentiels, l’incidence sur les activités et les systèmes touchés, de même que le temps nécessaire pour contenir la situation problématique et y remédier. Nous estimons que ce système est suffisamment souple et conforme aux pratiques optimales.
Les conseils scolaires devraient donc répondre à l’appel du ministère sans tarder. Toutefois, s’ils ne se contentent que d’adapter le modèle du ministère à leurs besoins, leur cyberpréparation sera inadéquate. Comme nous le disons souvent à nos clients, un plan d’intervention en cas d’incident doit être considéré comme un document évolutif et un moyen d’arriver à une fin, soit faire en sorte que le service des TI et la haute direction comprennent bien les principales cybermenaces, leurs éventuelles incidences et les moyens de les atténuer.
Face au projet de norme, les services des TI des conseils scolaires devraient se demander si leur haute direction est suffisamment informée et mobilisée en ce qui concerne les questions de cybersécurité. Dans la négative, le projet de norme pourra leur servir de point de départ.
Les auteurs du présent article sont en mesure d’aider les cadres de direction des conseils scolaires en leur montrant les pratiques optimales en matière de cybermenaces et de réponse aux incidents et en leur donnant les outils pour comprendre de façon éclairée et critique les mesures présentées par le ministère.