Protection des renseignements
Politique de sécurité de l'information
Afin d'assurer l'intégrité, la confidentialité et la sécurité des données, et ce en toutes circonstances, Chezlepro.CA applique les normes de sécurité de l'industrie et se conforme aux lois et réglementations en vigueur au Canada, y compris les exigences de la certification cybersécurité au Canada. (Ref.: Loi 25; Cybersécuritaire Canada; )
Stratégies mises en place :
Classification des données et contrôle des accès
Les données sont classifiées selon leur sensibilité et de leur valeur pour l'organisation. Des stratégies de sécurité conséquentes sont appliquées à chaque classe de données.
Authentification forte des utilisateurs, autorisations selon les rôles
Ségrégation géographique au niveau du pare-feu
On ignore toutes les tentatives de connexion sauf celles provenant du Canada et des États-Unis (géoblocage par liste blanche) est une mesure de réduction de surface d’attaque très puissante. Voici comment et pourquoi cela réduit considérablement les risques :
🔒 1. Réduction drastique de la surface d’exposition
En bloquant tout sauf CA/US, tu réduis le nombre potentiel d’attaquants à une fraction du total mondial :
Il y a environ 4,5 milliards d’adresses IP allouées dans le monde.
Les plages IP du Canada et des États-Unis représentent à peine 12 à 15 % de l’espace IP mondial.
Donc, tu exclus plus de 85 % des IP utilisées pour scanner, brute-forcer, ou exploiter des failles.
🛡️ 2. Élimination automatique de nombreux bots et scripts malveillants
La grande majorité des bots malveillants viennent de :
Russie
Chine
Brésil
Inde
Europe de l’Est
Afrique du Nord
Asie du Sud-Est
En les bloquant par défaut, ces attaques automatiques ne peuvent même pas initier une connexion TCP.
📉 3. Réduction des logs, du bruit, et de la charge
Moins de tentatives de connexion = moins de journaux à analyser.
Moins de trafic = moins de charge sur tes services (Web, SSH, VPN...).
Tes systèmes de détection d’intrusion (IDS/IPS) deviennent beaucoup plus précis car ils reçoivent moins de faux positifs ou de bruit.
📈 4. Augmentation de la pertinence des alertes
Quand tu reçois une alerte après géoblocage, tu sais que ça vient de quelqu’un local (CA/US) ou d’une IP compromise localement, ce qui justifie une investigation sérieuse.
📊 5. Réduction effective du risque ?
Ce type de filtrage peut réduire les risques d'intrusion automatisée de 80 à 95 %, selon les statistiques de honeypots (pièges à pirates) et des rapports de CrowdSec, Fail2ban, etc.
⚠️ Limites à connaître
Les VPN et proxies peuvent contourner le blocage géographique.
Tu dois prévoir des exceptions explicites si toi ou tes utilisateurs/vendeurs se connectent d’ailleurs.
Les CDN (Cloudflare, AWS, etc.) peuvent compliquer l’identification de l’IP d’origine.
✅ En résumé
En ne laissant passer que les IP nord-américaines, tu transformes ton système en une forteresse avec une seule entrée bien surveillée.
Authentification forte
Politique des mots de passe
Authentification à deux (2) facteurs (TOTP)
Les données sont classifiées selon leur sensibilité et de leur valeur pour l'organisation. Des stratégies de sécurité conséquentes sont appliquées à chaque classe de données.
Surveillance des journaux
Chezlepro.CA ne laisse pas les systèmes parler dans le vide.
Chaque accès, chaque action sensible, chaque alerte est consignée, surveillée, et traitée si nécessaire.
Nous ne croyons pas aux illusions de sécurité sans observation.
Un système est vivant — et tout ce qui est vivant laisse des traces.
Nous avons fait le choix suivant :
Journalisation active sur tous les services critiques.
Centralisation des logs.
Rotation, conservation et archivage définis selon le risque.
Accès aux journaux restreint et journalisé lui-même.
Lecture proactive : on ne se contente pas d’accumuler, on surveille.
La cybersécurité sans logs, c’est comme une caméra sans enregistrement : ça rassure… jusqu’au jour où on en a besoin.
"Sentir" que tout va bien ne suffit pas :
On lit les traces. On surveille les signes. On garde la main.
# Politique de gestion des journaux### 🎯 Voici nos pratiques en matière de journalisation, conservation, surveillance et protection des journaux système et applicatifs. --- ### 📚 Périmètre Cette politique s'applique à : - Tous nos serveurs, VM, conteneurs et services numériques. - Tous les événements liés à la sécurité, l'administration, l'accès, les erreurs système et les comportements anormaux. --- ### 🛠️ Collecte des journaux - Les journaux sont activés sur **tous les hôtes** et services exposés. - Les services suivants génèrent des journaux : - Système (syslog, journald) - Web (NGINX/Apache) - Authentification (OpenLDAP, SSH, Keycloak) - Réseau (nftables, OpenVPN) - Surveillance (Icinga2, fail2ban) --- ### 🔐 Sécurité des journaux - Les journaux sont **stockés localement** puis **centralisés** sur une instance dédiée à la supervision. - L'accès est limité aux administrateurs désignés. - Toute consultation est journalisée. - Les journaux sont protégés contre toute modification ou suppression non autorisée. --- ### 🕒 Conservation - Journaux critiques (authentification, accès, administration) : **90 jours en ligne**, **6 mois en archive**. - Journaux applicatifs : **30 jours**, puis rotation automatique. - Les archives sont chiffrées et stockées sur un volume distinct avec accès restreint. --- ### 👁️ Surveillance - Icinga2 surveille les systèmes en temps réel. - Des alertes sont générées en cas d’échec d’authentification, de blocage fail2ban, ou de comportements anormaux. - Des vérifications manuelles ponctuelles sont réalisées pour confirmer les alertes silencieuses ou suspectes. --- ### 📄 Revue et conformité - La présente politique est revue annuellement ou à la suite d’un incident de sécurité majeur. - Elle est conforme aux exigences du niveau 2 de la certification CyberSécuritaire Canada. --- *Dernière mise à jour : 2025-08-06*
Chiffrement des données
Les sites web hébergés par les serveurs de Chezlepro bénéficient d'un service de renouvellement automatique de leurs certificats numériques avec l'organisation Let's Encrypt. Leur durée de validité ne dépasse jamais les quatre-vingt-dix (90) jours. Une fois en place, un certificat numérique est renouvelé tous les 60 jours par un processus automatisé (certbot).
De plus, un processus surveille en permanence le nombre de jours restants avant leur péremption et si la péremption d'un certificat est à moins de 30 jours et que le certificat n'est pas renouvelé, un incident est signalé au niveau du système de surveillance.Aussi, pour s'assurer que les protocoles d'authentification et de chiffrement sont conformes aux meilleures pratiques de l'industrie, de temps à autre, Chezlepro.CA soumet ses sites à un processus d'audit externe.
À l'interne, les systèmes maintenus via une interface web sont sécurisés avec la même méthodologie que décrit ci-haut, mais au lieu d'utiliser une autorité de certification publique (Let's Encrypt), Chezlepro.CA a recours à sa propre autorité de certification privée. Cela a pour objectif d'éviter que les processus serveurs accèdent à des systèmes qui ne sont pas sous le contrôle de Chezlepro.CA.
Les serveurs de Chezlepro.CA exécutent aussi un service nommé SSH pour permettre leurs maintenances en mode de ligne de commandes, lorsque cela est nécessaire. Comme, par exemple, pour faire les mises à jour du système GNU/Linux.
Toutes les mesures qui s'imposent sont mises en oeuvre pour que les sessions avec le protocole SSH soient sécuritaires.
Sur les périphériques mobiles et lors de leur transit sur les réseaux, Chezlepro chiffre les données selon les recommandation de l'industrie.
Sauvegardes et recouvrement
Différentes stratégies de sauvegarde et de restauration des données et des systèmes sont exploitées afin d'être en mesure de rétablir dans des délais raisonnables le bon fonctionnement de tous les processus de l'organisation, en cas de sinistre ou de perturbation.
Gestion des incidents : Nous avons une procédure en place pour identifier, signaler et gérer les incidents de sécurité, y compris les violations de sécurité et les intrusions.
Formation et sensibilisation : Nous formons régulièrement nos employés sur les meilleures pratiques de sécurité et sur les politiques et procédures de sécurité de l'entreprise.
Mise à jour régulière : Processus de révision régulière à la présente politique afin d'assurer sa conformité avec les meilleures pratiques de l'industrie.
Cette politique est destinée à être utilisée en conjonction avec les autres politiques et procédures de sécurité adoptées par l'organisation.
🔐 La sobriété numérique - Un fondement de la cybersécurité
La plupart des brèches de sécurité naissent non pas d’un manque de technologie, mais d’un excès :
trop de services, trop d’interfaces, trop de dépendances, trop de points d’entrée, trop de cycles non maîtrisés.
Chezlepro.CA fait un choix radical :
Réduire la surface d’attaque par la sobriété.
💡 Moins, c’est plus sûr
-
Moins de logiciels = moins de vulnérabilités.
-
Moins de ports ouverts = moins d’exposition.
-
Pas d’automatisation aveugle = contrôle humain.
-
Pas de logs inutiles = moins de renseignements exploitables par un attaquant.
⚙️ Hygiène numérique = sécurité par défaut
-
Suppression proactive des services non utilisés
-
Séparation stricte des rôles et des domaines fonctionnels
-
Maintenance prévisible et planifiée
-
Absence d’exotisme technique inutile
🧘♂️ Un système sobre est un système compréhensible
Comprendre ce qui tourne, pourquoi, et comment, c’est la condition de base pour sécuriser.
Le foisonnement est l’ennemi de la vigilance; "Le diable se cache dans les détails..."
📉 La réduction d'entropie est une politique de défense
Chaque élément non maîtrisé dans le système est une porte potentielle pour l’entropie… ou pour un attaquant.
Limiter l’entropie numérique, c’est :
-
Réduire la surface d’attaque
-
Réduire la charge mentale de l’administrateur
-
Réduire les interconnexions non nécessaires
-
Réduire la pression sur les utilisateurs
🧱 Chezlepro.CA pratique la cybersécurité par architecture
Pas de rustines. Pas d’illusions de contrôle. Pas de déni de complexité.
Nous bâtissons une forteresse non pas en ajoutant des murs, mais en évitant les fenêtres inutiles.