La cybersécurité : propulsez votre entreprise

Par
19 mars 2019

Le nombre de piratage de données a augmenté de plus de 400 % en 2018 exposant près de 15 milliards de données enregistrées. Trop souvent, les cybercriminels n’ont pas à faire un effort pour trouver des documents alors que la majorité des enregistrements est exposée accidentellement, généralement via des serveurs mal configurés ou ouverts.[i]

La Chambre de commerce de Gatineau et IN-SEC-M, la grappe canadienne de l’industrie de la cybersécurité, ont organisé un dîner-conférence suivi d’un atelier sur la thématique de la cybersécurité le 12 mars 2018 au Hilton Lac-Lemay à Gatineau-Ottawa. « C’est une des rares fois où les experts de l’industrie de la cybersécurité s’adressent aux entreprises traditionnelles, souligne Antoine Normand, président d’IN-SEC-M. En plus de les sensibiliser à l’importance de la cybersécurité, cette activité a permis de leur fournir des ressources pour les aider à relever leurs défis en cybersécurité. »

Matthieu Chouinard, président de Forensik, une agence spécialisée en investigation numérique, a présenté quatre incidents courants auxquels l’entreprise fait face : « Les rançongiciels distribués par les courriels qui vont chiffrer les données, les courriels en mode infonuagique et le détournement d’argent, ainsi que les emotet/trickbot (des logiciels malveillants qui collectent des identifiants pour obtenir des informations bancaires) ».

IL A CONCLU EN PRÉSENTANT CINQ CONSEILS POUR BIEN SE PROTÉGER :

 

  1. Une hygiène de base en technique informatique (TI) : La formation et les connaissances de sécurité des administrateurs en TI et les processus de gestion des TI sont la raison première des incidents. Trop peu d’organisations ne mettent pas en place les correctifs de sécurité, ne modifient pas les configurations de base des OS nécessaires, n’ont pas d’inventaires, etc.;
  2. Une gestion des mots de passe : Trop souvent, ils sont réutilisés sur différentes plate-forme, pas suffisamment solides et il n’y a pas d’authentification à plusieurs facteurs (MFA). Les accès des administrateurs (PAM) sont aussi à risque, surtout en mode infonuagique;
  3. La sauvegarde de données : La synchronisation est importante, mais surtout une sauvegarde externe. Il importe de les vérifier pour leur intégrité en encryptant progressivement à partir de l’historique plus récent. Il y a trop de risques de tout perdre suite à des erreurs humaines, ransomwares, sinistres, etc.;
  4. La sécurisation des postes de travail : La majorité des incidents passent aujourd’hui par les postes de travail alors qu’un utilisateur est hameçonné. Les antivirus sont encore nécessaires, mais ne sont plus suffisants;
  5. La surveillance des anomalies : La journalisation et la surveillance intégrée des couches des postes de travail, des serveurs (interne ou infonuagiques), des télécommunications et des applications d’affaires, à la fois interne ou externe. Les administrateurs TI doivent avoir une fonction indépendante afin d’éviter la concentration des pouvoirs.

 

La forte majorité des façons pour se protéger est donc simple et peu couteuse, mais complexe et requiert de la minutie et de la rigueur dans son application.

S’est ensuivi le panel Les vecteurs d’attaque les plus fréquents et comment s’en protéger animé par François Perron, directeur de CyberQuébec, Centre collégial de transfert de technologie en cybersécurité (CCTT) du Cégep de l’Outaouais, Matthieu Chouinard, Président, Forensik, Olivier Coutu, Directeur des opérations, Zerospam et Youssef Jad, vice-président de Cyber Defense et R&D Innovation, PM SCADA CyberSécurité. Les experts ont discuté des meilleures pratiques pour sécuriser les ressources informatiques et les données. « Les dirigeants de PME devraient considérer des assurances en cybersécurité, car les coûts lors des attaques peuvent monter très vite : les spécialistes (cyber-enquêteurs), les frais de juriste, l’ensemble des clients touchés, les frais indirects (perte de réputation, perte de productivité, une nouvelle solution informatique) », explique Olivier Coutu, directeur des opérations chez Zerospam.

« Le 5G va introduire d’autres types d’attaques, explique l’un des panelistes, Youssef Jad, vice-président de Cyber Defense & R&D Innovation. L’Internet des objets vient tout complexifier, pensons aux équipements informatisés des hôpitaux, des usines d’épuration et des réseaux électriques qui seront exposés à des risques multipliés. »

La demi-journée s’est conclue sur les meilleures pratiques et ressources disponibles en cybersécurité en 2019. L’atelier a débuté avec Renato Anderson Rosa, Conseiller en technologie industrielle, Programme d’aide à la recherche industrielle (PARI), Conseil national de recherches Canada sur les visites interactives en cybersécurité.

Steve Vaillancourt, Instructeur au Carrefour de l’apprentissage et de l’innovation, Centre canadien pour la cybersécurité, a présenté les 10 meilleures mesures de sécurité des TI du Centre de la sécurité des télécommunications :

1- Intégrer, surveiller et défendre les passerelles Internet : Les organismes devraient surveiller le trafic qui circule par leur passerelle Internet et implanter des mesures de cyberdéfense comme la fermeture de certains points d’accès de façon à stopper les exfiltrations de données et à bloquer les attaques.

2- Appliquer les correctifs aux systèmes d’exploitation (SE) et aux applications : Les organismes devraient mettre en œuvre une politique d’application de correctifs aux systèmes d’exploitation (SE) et aux applications de tierces parties en temps opportun, afin de réduire le degré d’exposition des organismes aux menaces qui pourraient exploiter des vulnérabilités connues du public. Ils devraient utiliser des versions d’application et de SE prises en charge, testées et mises à jour.

3- Mettre en vigueur la gestion des privilèges d’administrateurs : Les organismes devraient réduire autant que possible le nombre d’utilisateurs possédant des droits d’accès administratifs. La liste de ces utilisateurs devrait être fréquemment révisée et validée. Pour prévenir les expositions découlant d’attaques par hameçonnage ou par tout autre maliciel, il conviendra d’effectuer les tâches administratives à partir d’un poste de travail réservé qui n’est ni connecté à Internet ni doté d’un compte de courrier électronique à accès libre, ou encore dont les fonctions d’accès Internet ou de courrier électronique sont désactivées pour les comptes administratifs.

4- Renforcer les systèmes d’exploitation (SE) et les applications : Pour prévenir les compromissions d’actifs et d’infrastructures connectés à Internet, les organismes devraient désactiver tous les ports et les services non essentiels et supprimer les comptes inutiles. La vérification au niveau de l’organisme et les solutions antivirus sont des éléments clés de toute configuration sûre.

5- Segmenter et séparer les informations : Les organismes devraient disposer d’un registre faisant état de leur information opérationnelle essentielle. Les fonds d’informations doivent être catégorisés en tenant compte des exigences en matière de protection qu’il convient d’appliquer aux informations sensibles ou aux renseignements personnels. Il est recommandé de zoner les réseaux par la segmentation des services d’infrastructure en groupes logiques répondant aux mêmes politiques en matière de sécurité des communications et aux mêmes exigences sur le plan de la protection de l’information.

6- Offrir de la formation et de la sensibilisation sur mesure : Les organismes devraient entreprendre régulièrement des activités de sensibilisation aux vulnérabilités actuelles liées aux utilisateurs et aux comportements acceptables des utilisateurs. Les programmes et les activités de sensibilisation à la sécurité des TI doivent être fréquemment révisés, mis à jour et mis à la disposition de tous les utilisateurs ayant accès aux systèmes organisationnels.

7- Protéger l’information au niveau organisationnel : Il peut s’avérer pratique de fournir de l’équipement (p. ex. des serveurs, des postes de travail, des ordinateurs portables et des dispositifs mobiles) aux employés, pour peu que l’on se soit doté d’un cadre de gestion des dispositifs et que l’on applique certains mécanismes de contrôle au moyen, notamment, d’un processus de gestion des changements. Dès lors que l’on choisit d’adopter une mesure du type « prenez votre appareil personnel » (PAP), il convient de se doter d’une politique de contrôle qui soit rigoureusement appliquée.

8- Assurer la protection au niveau de l’hôte : Les organismes devraient déployer une solution de système de prévention des intrusions sur l’hôte (HIPS pour Host-Based Intrusion Prevention System) afin de protéger leurs systèmes contre les activités malveillantes connues ou inconnus, comme les virus et les maliciels. Le système HIPS prend des mesures actives pour protéger les systèmes informatiques contre les tentatives d’intrusion en faisant appel à des ensembles prédéfinis de règles visant à reconnaître les comportements inhabituels. Lorsque de tels comportements sont détectés, le mécanisme HIPS bloque le programme ou le processus en cause et l’empêche de mener des activités potentiellement nuisibles.

9- Isoler les applications Web : Les organismes devraient utiliser la virtualisation pour créer un environnement dans lequel les applications Web peuvent être exécutées indépendamment. Les navigateurs Internet et les clients de courrier électronique sont des exemples d’applications vulnérables aux exploits qui exécutent des maliciels. Les exploits de sécurité adaptés à de telles applications peuvent être confinés à un « bac à sable ». Les maliciels qui infectent un environnement virtualisé n’ont aucune répercussion en dehors des limites dudit bac à sable.

10- Mettre en œuvre une liste blanche des applications : Les organismes devraient déterminer précisément les applications et les composants d’application qui seront autorisés. Il conviendra donc de bloquer systématiquement tous les éléments ne figurant pas dans la liste, de façon à réduire le risque d’exécution de maliciels du jour zéro. Les technologies investies dans les listes blanches d’applications peuvent indiquer quelles applications seront installées ou exécutées sur un hôte. Il est possible de définir la liste blanche en sélectionnant de nombreux attributs de fichier et de dossier (p. ex. les chemins d’accès, les noms de fichiers, la taille des fichiers, la signature numérique ou l’éditeur, ou encore l’empreinte numérique).

« Les incidents coutent dix fois plus cher que la prévention en cybersécurité, alors ça vaut la peine d’investir dans la sécurité de vos réseaux informatiques », a conclu M. Vaillancourt.

Sovita Chander, Maillages et projets spéciaux, Prompt, a parlé des subventions pour de la recherche collaborative dans le domaine de la cybersécurité (et les TIC en général) : « Notre métier est de rassembler et financer des partenariats en recherche collaborative en intelligence artificielle, données massives et analytiques, infonuagique, sans-fil et 5 G, cybersécurité, vision/imagerie, technologies médiatiques, santé, transport ou ville intelligente, etc. »

Antoine Auger, directeur du développement des affaires, Projet ENCQOR, a également abordé les enjeux de cybersécurité qu’apporteront les réseaux 5G : « Tous les secteurs de l’économie vont être touchés avec ce changement de paradigme. ENCQOR est l’une des seules plateformes dans le monde qui donne accès gratuitement à un coffre à outils, des milliers d’heures de soutien et des subventions aux PME. » Pour s’en prévaloir, il suffit de remplir le formulaire en ligne et un membre de l’équipe vous contactera. Les PME qui l’utiliseront auront certainement un avantage compétitif!

En guise de synthèse, François Perron a amené les participants à faire les liens entre les dix actions du Centre canadien pour la cybersécurité et les cinq conseils pour mieux se protéger de Mathieu Chouinard.

La cybersécurité est un domaine empli d’opportunités et de perspectives de développement, de croissance et de performance. Cette demi-journée où la base en cybersécurité était abordée a permis de découvrir les ressources disponibles pour que la cybersécurité devienne un levier de croissance et d’innovation pour toute organisation.

 

[i]  4IQ Identity Breach Report 2019 ‘’Identities in the wild: the long tail of small breaches”

(2019). https://4iq.com/2019-identity-breach-report/