Cyberjournal



Numéro 11 - juin 2017

Dans ce numéro


Protégez efficacement votre réseau : soyez proactif

L’ampleur et la complexité des cyberincidents augmentent quotidiennement à l’échelle planétaire. La plus récente attaque mondiale au rançongiciel WannaCry le confirme : les auteurs de cybermenaces ont désormais la volonté et les moyens de compromettre les systèmes essentiels des gouvernements, des entreprises et des individus, pour peu qu’ils décèlent les vulnérabilités desdits systèmes. Le CST contribue activement à la protection des systèmes du gouvernement du Canada (GC) contre les cybermenaces, même les plus sophistiquées. Toutefois, le gouvernement, les entreprises privées et le monde de la recherche doivent unir leurs efforts pour être en mesure de garantir la protection des plus importantes sources canadiennes d’information.

Il y a longtemps que la sécurité des TI n’est plus un luxe : on en veut pour preuve l’effervescence du monde des cybermenaces. En appliquant les 10 meilleures mesures de sécurité des TI, les organisations adopteront des cyberpratiques exemplaires et seront en mesure de défendre et de protéger leurs systèmes respectifs contre les attaques de maliciels. Dans le présent numéro, l’équipe du Cyberjournal présente des conseils en sécurité des TI, grâce auxquels il sera possible de prévenir le chiffrement de données que les rançongiciels du type de WannaCry pourraient infliger.

Pour prévenir les compromissions et éviter tout éventuel préjudice aux systèmes essentiels, les ministères devront intégrer un volet « sécurité des TI » à leurs plans d’urgence. Il est également question de « Engarde », l’exercice par lequel le Secrétariat du Conseil du Trésor (SCT) aborde l’importante question des tests de plans d’urgence axés sur les TI. Cet exercice réitère l’importance, non seulement de créer, mais aussi de tester les plans de cybersécurité pour être en mesure de réagir adéquatement à une éventuelle tentative d’intrusion.

Les ministères du GC comptent les uns sur les autres afin d’accroître la protection des renseignements sensibles du Canada. Au CST, nous sommes d’avis qu’une approche proactive est de mise en matière de cybersécurité, et qu’il faut encourager les organisations et les particuliers à mettre en œuvre des mécanismes de sécurité aptes à résister à toute éventuelle attaque.

Original signé par

Scott Jones
Chef adjoint, Sécurité des TI

Éviter le piège des rançongiciels : cinq mesures de protection des réseaux

Rançongiciel

Dès le 12 mai, le rançongiciel WannaCry est utilisé dans une cyberattaque d’ampleur mondiale qui fait plus de 200 000 victimes dans 150 pays. Grâce à une étroite collaboration avec les partenaires de l’industrie, le CST a été en mesure d’instaurer un mécanisme apte à protéger les systèmes et les réseaux essentiels du gouvernement du Canada contre ledit rançongiciel. Dans un monde numérisé, il n’est plus possible de faire fi des protocoles de sécurité tout en espérant esquiver les attaques. Les ministères du GC qui ont installé le correctif de mars 2017 (Microsoft MS17-010) pour les systèmes Windows ont été en mesure de contrer l’attaque par le rançongiciel WannaCry.

En outre, l’ampleur de cette attaque indique clairement que les auteurs de menaces peuvent cibler nos systèmes à tout moment et en tout lieu, et ce, pour divers motifs.

Le rançongiciel est un programme malveillant qui s’infiltre dans les réseaux d’utilisateurs et qui bloque les accès aux systèmes ainsi qu’aux données, jusqu’à ce qu’une rançon soit versée par la victime. En outre, le fait de payer la rançon ne garantit aucunement que l’accès aux données sera restitué. Certains auteurs de cybermenaces vont même demander plus d’argent. Dans certains cas, les victimes qui obtempèrent pourraient ne jamais récupérer leurs données. À toutes fins utiles, il ne sert à rien de payer la rançon, sinon à confirmer aux auteurs de menaces que leur stratagème fonctionne.

Les risques découlant de pratiques lacunaires en matière de cybersécurité ne peuvent être atténués que par des investissements continus et ciblés dans l’infrastructure de TI. Certes, la mise en œuvre de pratiques de cybersécurité adéquates – application des correctifs et préparation d’une liste blanche–peut s’avérer coûteuse, mais à moyen terme, il en coûtera davantage de négliger ces pratiques. En principe, l’ordre de priorité des pratiques en matière de sécurité devrait être défini en fonction du degré d’importance des données à protéger. Au reste, la question qu’il faut poserest la suivante: mon organisationa-t-elle les moyens de se passer de mécanismes de sécurité adéquats?

Pour protéger les systèmes contre d’éventuelles cyberattaques, le CST recommande l’application des 10 mesures de sécurité des TI. À la page suivante, nous vous présentons cinq mesures permettant de résister efficacement aux attaques par rançongiciel.

2. Appliquer des correctifs aux applications et aux systèmes d'exploitation

Éliminer les vulnérabilités exploitables. Tenir les systèmes à jour (systèmes d’exploitation, applications et modules d’extension de navigateurs Web). L’installation des correctifs dès que ceux-ci sont disponibles constitue une mesure qui permet de prévenir efficacement la compromission des systèmes.

3. Mettre en vigueur la gestion des privilèges d'administrateur

Réduire le nombre d’utilisateurs ayant des privilèges d’administrateur et veiller à ce que les utilisateurs ne disposent pas des droits d’installation de logiciels sur leurs dispositifs, sauf si un administrateur en a décidé autrement. Effectuer les tâches d’administration à partir d’un poste de travail qui est réservé à cet effet et non connecté à Internet, ou qui est dépourvu d’un courriel à accès libre.

5. Segmenter et séparer l'information

Faire des copies de sauvegarde des données sur un dispositif distinct prévu à cet effet ; les pirates ne peuvent exiger une rançon pour des données qui ont été conservées intactes sur un support auquel ils n’ont pas accès. Préparer un plan de restauration des données, qui sera mis en œuvre advenant une compromission; tester régulièrement les mécanismes de restauration.

6. Miser sur une formation et une sensibilisation sur mesure

Il est attendu que les mesures de protection des systèmes freinent considérablement les activités malveillantes, mais il n’en demeure pas moins que l’élément humain continuera de poser un risque. Offrir régulièrement au personnel des activités de sensibilisation aux vulnérabilités relevant des utilisateurs et faire état des pratiques exemplaires.

10. Mettre en place une liste blanche des applications

Le recours à la liste blanche constitue une mesure de sécurité essentielle et très efficace. La liste blanche permet d’atténuer les risques en empêchant les logiciels non autorisés, y compris les maliciels, de d’installer ou de s’exécuter.

Top 10

Pratique exemplaire : Lorsque vous recevez un courriel suspect (au travail ou à la maison) ne l’ouvrez pas, ne cliquez sur aucun lien ni aucun fichier joint; supprimez le courriel sur-le-champ et communiquez avec l’équipe de soutien TI de votre ministère.

Plan de gestion des événements de cybersécurité du Gouvernement du Canada

Qu'est-ce que le PGEC du GC?

Produit par le Secrétariat du Conseil du Trésor (SCT) du Canada, le Plan de gestion des événements de cybersécurité du gouvernement du Canada (PGEC GC) est entré en vigueur le 4 août 2015, en remplacement de l’ancien Plan de gestion des incidents de la TI du gouvernement du Canada (PGI TI GC). Le PGEC GC désigne les intervenants responsables et énonce les mesures à mettre en œuvre pour veiller à ce que la cybersécurité soit administrée uniformément et en temps opportun dans l’ensemble du GC.

Importance du PGEC GC

L’importance du PGEC GC tient au fait qu’il fournit aux ministères du GC le soutien dont ils ont besoin (voir ci-dessous) pour protéger adéquatement leurs systèmes d’information classifiés jusqu’au niveau SECRET :

  • Cadre opérationnel de gestion visant les événements de cybersécurité qui influent ou pourraient influer sur la capacité du GC à offrir ses programmes et ses services aux Canadiens.
  • Contexte entourant la préparation des plans et des procédures dont les ministères se servent pour gérer les événements de cybersécurité ayant trait aux programmes et aux services dont ils sont responsables.
  • Directives aux fins d’intervention en cas d’incident, notamment les pannes ou les interruptions de systèmes, les dénis de
    services, les erreurs provoquées par les données incomplètes ou erronées, les manquements au devoir de confidentialité ou les modifications non autorisées.

En quoi le PGEC GC concerne-t-il les ministères?

  1. Le GC dépend de plus en plus des TI pour maintenir ses opérations et fournir des services à la population canadienne. Toute compromission des systèmes de TI peut nuire à la prestation de ces services.
  2. Les ministères doivent se tenir prêts à réagir promptement et efficacement à tout événement qui peut miner la confiance envers le GC ou porter atteinte aux opérations gouvernementales et aux services offerts à la population canadienne.
  3. Les événements de cybersécurité qui visent les systèmes d’information du GC peuvent avoir des répercussions considérables sur la capacité du gouvernement à gérer ses programmes et à fournir ses services.

Les intervenants du PGEC GC

On compte une diversité d’intervenants concernés par le PGEC GC. Ils se divisent principalement en trois groupes :

  • Intervenants primaires des principaux organismes responsables de la sécurité (POS) – le SCT, Services partagés Canada (SPC), le CST et Sécurité publique (SP);
  • Intervenants spécialisés des POS – la Gendarmerie royale du Canada (GRC), le Service canadien du
    renseignement de sécurité (SCRS), et le ministère de la Défense nationale (MDN);
  • Autres intervenants – le dirigeant principal de l’information (DPI) du GC, le Centre des opérations du gouvernement (COG), le Bureau du Conseil privé (BCP), le Comité canadien chargé des systèmes de sécurité nationale (CCSSN), et le Comité d’intervention des directeurs généraux (CIDG).

L’implication de chacun des intervenants dépend de la nature des événements de sécurité. C’est pourquoi le PGEC GC fournit une description des éléments nécessitant une escalade administrative; cette description indique les intervenants concernés pour chaque cas. L’escalade à un niveau supérieur d’intervention est décidée conjointement par les intervenants concernés en fonction du préjudice subi par le GC.

Lire la version complète du PGEC GC depuis le site Web du SCT.

Exercice "Engarde" du CST

Contribution du Secrétariat du Conseil du Trésor du Canada

En 2016, la Direction du dirigeant principal de l’information (DDPI) a tenu un exercice de cybersécurité intitulé « Exercice de leadership en matière de sécurité Engarde 2016 » pour les sous-ministres délégués. L’exercice a été conçu pour promouvoir le Plan de gestion des événement de cybersécurité du gouvernement du Canada (PGEC GC) et pour sensibiliser les intervenants de haut niveau aux divers aspects du plan, notamment les nouveaux processus, la gouvernance et la redéfinition des rôles et des responsabilités. L’exercice avait également pour objectif de présenter aux participants le cadre des communications relatives à la cybersécurité, du SCT ainsi que les protocoles de communication afférents, qui doivent être engagés en cas d’incident.

Scénario

L’exercice de simulation était divisé en six phases ayant pour objet de contrer une attaque par rançongiciel visant les systèmes du GC.

Contexte technique
Incident de niveau 3 où divers ministères sont touchés par le rançongiciel

Répercussions sur les activités
Opérations de l'ASFC touchées par le rançongiciel

Communications
Au SCT, Communications stratégiques et affaires ministérielles a fourni un compte-rendu du point de vue des communications

Attribution
GRC, SCRS, CST, MDN, CRTC, CCRIC, portes de sortie du COG : origine du maliciel révélée

Paiement de la rançon
Discussions portant sur ce qu'il adviendrait si les ministères payaient la rançon demandée en l'absence d'une politique sur la question

Conclusion
Dénouement des aspects technique et communicationnel de l'incident

Participants

Les cadres qui œuvrent dans les ministères et organisms fédéraux – auxquels incombent la gestion des incidents visant le GC, les responsabilités en matière d’intervention et de soutien ainsi que l’administration des capacités de réaction aux cyberincidents – étaient engagés dans l’exercice Engarde. Ce sont donc des participants disposant de divers degrés d’information qui ont pris part à l’exercice.

Principaux partenaires du PGEC
SCT Direction du dirigeant principal de l’information
SPC Centre des opérations de sécurité (ERII GC, CPIG, EII STI)
CST Centre d’évaluation des cybermenaces
Sécurité publique Centre canadien de réponse aux incidents cybernétiques

 

Autres partenaires du PGEC
Intervenants en communications Partenaires spécialisés Partenaires stratégiques Point de vue des ministères
SCT MDN BCP; S et R ARC
SPC GRC COG Élections Canada
CST SCRS   ASFC
Sécurité publique CRTC (mise en force)   CRTC
BCP      

Logistique

L’exercice Engarde a constitué une réussite en ce qu’il a rompu avec les traditionnels exercices sur papier. En effet, l’activité consistait en un exercice pratique de simulation d’un incident. Des images diffusées en direct ont permis au personnel de soutien de suivre le fil des événements depuis le central et de fournir en continu des informations détaillées aux participants. Les informations du scénario ont été fournies par des documents textes, audio et vidéo, ce qui a accentué le degré d’urgence.

Résultats

L’exercice s’est concentré sur les éléments suivants :

  • processus du PGEC GC;
  • rôles et stratégies en matière d’atténuation;
  • communications internes et externes;
  • prise de décision prenant en compte la continuité des activités et la sécurité;
  • interprétation opérationnelle de la politique

Pendant l’exercice, les participants ont semblé s’accorder sur trois facteurs :

  1. D’aucuns ont indiqué que dans l’exercice de leurs fonctions, ils n’étaient confrontés que très rarement à des incidents de cybersécurité et qu’ils auraient avantage à répéter ce type d’exercice.
  2. Pendant l’exercice, on a souvent remarqué que les rôles et les pouvoirs décisionnels n’étaient pas clairement définis, puisqu’ils n’étaient pas explicitement énoncés dans le plan.
  3. En dernier lieu, certains ont indiqué que l’information qui aurait dû donner lieu à des processus parallèles (enquêtes, interventions en matière de sécurité nationale, etc.) n’était pas communiquée en temps opportun aux intervenants concernés.

Conclusion

Les scénarios de Engarde ont donné lieu à des discussions et des décisions, à de nouvelles informations ainsi qu’à des échanges en aparté. Le tout a permis d’atteindre l’objectif étant d’amener les intervenants à apprivoiser le nouveau plan, les nouveaux processus de même que les rôles et responsabilités connexes.

On a préparé un bilan dans lequel sont formulées des recommandations visant à améliorer les processus d’intervention du GC. Certaines de ces recommandations préconisent le développement et la diffusion d’une structure opérationnelle de gouvernance, un accroissement des mesures de sensibilisation et de formation, la clarification des rôles, et la formalisation des communications externes à des fins de diffusion auprès des intervenants concernés.

Pour obtenir un exemplaire du rapport intégral, il suffit d’envoyer un courriel à l’adresse suivante : tbs.csemp-pgec.sct@tbs-sct.gc.ca.

Pour de saines pratiques en cybersécurité

Le CST a élaboré une fiche d’information sur les pratiques exemplaires en cybersécurité (Cyber Hygiene), laquelle propose des conseils et des trucs de cybersécurité. Au fil des prochains numéros, nous nous pencherons davantage sur chacun des sujets présentés. Du reste, nous vous invitons à nous lire pour tenter d’évaluer le niveau de « santé informatique » de votre secteur.

Pour de saines pratiques en cybersécurité

Pratiques exemplaires en cybersécurité : N'oubliez pas les dispositifs mobiles

Les dispositifs mobiles contiennent d’importantes informations personnelles et professionnelles que les auteurs de menaces pourraient tenter de subtiliser. Il n’est pas nécessaire de débrancher complètement votre appareil mobile pour le sécuriser. Il suffit d’appliquer quelques mesures simples de protection pour réduire la portée des cybermenaces auxquelles s’expose vos dispositifs mobiles.

Sécurité des dispositifs mobiles

Les dispositifs mobiles sont des cibles attrayantes qui offrent des occasions uniques aux auteurs de menaces qui cherchent à recueillir de l’information. Un dispositif compromis peut fournir un accès non autorisé au réseau de votre ministère, ce qui menace à la fois la sécurité de votre information et celle de votre ministère.

Il est important de se rappeler que le Canada est une cible de choix pour les auteurs de cybermenaces.

  • Utilisez un numéro d’identification personnel (NIP) ou un mot de passe pour accéder à vos dispositifs, et changez vos mots de passe régulièrement
  • Désactivez les fonctions que vous n’utilisez pas, comme le GPS, le Bluetooth ou le Wi-Fi
  • Évitez d’ouvrir des fichiers, de cliquer sur des liens ou d’appeler des numéros contenus dans des textos ou des courriels non sollicités
  • Gardez vos logiciels à jour, y compris les systèmes d’exploitation et les applications
  • N’utilisez pas la fonction « se souvenir de moi » des sites Web et des applications mobiles — tapez toujours votre nom d’utilisateur et votre mot de passe
  • Chiffrez les données et les messages personnels ou sensibles
  • Comprenez les risques, surveillez vos dispositifs et demeurez conscient de la situation
  • Passez en revue les exigences en matière d’accès et de protection de la vie privée de toutes les applications avant de les installer sur des dispositifs mobiles, et assurez-vous de bien les comprendre
  • Supprimez toute l’information stockée dans votre dispositif avant de vous en débarrasser
  • Réalisez les tâches importantes, comme les transactions bancaires en ligne, sur un réseau privé ou fiable

Utilisation des appareils mobiles

Utilisation des appareils mobiles

Communications officielles du GC

Savez-vous quel type d’information il vous est permis de communiquer? Sauriez-vous par quel moyen ou à quel moment les envoyer? Voici quelques conseils en guise de rappel :

Guide de référence rapide (au Canada)

Assurez-vous de bien comprendre les mesures de sécurité de vos dispositifs.

  • Communication vocale : Acceptable pour l’information non sensible uniquement.
  • Textos et applications de messagerie : INACCEPTABLE pour toute communication sensible.
  • Courriels : Consultez votre équipe de soutien TI avant d’utiliser votre compte courriel pour les communications sensibles.

Le CST fournit des pratiques exemplaires et des directives à tous les ministères et organismes du gouvernement du Canada au sujet des différents aspects de la sécurité des réseaux sans fil et mobiles. Jetez un coup d’œil aux versions actualisée de nos publications pour en savoir davantage sur les façons de sécuriser vos réseaux sans fil et vos dispositifs mobiles.

L'Internet des objets : L'avenir commence maintenant

L'Internet des objets : L'avenir commence maintenant

L’Internet des objets (IdO) est un terme utilisé couramment pour désigner les produits électroniques employés quotidiennement aux fins de communication avec d’autres réseaux et dispositifs, notamment l’Internet. Les dispositifs IdO comprennent une diversité d’appareils comme les moniteurs d’activité personnelle, les téléviseurs, les ampoules, même les cafetières automatiques. Certes, les dispositifs s’avèrent pratiques et économiques, mais leur utilisation peut avoir des répercussions considérables sur votre sécurité ou votre vie privée.

Dispositifs connectés

Les répercussions de l'IdO sur la sécurité de votre réseau

Actuellement, il n’existe aucune norme visant les communications entre les dispositifs IdO, un facteur qui complexifie la question de la sécurité des réseaux. Pour protéger les données, la majorité des dispositifs IdO emploient des logiciels propriétaires à faible degré de chiffrement, dont le niveau de sécurité de point terminal est limité.

Vulnérabilités ciblées par les auteurs de menaces

Dans nombre de cas, les dispositifs IdO disposent de capacités technologiques élémentaires qui ne permettent pas l’installation de correctifs suivant la découverte de vulnérabilités. Par conséquent, les dispositifs IdO vulnérables peuvent devenir des instruments au service d’activités malveillantes, notamment pour les attaques par déni de service distribué (DDoS), la manipulation des contrôles domotiques, voire l’arrêt de fonctions de sécurité des automobiles.

Protection des renseignements personnels sur les dispositifs IdO

Comme les dispositifs IdO sont des produits technologiques récents, il arrive souvent que les mesures d’atténuation ne soient pas disponibles. Ainsi, il incombe aux organisations d’acquérir les connaissances nécessaires à une saine gestion de ces nouveaux points terminaux et de s’en servir dans l’élaboration des mécanismes de gouvernance et des politiques, de même que dans la sélection de contrôles de sécurité appelés à faire partie des plans de sécurité ministériels. Les données générées par les dispositifs IdO peuvent être divulguées, révélant ainsi des aspects des activités quotidiennes. Les méthodes de protection évoluent sans cesse alors que les autorités fédérales tentent de déterminer l’impact des dispositifs IdO sur la protection des renseignements personnels.

Certes, les dispositifs IdO sont pratiques, mais il n’en demeure pas moins que les ministères devront se montrer vigilants en assurant une gestion adéquate des risques en matière de sécurité des TI et de protection des renseignements personnels. En l’occurrence, il conviendra d’appliquer les principes énoncés dans l’ITSG-33 et dans les 10 mesures de sécurité des TI.

Nous embauchons - Venez nous rencontrer

Nous embauchons - Venez nous rencontrer

Les cybermenaces sont le fruit d’activités menées par certains États étrangers, les hacktivistes, les criminels, les adeptes d’informatique ou les terroristes qui sondent continuellement les systèmes du gouvernement à l’affût de failles pouvant leur donner accès aux divers ordinateurs. Le CST travaille à la détection de ces tentatives d’intrusion, les bloque et répare tout préjudice. L’organisme veille à ce que les réseaux du gouvernement soient parmi les plus sécuritaires au monde.

Le CST est responsable de préserver la sécurité du Canada par la supériorité de l’information. En l’occurrence, il travaille dans des installations de pointe situées à Ottawa et dispose d’ordinateurs ultra puissants. En revanche, le contexte des cybermenaces est en évolution constante.

Le CST a donc besoin de vous pour continuer à protéger le Canada et les Canadiens. La force de l’organisme repose principalement sur un personnel talentueux, doué d’imagination, capable de s’adapter et doté d’un sens aigu du devoir envers le Canada. C’est pourquoi le CST est activement à la recherche des plus brillants esprits de tout le pays.

Ainsi, nous invitons les candidats de tout le Canada à postuler dès maintenant. Possibilités d'emploi :

  1. Développeurs de logiciels C/C ++
  2. Administrateur de systèmes d’entreprise
  3. Cryptanalyste/Scientifique en cryptologie
  4. Analystes en cybersécurité
  5. Explorateur/Exploratrice de données
  6. Développeurs de logiciels Java / Python (Full-Stack)
  7. Chercheur en calcul de haute performance (CHP)
  8. Analystes de réseaux
  9. Administrateurs des systèmes
  10. Technicien supérieur en télécommunications et analyste des réseaux
  11. Ingénieurs de la recherche sur les vulnérabilités/ Ingénieurs en rétroingénierie logicielle

Nouvelles du CFSTI

En janvier 2017, le Comité directeur tripartite sur la sécurité de la TI a sanctionné la mise sur pied d’un groupe de travail appelé à se pencher sur la formation et la sensibilisation en matière de cybersécurité. Suivant les responsabilités qui leur incombent respectivement, les organismes du GC chargés de la sécurité constitueront le noyau de ce groupe. Ces organismes seront le SCT, le CST, SPC, Sécurité publique, la GRC, le MDN ainsi que d'autres participants, le cas échéant. Le groupe de travail aura principalement pour objet d’établir une série de normes collectives et de confier en externe la tâche d’élaborer des mécanismes d’apprentissage efficaces axés sur les connaissances et les compétences professionnelles, notamment le traitement des incidents, l’analyse des maliciels, l’expertise judiciaire en informatique, l’évaluation des vulnérabilités et les tests de pénétration.

Nouveaux cours du CFSTI

Le Centre de formation en STI veille à ce que les praticiens en sécurité des TI du GC soient toujours au fait des technologies de pointe. Pour ce faire, il actualise continuellement ses contenus de cours en fonction de l’évolution des technologies.

200 Dispositifs de gestion de palier 3 (T3MD) – Les menaces internes : atelier sur les pistes de vérification

215 Sécurité des émissions (EMSEC)

229 Cours sur la gestion d’un compte COMSEC dans une entreprise du secteur privé (CGCC dans une ESP)

233 Commande et gestion de clés cryptographiques

385 Initiation aux solutions interdomaines

910 Bootcamp en STI

108 Application de la méthodologie MHEMR dans le PASSI (ITSG-33)

Pour obtenir de plus amples informations ou pour s’inscrire, prière d’accéder à son compte du CFSTI ou de visiter le site Web du CFSTI.

Au sujet du présent bulletin

Le Cyberjournal a été créé pour les intervenants et praticiens des TI du GC et est publié périodiquement. Cette publication concrétise l’engagement de la Sécurité des TI du CST à fournir de l’information, des conseils et des recommandations à la collectivité du GC afin d’aider les ministères et les organismes à mieux se protéger contre les cybermenaces. L’objectif est de reprendre les principales questions de sécurité et d’encourager la discussion au sujet de la sécurité au sein des ministères et organismes. De plus, le bulletin fait le point sur les principaux produits et services offerts par le CST et explique aux lecteurs comment les utiliser pour aider leur organisme du GC à se protéger. Pour améliorer la posture de sécurité du GC, il faut sensibiliser tout le monde à la sécurité. Ainsi, nous vous encourageons à diffuser cette information au sein de votre organisme.

Abonnement

Pour vous abonner aux prochains numéros, communiquez avec les Services à la clientèle de la Sécurité des TI à itsclientservices@cse-cst.gc.ca.

Communiquez avec nous

Pour des conseils d’ordre général et de l’assistance relative aux directives de sécurité, communiquez avec les Services à la clientèle de la Sécurité des TI :
itsclientservices@cse-cst.gc.ca
Demandes de renseignements généraux : (613) 991-7654

Pour communiquer avec le Centre d’évaluation des cybermenaces :
ctec@cse-cst.gc.ca

Pour toute question relative à un dispositif COMSEC, communiquez avec les Services à la clientèle en matière de COMSEC :
comsecclientservices@cse-cst.gc.ca
Demandes de renseignements généraux : (613) 991-8495

Les gardiens COMSEC peuvent communiquer avec le Centre d’assistance en matière de matériel cryptographique :
cmac-camc@cse-cst.gc.ca
Demandes de renseignements généraux : (613) 991-8600

Pour les services de formation, communiquez avec le Centre de formation en sécurité des TI :
its-education@cse-cst.gc.ca
Demandes de renseignements généraux : (613) 991-7110


Réservé à des fins officielles du gouvernement. Les conseils présentés ne sont ni exhaustifs, ni universels.