Cyberjournal



Numéro 2 - Hiver 2013

Dans ce numéro


Atténuation des cybermenaces : Mesures essentielles

Ce numéro du Cyberjournal contient des articles sur le harponnage (ingénierie sociale) et sur les listes blanches d’applications dans lesquels on se penche davantage sur l’atténuation des cybermenaces et des stratégies visant à contrer les méthodes persistantes de cybermenace.

De nouvelles tendances émergent constamment dans le domaine des technologies, et à titre d’intervenants gouvernementaux, nous devons examiner attentivement les mérites et les dangers connexes. Par exemple, l’article sur la gestion des dispositifs mobiles met l’accent sur les préoccupations en matière de sécurité liées à l’utilisation de dispositifs mobiles pour se connecter à des réseaux du gouvernement, et propose des mesures pour isoler les risques potentiels.

Le CSTC espère que ce nouveau numéro du Cyberjournal sera pour vous à la fois informatif et pertinent.

Signé initialement par

Toni Moffa
Chef adjointe, Sécurité des TI


Mesures essentielles d’atténuation : arrêter les cyberattaques!

En tant que professionnel de la sécurité des TI du gouvernement, vous entendez souvent parler des cyberintrusions. La lutte contre les cybermenaces peut sembler être une tâche ardue. Afin de renforcer les efforts de protection des réseaux du GC, le CSTC a utilisé ses connaissances uniques des menaces pour élaborer la liste des 35 mesures d’atténuation les plus efficaces. Ces mesures, présentées en ordre de priorité, sont fondées sur une analyse des incidents survenus à l’échelle du GC et reflètent l’expérience du CSTC en matière de cybersécurité opérationnelle.

Les 35 mesures d’atténuation les plus efficaces proposent des pratiques exemplaires concises et proactives visant à atténuer les cyberintrusions ciblées. Elles présentent aussi de l’information sur les coûts de mise en œuvre des mesures et la résistance des utilisateurs à ces mesures afin d’aider les organismes à sélectionner les mesures qui correspondent le mieux à leurs besoins.

La mise en œuvre simultanée des quatre mesures les plus importantes permettrait de prévenir la grande majorité des intrusions auxquelles le CSTC doit intervenir à l’heure actuelle. Voici les quatre mesures les plus importantes :

  • L’utilisation d’une liste blanche des applications
  • L’application de correctifs aux applications tierces
  • L’application de correctifs aux systèmes d’exploitation
  • La restriction du nombre d’utilisateurs possédant des droits d’accès administratifs

Il est possible de mettre ces mesures en œuvre graduellement, en commençant par les systèmes d’employés de premier plan et souvent ciblés, et en continuant avec les systèmes de tous les utilisateurs.

Employés de premier plan et souvent ciblés :

  • cadres supérieurs et leurs adjoints;
  • personnel des services de soutien et administrateurs système;
  • utilisateurs ayant accès à de l’information sensible;
  • utilisateurs disposant d’un accès à distance;
  • utilisateurs dont les fonctions exigent d’interagir avec des membres du public.

Il n’existe aucune mesure capable de prévenir toutes les cyberactivités malveillantes à elle seule. Par conséquent, le CSTC recommande fortement aux ministères de commencer par mettre en œuvre les quatre premières mesures d’atténuation, puis d’améliorer continuellement leur posture de sécurité en mettant en œuvre le reste des mesures en fonction de leurs besoins. Pour en apprendre davantage à ce sujet ou pour télécharger la liste, veuillez consulter le site Web du CSTC : http://www.cse-cst.gc.ca/fr/publication/list

Nouvelles publications!

La mesure d’atténuation la plus importante : l’utilisation d’une liste blanche des applications

Qu’est ce qu’une liste blanche des applications?
Pratique administrative visant à prévenir l’exécution de programmes non autorisés ou malveillants.

Qu’est ce qu’une liste blanche?
Liste d’applications dont l’exécution a été autorisée par l’administrateur.

Comment fonctionne-t-elle?
Lorsqu’une application tente de s’exécuter, le système vérifie si elle figure sur la liste blanche. Le cas échéant, l’exécution de l’application est autorisée.

Quels en sont les avantages?
La majorité des systèmes de détection d’intrusions utilisent une liste des applications indésirables. Toutefois, comme le nombre de menaces augmente sans cesse, ce type de liste ne sera jamais exhaustif.

Par où commencer?
On recommande de commencer par les systèmes d’employés de premier plan et souvent ciblés et de services de premier plan tels que les principaux serveurs d’applications.

Besoin de plus d’information?
Consultez l'ITSB-95, Utilisation d’une liste blanche des applications, sur le site Web du CSTC.

Une bonne prise : le harponnage

De nombreux types d’acteurs de menace à la recherche d’information du GC ciblent les ministères du GC et leurs réseaux. Les courriels conçus par ingénierie sociale représentent la technique la plus couramment utilisée dans les tentatives de cyberintrusion. Ces courriels tentent d’inciter les destinataires à télécharger un logiciel malveillant en cliquant sur un lien ou une pièce jointe.

Les cyberintrusions sont des cracks de la technologie, connaissent les vulnérabilités logicielles et sont très agiles; le succès d’une intrusion peut rapidement compromettre l’intégrité et la confidentialité des données.

42 % des employés ciblés sont des cadres supérieurs, des gestionnaires et du personnel en R et D, ce qui signifie que 58 % occupent d’autres fonctions : ventes, RH, relations avec les médias, adjoints…

Symantec, Internet Security Threat Report, 2011

Le harponnage emploie des techniques d’ingénierie sociale pour adapter un courriel à une personne ou à un groupe particulier, en fonction du domaine de travail, des intérêts ou de caractéristiques personnelles.

Un tel courriel comporte un objet qui a du sens pour son destinataire et semble provenir d’une source crédible. Les courriels conçus par ingénierie sociale contiennent un message plus convaincant et donnent au destinataire un faux sentiment de sécurité.

Avant de cliquer sur un lien ou d’ouvrir un document joint à un courriel, assurez-vous que : 

  1. vous connaissez vraiment l’expéditeur du courriel et que le ton général du message correspond au style normal de l’expéditeur;
  2. le contenu du message est bien lié à votre travail et qu’il n’est pas simplement associé à un champ d’intérêt;
  3. l’adresse Web ou la pièce jointe concerne le contenu du message;
  4. vous êtes prudent si le courriel provient d’une adresse personnelle (@yahoo.ca, @gmail.com) ou d’un domaine suspect.

Si vous pensez avoir reçu un courriel suspect, signalez l’incident à votre service de dépannage TI.

À lire en ligne : Identification des courriels malveillants (ITSB-100)

Conseil informatique

Microsoft a annoncé qu’il cessera de soutenir la plateforme d’exploitation Windows XP à partir du 8 avril 2014. Après cette date, les ministères n’auront plus accès aux correctifs pour les vulnérabilités de sécurité connues dans Windows XP, ce qui accroîtra considérablement le risque d’intrusion. L’application de correctifs aux systèmes d’exploitation est l’une des quatre mesures les plus importantes parmi Les 35 mesures d’atténuation les plus efficaces du CSTC. La mise à niveau des systèmes d’exploitation à l’échelle d’un ministère demande du temps. Le CSTC suggère fortement aux ministères de planifier à l’avance et d’installer une version plus récente de leur système d’exploitation, préférablement Windows 7 ou toute version ultérieure.

Comment prendre soin de votre dispositif de communication vocale sécurisé

À l’heure actuelle, plus de 20 000 dispositifs de communication vocale COMSEC sont utilisés au sein du GC pour protéger les renseignements les plus sensibles du gouvernement. Chaque dispositif est géré dans le Système national de contrôle du matériel COMSEC (SNCMC) et doit être protégé contre les accès non autorisés dès son acquisition et jusqu’à sa destruction. Ces dispositifs comprennent des versions pour poste de travail (p. ex. STE/KSV-22, OMNI, SWT et vIPer) ainsi que des dispositifs mobiles (p. ex. SGSM).

Tous ces dispositifs de communication vocale ont une caractéristique commune : ils nécessitent tous une clé cryptographique pour fonctionner en mode sécurisé. Il ne suffit pas de charger une clé dans le dispositif. Pour assurer la sécurité de votre dispositif, vous devez mettre à jour la clé régulièrement (ce que l’on appelle une « remise à la clé »).

Lorsque le temps sera venu de remettre à la clé votre dispositif, le gardien COMSEC de votre ministère vous le rappellera et vous donnera alors les directives appropriées. Pour vous assurer que votre dispositif est toujours opérationnel, le CSTC vous recommande de remettre à la clé vos dispositifs sécurisés tous les trois mois.

Processus de remise à la clé

  1. Téléchargez le Guide de remise à la clé des ECU SCIP : http://www.cse-cst.gc.ca/fr/publication/guides-remise-a-cle-dispositifs-conformes-au-protocole-dinteroperabilite-communications
  2. Composez le 613-949-5400 pour mettre à jour vos clés canadiennes.
  3. Si une clé non canadienne y est chargée, composez le 1-877-386-1820.

Dispositifs sécurisés – Pratiques exemplaires

  • Apprenez le fonctionnement de votre dispositif avant d’avoir à l’utiliser dans une situation d’urgence.
  • Gardez le dispositif ou la clé en lieu sûr lorsque vous ne l’utilisez pas.
  • Retournez le dispositif à votre gardien COMSEC lorsque vous prenez votre retraite, changez d’emploi ou quittez le bureau.
  • Soyez conscient de votre environnement immédiat; un téléphone sécurisé n’empêche pas votre entourage d’écouter votre conversation.
  • Signalez immédiatement à votre gardien COMSEC tout vol ou perte d’un dispositif ou tout accès non autorisé.

Le saviez vous? Profils de sécurité pour la gestion des risques

Pour aider les praticiens de la sécurité à élaborer un ensemble de contrôles de sécurité ministérielle de base, le document intitulé La gestion des risques liés à la sécurité des TI : Une méthode axée sur le cycle de vie (ITSG-33) propose plusieurs profils de contrôle de sécurité. Plus précisément, l’ITSG-33 comprend des profils qui répondent aux besoins de confidentialité, d’intégrité et de disponibilité des environnements Protégé A, Protégé B et SECRET du GC.

Ces profils de sécurité constituent un point de départ pour élaborer des profils adaptés aux contextes opérationnel et technique ainsi qu’aux contextes de la menace et de la tolérance aux risques des ministères. De plus, un outil Excel a été créé en vue d’aider les ministères à personnaliser leurs profils de sécurité en fonction de leur processus de gestion des risques.

Pour en apprendre davantage sur les profils de sécurité de l’ITSG-33 et pour accéder à l’outil en ligne, consultez le site Web du CSTC à la page suivante : http://www.cse-cst.gc.ca/fr/publication/list.

Utilisation de supports amovibles pour le transfert de données

L’échange de renseignements entre différents domaines de sécurité représente une nécessité opérationnelle pour les ministères du GC. Pour les ministères qui ne disposent pas déjà d’une solution interdomaine (SID) complète, la solution la plus courante consiste à utiliser des supports amovibles, comme des clés USB ou des disques compacts enregistrables (CD R), pour transférer manuellement des fichiers. Cependant, une telle solution présente des risques pour les deux domaines.

Avant d’autoriser le transfert de données au moyen de supports amovibles, vous devriez tenir compte des enjeux importants de sécurité suivants.

Menaces et risques principaux

Voici les risques principaux : la perte de données sensibles, l’insertion de code malveillant et le transfert de données non autorisé

  • Une perte de données survient lorsque des renseignements sensibles ou classifiés sont transférés au moyen d’un support amovible à des réseaux qui ne sont pas autorisés à protéger ce type de renseignements.
  • Des programmes malveillants sont parfois préchargés dans des supports amovibles afin de faciliter l’accès non autorisé à des renseignements.
  • Les supports amovibles peuvent être égarés ou volés.

Atténuation

Afin de prévenir les pertes de données et l’insertion de code malveillant, tous les fichiers ainsi que les données supplémentaires propres au format des fichiers doivent être balayés au moyen d’un analyseur de virus commercial.

Politique de sécurité robuste pour les supports

Une politique de sécurité robuste pour les supports amovibles permettra d’atténuer les risques et menaces avec la mise en œuvre de contrôles de sécurité appropriés.

Le déploiement d’une solution de transfert de données par supports amovibles doit tenir compte des questions de sécurité susmentionnées et comprendre l’élaboration de politiques et procédures robustes.

Pour plus d’information à ce sujet, communiquez avec les Services à la clientèle de la Sécurité des TI : itsclientservices@cse-cst.gc.ca.

Conseil informatique

Récemment, Adobe a publié la version XI d’Adobe Reader qui comporte des fonctions de sécurité améliorées. Depuis la version 10, l’application comprend une fonction « bac à sable » qui aide à filtrer les documents et à les protéger contre les menaces connues. Pour réussir à s’introduire dans un système, un adversaire doit d’abord exploiter une vulnérabilité dans Adobe Reader, puis utiliser un autre exploit pour quitter le bac à sable, ce qui complique considérablement toute tentative de compromission d’un réseau ministériel. De nombreux ministères du GC utilisent encore d’anciennes versions d’Adobe auxquelles aucun correctif de sécurité disponible n’a été appliqué et qui n’intègrent pas cette technologie de bac à sable, ce qui expose les ministères à un nombre accru de menaces. L’application de correctifs aux applications tierces est l’une des quatre mesures les plus importantes parmi Les 35 mesures d’atténuation les plus efficaces du CSTC. Les fichiers PDF sont couramment utilisés pour transmettre des maliciels au moyen de courriels conçus par ingénierie sociale. Vérifiez sans délai la version Adobe utilisée dans votre ministère. Au besoin, installez les correctifs disponibles ou une version plus récente d’Abode pour renforcer la sécurité et réduire les risques TI.

Solutions pour la gestion des dispositifs mobiles

Les dispositifs mobiles se sont propagés rapidement au sein du GC, car ils permettent aux employés d’augmenter leur productivité et leur efficacité. Cependant, ces dispositifs peuvent également accroître le risque de compromission de l’information sensible. Pour atténuer cette nouvelle menace, le CSTC recommande aux ministères de déployer des solutions de gestion des dispositifs mobiles (GDM) au sein de leur architecture informatique. 

Les solutions GDM permettent de sécuriser, de surveiller, de gérer et de soutenir les dispositifs mobiles déployés sur un réseau, en contrôlant et en protégeant les données et les paramètres de configuration. Elles offrent un large éventail de fonctionnalités, notamment :

  • le contrôle des paramètres de sécurité des dispositifs mobiles (solution de base);
  • l’extension et l’application des politiques et contrôles de sécurité ministériels sur les dispositifs mobiles (solution avancée);
  • l’intégration transparente aux systèmes et services ministériels.

Il convient de noter que les solutions GDM ne peuvent pas ajouter des fonctions et des contrôles de sécurité à un dispositif mobile; elles peuvent seulement utiliser ceux fournis par le dispositif.

Pour déterminer s’il faut autoriser la connexion de dispositifs mobiles à un réseau ministériel, les gestionnaires doivent comprendre que les solutions GDM ne sont pas des solutions miracles permettant de résoudre tous les problèmes de sécurité de ces plateformes. Il faut à la fois prendre en considération les capacités de la solution GDM envisagée ainsi que les contrôles de sécurité qu’ils offrent.

Nouvelles au sujet de la formation en sécurité des TI

Le Centre de formation en sécurité des technologies de l'information (CFSTI) offre différentes possibilités de formation afin de promouvoir le niveau le plus élevé de cybersécurité au sein du gouvernement du Canada. Comme les exigences et les pratiques exemplaires en matière de sécurité des TI sont en constante évolution, le CFSTI met à jour régulièrement ses cours et programmes d’études pour en assurer la pertinence, l’applicabilité et les résultats. Par conséquent, le CFSTI publiera prochainement un nouveau catalogue tenant compte des changements.

L’automne dernier, le CFSTI s’est lancé pour la première fois dans l’apprentissage en ligne, avec un nouveau cours sur l’Autorité de contrôle (AC). Ce cours mixte, comportant à la fois des modules d’apprentissage en ligne et un atelier pratique, vise à présenter des connaissances approfondies sur la gestion des clés cryptographiques dans un réseau et sur l’élaboration d’un plan de soutien lié au matériel de chiffrement (PSMC). Il s’agit du premier de toute une série de cours qui seront mis à la disposition des employés du GC dans un format en ligne au cours prochaines années.

Le Centre de formation en ligne

Pour prendre connaissance de nos programmes d’études actualisés et des autres cours spécialisés ou pour vous inscrire à un cours, veuillez consulter le site Web du CFSTI ou envoyer un courriel :
http://www.cse-cst.gc.ca/fr/group-groupe/its-learning-centre
its-education@cse-cst.gc.ca

Quelles préoccupations de sécurité vous gardent éveillé la nuit?

L’équipe de la Sécurité des TI du CSTC aimerait savoir quels sont les enjeux de sécurité qui s’appliquent à votre ministère.

Veuillez transmettre vos questions, vos préoccupations ou vos idées pour de futurs articles à l’adresse de courriel itsclientservices@cse-cst.gc.ca

Au sujet du présent bulletin

Le Cyberjournal a été créé pour les intervenants et les praticiens des TI du GC et est publié périodiquement. Cette publication concrétise l’engagement de la Sécurité des TI du CSTC à fournir de l’information, des conseils et des recommandations à la collectivité du GC afin d’aider les ministères et les organismes à mieux se protéger contre les cybermenaces. Cette initiative vise à reprendre les principales questions de sécurité et à encourager les discussions au sujet de la sécurité au sein des ministères et organismes. De plus, le bulletin fait le point sur les produits et services clés offerts par le CSTC et indique aux lecteurs comment en profiter pour aider leur organisme du GC à se protéger. Pour améliorer la posture de sécurité du GC, il faut sensibiliser tout le monde à la sécurité. Ainsi, nous vous encourageons à diffuser cette information au sein de votre organisme.

Communiquez avec nous

Pour des conseils d’ordre général et de l’assistance relative aux directives de sécurité, communiquez avec les Services à la clientèle de la Sécurité des TI :
itsclientservices@cse-cst.gc.ca ou Demandes de renseignements généraux : 613-991-7654

Pour signaler un cyberincident, communiquez avec le Centre d’évaluation des cybermenaces :
ctec@cse-cst.gc.ca

Pour toute question relative à un dispositif COMSEC, communiquez avec les Services à la clientèle en matière de COMSEC :
comsecclientservices@cse-cst.gc.ca ou Demandes de renseignements généraux : 613-991-8495

Les gardiens COMSEC peuvent communiquer avec le Centre d’assistance en matière de matériel cryptographique :
cmac-camc@cse-cst.gc.ca ou Demandes de renseignements généraux : 613-991-8600

Pour les services de formation, communiquez avec le Centre de formation en sécurité des TI :
its-education@cse-cst.gc.ca

Abonnement

Pour vous abonner aux prochains numéros, veuillez communiquer avec les Services à la clientèle de la Sécurité des TI à l’adresse suivante : itsclientservices@cse-cst.gc.ca.