SANS FRAIS 1 877-777-6412

Est-ce que Zoom est sécuritaire?

visioconferences
Note: Cet article a été rédigé initialement le 14 avril 2020 et mis à jour le 23 avril 2020. Zoom met régulièrement en place des correctifs de sécurité qui peuvent régler certaines des problématiques abordées dans cet article et dans le webinaire.

L’application de visioconférence Zoom est devenue TRÈS populaire depuis le début de la pandémie de COVID-19. Pour preuve, la plateforme aurait atteint en mars plus de 200 millions de participants aux réunions quotidiennes. L’application en comptait 10 millions en décembre dernier. Finalement, sa valorisation boursière a plus que doublé depuis le mois de janvier.

Mais voilà, maintenant que la plateforme est adoptée, on est à se demander si elle est véritablement sécuritaire. En quelques jours seulement, plusieurs vulnérabilités ont été découvertes et ont été relayées par les médias. Certains se plaignent également que des malfaiteurs ont réussi à s’inviter dans des salles virtuelles et ont proféré des obscénités. Devons-nous changer de plateforme? Est-ce adapté au télétravail? Mardi 7 avril dernier, nous avons donné un webinaire gratuit pour répondre à ces questions.

Ce webinaire s’adressait à toute personne en entreprise qui se demande si elle peut continuer à utiliser la plateforme ou bien si elle doit migrer vers une autre. Nous avons également mis de l’avant des actions qui peuvent être faites dès maintenant du côté des utilisateurs et des administrateurs TI pour favoriser une utilisation sécuritaire de la visioconférence, quelle que soit la plateforme.

Cette conférence a mis en scène Jean-Philippe Racine, Président de Groupe Cyberswat, ainsi que Clément Gagnon Propriétaire de Tactika inc. Nous avons décidé de vous offrir un résumé sommaire des points qui ont été abordés lors de ce webinaire pour faciliter la mise en place de bonnes pratiques.

Les plateformes de visioconférences sont en pleine expansion

Avec la pandémie mondiale et donc, une explosion du télétravail dans le monde, les plateformes de visioconférence ont connu une expansion sans précédent. Comme c’était prévisible, des personnes malveillantes ont cherché à profiter de cet outil populaire pour mettre le bordel dans des conférences ou encore se faire de l’argent par divers moyens. Des chercheurs ont également étudié davantage le fonctionnement de la plateforme. Plusieurs failles de sécurité, ou encore des problèmes de configurations, ont alors été découvertes sur Zoom.

À défaut d’avoir été proactif, Zoom s’est engagé dans les prochains 90 jours à faire passer la cybersécurité de sa plateforme en priorité; toutes les ressources nécessaires vont être déployées pour identifier et corriger les failles de sécurité plutôt que de s’atteler au développement de nouvelles fonctionnalités. Aussi, ils s’engagent à être transparent tout au long du processus.

zoom fait la une de la presse

Les principales failles de sécurité de Zoom identifiées sont les suivantes :

Pour plus d’information sur la nature de ses failles et les risques qui en découlent, nous vous invitons à écouter notre webinaire où nous prenons le temps de les expliquer une par une.

Les 10 choses à mettre en place maintenant si vous utilisez Zoom:

  • Mot de passe pour rejoindre une réunion (proposé désormais par défaut)
  • Activation de la salle d’attente
  • Bloquer la réunion lorsque tout le monde est en ligne
  • Ne pas utiliser la fonction « numéro de salle personnel »
  • Bloquer le clavardage si pas nécessaire
  • Limiter le partage d’écran à l’organisateur de la réunion
  • Mettre à jour le client Zoom
  • Prioriser l’enregistrement vidéo « en local »
  • Configurer l’authentification en 2 étapes pour les détenteurs de licences Zoom
  • Configurer une clé d’hôte de 10 chiffres au lieu de 6

Voici des plateformes alternatives à Zoom:

Même si c’est Zoom qui fait la une de la presse depuis quelques semaines, cela ne veut pas dire que les plateformes suivantes sont 100% sécuritaires. Nous vous recommandons d’être toujours vigilent peu importe les outils utilisés. Et n’oubliez pas ; une bonne partie de la sécurité en place dépend de comment vous configurez et utilisez la plate-forme.

D’autres alternatives, québécoises cette fois-ci:

Peu importe la plateforme utilisée, certaines actions peuvent être faites pour sécuriser vos visioconférences d’affaire:

  • Chaque participant pourrait s’identifier (ouvrir la caméra) pour s’assurer qu’il s’agit de la bonne personne
  • Éviter de communiquer et de partager des renseignements personnels et confidentiels
  • Demander la permission avant d’enregistrer
  • Utiliser un casque d’écoute ou être dans une salle fermée

En conclusion, utiliser Zoom : OUI mais pas pour discuter d’informations confidentielles (enfin, pour l’instant!)

Zoom n’est pas devenu leader sur le marché pour rien. Cette plateforme est très bien construite et permet notamment de proposer des webinaires pouvant accueillir des milliers de personnes et ce, de façon efficace. Zoom dispose aussi de l’une des interfaces les plus facile d’utilisation, ce qui n’est pas un avantage négligeable.

Aussi, Zoom offre très régulièrement des mises à jour pour corriger les failles de sécurité qui ont été identifiées donc sa posture en sécurité devrait s’améliorer dans les prochaines semaines; enfin, on l’espère!

De plus, il faut aussi faire une distinction claire entre la version gratuite et la version payante; cette dernière donne accès à davantage de fonctionnalités et permet d’avoir un meilleur contrôle sur la configuration de sécurité à mettre en place dans un contexte corporatif.

En prenant en compte tous ces aspects, nous tirons la conclusion suivante : vous pouvez continuer d’utiliser Zoom pour vos réunions et webinaire MAIS uniquement si vous ne discutez pas d’informations confidentielles.

Par exemple, utiliser la plateforme Zoom pour :

  • Donner des webinaires ouverts aux grands public: Oui
  • Faire des appels vidéo avec sa famille, des amis: Oui
  • Faire des réunions d’affaires pour discuter de besoins, recommandations et autre information « interne » qui ne sont pas nécessairement confidentielles: À évaluer à l’aide d’un expert
  • Pour discuter de propriété intellectuelle, de demande de brevets, renseignements personnels d’employés ou clients et autres renseignements sensibles de cette catégorie: Déconseillé

Si voulez approfondir le sujet et (ré)écouter notre webinaire complet sur le sujet, nous vous invitons à cliquer sur le lien ci-dessous: Accéder au webinaire. Chaque point de cet article y est discuté de façon bien plus approfondie et nous avons aussi pris le temps de répondre à de nombreuses questions des participants sur le sujet. Peut-être est-ce les mêmes questions que vous vous posez présentement?

Le clonage de carte de crédit en ligne, est-ce possible? Parlez-en à Magecart!

Tout le monde a, au moins une fois, entendu l’histoire de quelqu’un qui s’est fait « cloner » sa carte de crédit. Souvent, les clonages des cartes de débit et de crédit proviennent d’une technique frauduleuse appelée « skimming »; un dispositif (skimmer) est ajouté par-dessus un terminal de paiement et celui-ci récupère toutes les informations de la carte que vous utilisez, incluant le PIN. Et s’il existait un procédé semblable en ligne? Serait-il possible d’ajouter un « skimmer » sur un site web de commerce électronique afin de récupérer les informations de carte de crédit à l’insu du consommateur et du commerçant?

Est-ce que les impacts peuvent être importants? Nous sommes d’avis que oui ; parlez-en à British Airways qui a subi cette attaque en 2018, faisant des centaines de milliers de victimes. En plus de la gestion de crise qu’ils ont dû faire, ils ont ensuite reçu une pénalité de 300 millions de dollars en juillet 2019 dans le cadre de l’application du Règlement général sur la protection des données (RGPD).

Avec l’aide de Nicolas, l’un de nos spécialistes, nous avons décidé de vous expliquer les enjeux de cette menace car elle nous concerne tous:

  • À titre de consommateur :

    Comprendre comment ce stratagème s’opère pourrait vous éviter de longues heures d’attente et de démarches avec votre institution financière, votre compagnie de carte de crédit et/ou le commerçant en ligne avec qui vous avez fait affaire.

  • À titre de spécialiste en TI ou de commerçant :

    Vous serez à même de comprendre ce stratagème qui affectera votre site de commerce électronique un jour ou l’autre sans même que vous vous en doutiez. Il sera important d’y être attentif afin d’éviter de subir des pertes directes qui affecteront votre marge bénéficiaire ou celle de votre employeur, soit « la ligne du bas » comme on dit souvent dans le domaine de l’entrepreneuriat.

Qu’est-ce que Magecart et qu’est-ce que cela permet?

La vulnérabilité Magecart tire son origine de la plateforme d’achat open-source PHP Magento (soit la combinaison de « Mage » de Magento et de « cart » pour « panier d’achat »). Magento est un module qui est utilisé par plus de 300 000 sites web afin de permettre aux commerçants de réaliser de la vente en ligne directement aux consommateurs. Acquise pour la modique somme de 1.68 Millard USD par Adobe en 2018, la plateforme aura de grands changements à faire sur la sécurisation de son code pour les années à venir à la suite des événements qui ont entaché sa réputation dans les dernières années. Ce problème n’est pas nouveau et existe depuis 2010. Il a seulement plus l’attention des fraudeurs actuellement. La logique est simple; s’ils trouvent une faille pour un module de paiement en ligne sur un seul site, il est possible que cette même vulnérabilité affecte des milliers d’autres sites également!

Quel est le problème exactement?

Le problème? C’est que le Module Magento a déjà eu de nombreuses vulnérabilités dans le passé et en aura fort probablement d’autres dans le futur. À tire d’exemple, l’une des vulnérabilités découvertes affecte la version 2.3.2 de Magento et permet à un attaquant distant d’ajouter du code informatique malicieux dans le site web attaqué sans même à avoir eu à s’authentifier! On peut alors facilement imaginer des pirates tenter de retrouver tous les sites web utilisant cette version de Magento pour y injecter du code malicieux dans le but d’y récupérer les informations de carte de crédit de toutes les transactions réalisées sur le site de l’entreprise qui en sera victime. Des chercheurs ont déjà trouvé que des pirates avaient réussi à infecter avec du code JavaScript plus de 960 sites web vulnérables en moins de 24 heures.

D’ailleurs, à cet effet, RiskIQ nous rapporte via bleepingcomputer.com, une recrudescence des instances Magecart vulnérables, ce qui rend tous ces sites des cibles certaines de ce type d’attaque. Ces attaques ne sont pas des incidents isolés; elles ont déjà fait des milliers de victimes; c’est seulement que la nature de ces attaques n’était pas définie par un concept clair auparavant.

Bleepingcomputer.com ; RiskIQ ; Observation du nombre de sites vulnérables utilisant une version désuète de Magento

sansec.io; Willem de Groot ; 4.2% of all Magento stores globally are currently leaking payment and customer data

Est-ce que toutes les plateformes de paiement en ligne sont à risque?

La réponse est oui et non. Comme vous le savez, le risque zéro n’existe pas. Cependant, il y a tout de même des endroits où l’on risque moins d’être victime en tant que consommateur. Vous êtes généralement protégé lorsque vous achetez sur les grands vendeurs comme Amazon puisqu’ils utilisent une plateforme maison peaufinée avec plus de 20 années d’existence et révisée par de nombreux spécialistes en sécurité – mais qui sait?

Ce qu’il faut bien comprendre, c’est que l’effet Magecart s’étend à plus grand que Magento, comme le rapporte Yonathan Klijnsma de RiskIQ lors de son entrevue avec Darknet Diaries. Les chercheurs de RiskIQ sont en mode écoute sur toutes les plateformes d’achats pour prévenir et identifier à l’avance les prochaines vagues d’attaque de type Magecart.

À titre de commerçant, si vous utilisez des versions non à jour de Magento ou encore une vieille version d’un module de commerce en ligne dans Drupal ou même OpenCart, vous serez bientôt au courant des risques et devrez mettre à jour votre plateforme dans l’urgence! On constate donc que le gros du problème, c’est que d’autres plateformes peuvent également être à risque.

Savez-vous si votre système est à risque? Vous ne voulez pas qu’il vous arrive la même chose qu’à Ticketmaster? Sinon, dépêchez-vous à poser la question à des spécialistes en cybersécurité!

Qu’est-ce que l’on peut faire exactement pour se prémunir de Magecart?

Voici nos recommandations sur le sujet si vous êtes un consommateur:

  • Achetez toujours d’une plateforme reconnue: les sites web qui se spécialisent dans une seule catégorie d’objet et qui n’ont aucune notoriété sont à éviter.
  • Vérifiez si le site d’achat est fiable: 30 secondes de vérification sur Google vous éviteront le pire (ex : nomdusiteweb + fraude)
  • Activez la protection d’achat en ligne: avec votre institution financière ou service de carte de crédit, il est parfois possible de mettre une limite pour les achats en ligne exclusivement ce qui permet d’éviter le pire. Certaines compagnies permettent même d’activer/désactiver votre carte temporairement via un portail web.
  • Ne vous fiez plus aux cadenas dans l’adressage web: bien que ce fut une réalité il y a quelques années, il n’est maintenant plus possible de se fier au petit cadenas à gauche de votre adresse de navigation. Ceci est dû à la plus grande disponibilité de fournisseurs de certificats cryptés qui, avec la loi du marché, a eu raison de sa qualité et de sa fiabilité.
  • Faites vos paiements via une plateforme intermédiaire fiable: PayPal, Stripe, Square, Amazon Pay, pour n’en nommer que quelques-uns.

Voici nos recommandations sur le sujet si vous êtes un spécialiste en TI responsable d’un site transactionnel ou si vous êtes un commerçant:

  • Comme nous l’avons déjà vu dans un autre de nos articles, il est important de réaliser une veille de nos vulnérabilités et de mettre à jour nos systèmes régulièrement (notamment notre site web). Donc il est important de savoir quels sont les modules de commerce électronique utilisés sur son site web et faire une veille quotidienne des nouvelles vulnérabilités afin de mettre à jour nos systèmes le plus rapidement possible.
  • Vous ne gérez pas vous-même votre site et vous avez délégué sa gestion à un tiers? Vous en êtes quand même responsable! À ce moment, vous devez demander des comptes à votre fournisseur, prévoir dans le contrat d’hébergement qu’il devra faire cette veille régulièrement, etc. Il faudra ajouter des clauses contractuelles avec des pénalités dans l’éventualité où il arriverait quelque chose.
  • Réutiliser des modules de paiement de plateforme fiable; dépendamment de la grosseur de votre site Internet et de sa complexité, il pourrait être possible de réutiliser des modules de paiement tels que Paypal, Stripe et Square pour ne nommer que ceux-là. L’utilisation de ces modules est susceptible de diminuer les chances d’avoir un problème pour ce type de fraude.
  • Validation de l’intégrité de votre site web: l’un des moyens est d’avoir des mécanismes de sécurité qui valideront l’intégrité du module de paiement de votre site web. Ainsi, si une vulnérabilité affecte votre site et qu’une personne fait des modifications sur celui-ci, un mécanisme l’empêchera ou vous avertira qu’un changement non autorisé a eu lieu.
  • Faites valider la sécurité de votre site web par un tiers indépendant: Bien sûr, avoir un avis de la part d’un expert indépendant sera toujours de mise. On connaît justement une bonne entreprise pour cela 😉

Chez Cyberswat, nous sommes en mesure de faire des tests d’intrusion sur votre site web, de faire une surveillance continue de votre site web pendant toute l’année ou encore de vous donner les outils nécessaires pour mettre en place l’ensemble des bonnes pratiques de sécurisation pour éviter ce fléau à en devenir! Ne pas hésiter à nous contacter pour en savoir davantage.

Certifications et diplômes en cybersécurité

certifications et études en cybersécurité

Aujourd’hui, plutôt que de vous parler des nouveautés en cybersécurité, nous allons faire le point sur les études et certifications en cybersécurité. Nous aimerions nous adresser aux professionnels du milieu qui désirent atteindre un autre niveau et se positionner comme des experts dans leur domaine. Comme vous le savez, le monde de la cybersécurité est très large et il y a plusieurs corps de métiers différents dans lesquels vous pouvez vous spécialiser.

Vous êtes un analyste voulant en apprendre plus sur un produit, un pen tester, un conseiller en architecture ou en gouvernance? Cet article va vous intéresser!

Dans cet article, vous trouverez de l’information pratique qui vous permettra de mieux vous orienter dans cette jungle que sont les formations académiques et certifications. Pour ceux et celles qui sont autodidactes, ces formations et certifications vous permettront d’officialiser vos compétences! Pour nous aider à y voir plus clair, Jean-Philippe, notre président, répond à quelques-unes de nos questions.

Tout d’abord, pourquoi aborder ce sujet aujourd’hui?

Certains professionnels en sécurité que je rencontre font face à une même problématique: ils travaillent et ont de l’expérience en cybersécurité depuis plus de 5 ans, mais ils y sont arrivés sans formation officielle. Ils sont « tombés dedans » — souvent par intérêt — et ont appris sur le tas, de façon très autodidacte. Il vient un temps où ils aimeraient officialiser leurs compétences afin d’avancer plus rapidement dans leur carrière.

Et il y a également ceux qui ont de 1 à 4 ans d’expérience dans le domaine, ou encore qui désirent se spécialiser à temps plein dans ce créneau. Dans ce cas précis, ils proviennent souvent du domaine des télécommunications ou de l’administration réseau et ils ont eu à faire de la sécurité « par la bande » avec leurs multiples chapeaux. Ils tentent alors de percer en tant qu’analystes ou architectes de sécurité. Mais ils ont de la difficulté à convaincre un employeur de les engager afin de faire de la sécurité à temps plein.

Une question revient donc à chaque fois : « quelles études ou certifications en cybersécurité s’offrent à moi? ».

J’aimerais aujourd’hui leur apporter une réponse.

Peux-tu nous parler de ton parcours à toi? Quelles formations en sécurité as-tu suivies?

À l’aube des années 2000, j’ai tout d’abord fait une formation collégiale avec une Attestation d’Études collégiales (AEC) en Installation et gestion de réseaux du collège Multihexa. Comme je n’avais pas de DEC, j’ai rapidement commencé à faire des certifications telles que le MCSE 2000/2003 de Microsoft ainsi que le Cisco CCNA. J’ai alors occupé des postes à titre de spécialiste technique de niveau 1, 2 et 3. À ce moment, je n’étais pas encore spécialisé en sécurité.

Comme je l’ai déjà raconté dans un article précédent, j’ai eu une aventure dans le passé qui m’a quelque peu traumatisé et qui a grandement influencé mon intérêt envers le domaine de la cybersécurité.

J’ai donc eu l’opportunité d’effectuer un premier mandat en sécurité à titre d’analyste en sécurité. Je me suis spécialisé dans les technologies Check Point et Juniper Network. Voulant devenir un peu moins spécifique sur les produits de sécurité et apprendre les techniques plus « générales » du domaine, j’ai par la suite poursuivi les certifications COMPTIA Sécurity+, ISC2 CISSP ainsi que ISACA CISA. J’ai alors pu faire des mandats en architecture de sécurité et en gouvernance de la sécurité dans les années qui ont suivi.

Finalement, ayant toujours mon AEC en poche, il me manquait des qualifications universitaires. C’est dans ce contexte que suite à bien des démarches, j’ai pu être admis au programme de Maîtrise en gouvernance, audit et sécurité des TI (GASTI) de l’Université de Sherbrooke. Plus récemment, j’ai obtenu la certification CCSK du CSA qui traite spécifiquement de la sécurité de l’infonuagique.

Maintenant à la tête de Cyberswat, je consacre un peu plus mes efforts à parfaire mes connaissances à titre de décideur d’entreprise et de gestionnaire… Mais qui sait? J’aime tellement la sécurité que je vais probablement suivre à nouveau un cours ou une certification dans mon domaine de prédilection 😉

Wow! Cela fait beaucoup d’acronymes! Peux-tu nous en dire plus sur ces certifications?

Bien sûr! Je vais entrer un peu plus dans le détail dans les formations qui, selon moi, sont les plus prometteuses pour l’avancement d’une carrière en sécurité.

Pour celui qui a entre 1 et 4 ans d’expérience, les principales certifications qui sont intéressantes sont les suivantes:

1- La certification CompTIA Security +

S’il fallait commencer par une certification, ce serait celle-ci. Cette certification a une approche globale et permet de valider les compétences de base d’une personne se destinant à une carrière en cybersécurité. Plusieurs sujets sont abordés tels que les menaces, les types d’attaques, les vulnérabilités, la gestion du risque, la cryptographie et la gestion des identités et des accès. Afin d’obtenir la certification, un examen de 90 minutes doit être réalisé.

Pour en savoir plus

2- La certification SSCP – Systems Security Certified Practitioner

sscpReconnue globalement et entérinée par ISC2, cette certification est un excellent moyen de faire avancer sa carrière en attestant de sa capacité à sécuriser davantage les actifs critiques de son entreprise. Je vois beaucoup d’analystes en sécurité qui commence par cette certification en vue de faire éventuellement le CISSP.

La certification permet de démontrer que l’on possède des compétences techniques poussées. Elle démontre aussi qu’on a les connaissances pour mettre en place, monitorer et gérer une infrastructure de TI, tout en s’assurant de respecter les meilleures pratiques et procédures de sécurité. Elle ne requiert pas d’expérience préalable, mais demandera d’aller faire un examen chez Person Vue et il y aura des frais annuels de maintenance de la certification. Généralement ton employeur va accepter de payer les frais de maintien de la certification; en tout cas, c’est le cas chez Cyberswat 😉

Pour en savoir plus 

3- La certification CompTIA Cybersecurity Analyst+ (CySA+)

Je n’ai jamais fait l’examen du CySA+, mais je vois de plus en plus de personnes certifiées; signe d’une popularité croissante. Attention, ce n’est pas la même certification que le CISA de ISACA, elles n’ont pas du tout le même niveau de difficulté. Fait par CompTIA tout comme le Security+, il est vu comme étant la suite de cette première certification. Security+ est un peu plus technique sur les protocoles de sécurité, cryptographie, etc. CySA+ sera davantage orienté vers les malwares, le piratage, etc. dans le but de faire partie de la fameuse « blueteam ». Comme le Security+, c’est une bonne première certification à aller chercher.

Pour en savoir plus

4- Les certifications CEH de EC-Concil et OSCP de Offensive Security

CEHLa certification CEH est très populaire auprès des gens qui désirent en savoir plus sur les techniques de tests d’intrusion et de balayages de vulnérabilités. Donc contrairement au CySA+, on se retrouve davantage du côté de l’attaque, soit dans la « redteam ». Malgré son nom, il ne faut pas croire qu’une personne certifiée est déjà toute prête pour faire des tests d’intrusion avancés. Il faudra des années d’expérience dans le domaine avant de pouvoir prétendre le faire. Cependant, c’est un bon moyen pour s’orienter dans le domaine du pen test et pour démontrer, à des employeurs potentiels, son désir de continuer dans cette lignée. Pour obtenir la certification, il faudra faire un examen de 4h chez Person VUE qui totalise 125 questions.OSCP

Pour en savoir plus 

De plus, sachez qu’il y a également le Offensive Security Certified Professional (OSCP) qui est de plus en plus populaire et qui est bien reconnu.

Ok! Peux-tu nous en dire plus sur les certifications plus avancées?

Oui, je vais les présenter. Bien qu’il soit possible pour des personnes débutantes dans le domaine d’aller faire les examens de certification ci-dessous, elles sont davantage pour les personnes ayant 5 ans et plus d’expérience en sécurité. Les principales certifications qui sont intéressantes sont les suivantes:

1- La certification CISSP (Certified Information Systems Security Professional)

Beaucoup de « généralistes » en sécurité désirant démontrer leur expertise choisissent le CISSP de l’organisme ISC2. Il s’agit de l’une des certifications les plus connues et réputées du domaine qui n’est pas spécifique à un manufacturier précis. Pour ceux ayant réalisé le SSCP, il s’agit de la suite logique. Par contre, il n’est pas nécessaire de faire le SSCP avant.

Ce qui distingue cette certification des autres présentés plus tôt, c’est qu’après avoir fait l’examen, il faut passer par un processus de « Certification ». Le candidat devra prouver qu’il détient bien 5 années d’expérience dans un ou plusieurs des domaines de connaissance du CISSP.

C’est une étape très importante; je vois souvent des personnes qui ont réalisé l’examen et qui malheureusement n’ont pas pris le temps de faire la seconde étape de la certification. C’est dommage, car à ce moment, on n’a pas le droit de s’afficher en tant que personne certifiée. Cela a bien sûr des impacts dans la perception des employeurs et des clients qui engagent des spécialistes en sécurité.

De mon côté, j’ai fait cet examen en 2007 et je dois avouer que c’est l’examen le plus stressant que j’ai eu à faire de ma vie! Cet examen de 6 heures avait plus de 250 questions à l’époque. Il se déroulait dans une grande salle avec des dizaines d’autres personnes. Nous n’avions même pas le droit d’avoir une barre tendre à notre bureau. Quelqu’un nous suivait jusqu’à l’entrée des toilettes pour s’assurer que nous n’essayions pas de tricher! La formule a légèrement changé depuis, mais la nature des questions demeure la même; c’est un examen relativement technique et il y a tout de même pas mal de par cœur. C’est d’ailleurs un volet qui est critiqué dans cette certification. Elle n’est pas gage de tout: la certification atteste d’un certain niveau de connaissance, mais elle ne garantit pas le bon sens des gens 😉

Pour en savoir plus 

2- La certification CISA (Certified Information Systems Auditor)

CISALa certification CISA faite par ISACA est une certification très prisée des auditeurs en sécurité. Reconnue mondialement, elle représente un standard de réussite auprès de tous les intervenants en sécurité qui participent à la vérification, au contrôle et à l’évaluation des systèmes TI d’une entreprise ou organisation. Moins technique que le CISSP, c’est une très bonne certification pour une personne qui désire confirmer son expertise dans le domaine.

Contrairement à la certification CISSP qui visent uniquement les professionnels en TI, le CISA attire également les gens provenant du domaine financier et de la comptabilité. Cette certification est très demandée par les clients et employeurs qui veulent faire auditer leurs systèmes informatiques.

Comme pour le CISSP, il faut prouver son expérience (5 ans) dans le domaine de la sécurité et de l’audit une fois que l’on a réussi l’examen. ISACA-Québec offre du coaching pour faire la certification, c’est ce que j’avais fait à l’époque pour l’obtenir.

Pour en savoir plus 

3-  La certification CISM (Certified Information Security Manager)

CISMCette certification est également faite par ISACA et le processus pour l’obtenir est similaire. La différence avec le CISA est principalement qu’elle est axée sur la gestion de la sécurité au lieu de l’audit. Elle est populaire chez les gens qui désirent démontrer leur expertise du domaine et qui visent un poste de direction.

Pour en savoir plus 

Mais maintenant, qu’en est-il de la formation académique de niveau universitaire? Est-ce que ça vaut la peine?

Oui certainement. J’ai beaucoup mis de l’avant les certifications, mais il demeure que d’obtenir des diplômes officiels du Ministère de l’Éducation est un must! Le niveau de scolarité obtenu est important pour les employeurs et pour les clients provenant des grandes entreprises. Alors, c’est définitivement un chemin qu’il faut suivre. Voici quelques exemples:

1- HEC – Microprogramme en sécurité informatique des systèmes (1er cycle)

hec montrealCette formation, qui permet de cumuler 15 crédits universitaires, peut s’effectuer à temps partiel et sur une année.

Elle vous préparera à la certification CISSP tout en vous donnant un aperçu de la gestion des systèmes d’information : architecture, gouvernance, gestion des risques, développement, cadre réglementaire, normes, sécurité physique, sécurité des infrastructures et des applications, analyse des processus et exploitation de la sécurité. Avec ce certificat en poche, vous pourrez éventuellement devenir spécialiste en sécurité TI, analyste en cybersécurité ou encore conseiller en sécurité de l’information.

Pour en savoir plus 

2- Université de Sherbrooke – Maîtrise en administration – GASTI – Gouvernance, audit et sécurité des technologies de l’information

sherbrooke universityCette maîtrise est unique au Québec. Elle permet d’acquérir non seulement toutes les notions nécessaires pour devenir gestionnaire spécialisé en TI, mais aussi celles nécessaires pour réussir l’examen CISA d’ISACA. C’est cette maîtrise que je suis allé chercher à l’époque. Ce fut un long processus puisque que les cours étaient de soir et fin de semaine. Mais je n’ai pas eu à quitter le marché du travail pour la compléter, ce qui a été un très grand avantage. Dans ce contexte, cette formation est spécialement conçue pour les professionnels en exercice. Elle est donnée à temps partiel à Longueuil, mais il est possible de suivre les cours en ligne depuis la maison.

Pour en savoir plus

3-  Certificats et BAC en cybersécurité de la Polytechnique de Montréal

polytechnique MontrealLa polytechnique de Montréal offre 3 certificats en cybersécurité:

  • Cyberenquête
  • Cyberfraude
  • Cybersécurité des réseaux informatiques

Ces certificats ont le gros avantage d’être des programmes en ligne avec possibilité de le faire à temps partiel, donc les étudiants peuvent les suivre sans devoir arrêter de travailler pour étudier. La particularité de ce programme, outre qu’il offre vraiment un tour complet des enjeux en cybersécurité, est qu’il permet d’obtenir un bac par cumul si on réussit les 3.

Ce cursus est très populaire en ce moment, on voit beaucoup de professionnels du marché qui ont étudié ou étudient actuellement pour ces certificats. Ils sont aussi bien reconnus par les employeurs et les clients. Ce programme permet de voir autant des volets techniques que de la gestion donc il est très complet. C’est un bon moyen d’aller chercher un diplôme universitaire qui fait la différence sur le marché, surtout à Québec.

Pour en savoir plus

celebration etude

J’ai choisi de parler de ces 3 programmes universitaires, car ce sont ceux que je connais le plus personnellement. Cependant, la cybersécurité est vraiment un domaine qui prend de l’ampleur ces dernières années donc les formations se multiplient. Le Serene Risc a fait une compilation de tous les programmes en cybersécurité au Québec: https://www.serene-risc.ca/fr/repertoire-des-programmes-en-cybersecurite

Selon toi, quel est le programme ou la certification la plus pertinente à faire pour être en phase avec la transformation numérique en cours?

S’il n’y avait qu’une seule certification à faire pour les enjeux futurs, ce serait:

La certification CCSK ou la CCSP

La CCSK est axée sur le cloud computing (infonuagique) et est entérinée par le Cloud Security Alliance (CSA) . Avec elle, vous pourrez valider vos compétences et connaissances tout en prouvant votre capacité à développer un programme de sécurité infonuagique qui respecte les standards de l’industrie. Outre l’examen, elle ne demande pas de faire un processus de certification formel, mais elle vous donnera clairement un avantage compétitif sur un marché grandissant. Pour en savoir plus

CCSPSachez qu’il y a également une autre certification cloud qui fait sa place dans le marché, soit le Certified Cloud Security Professional (CCSP) entériné par ISC2. Ayant été fait en collaboration avec le CSA, il est probable qu’elle ait un bon potentiel.

As-tu quelque chose à rajouter sur les formations en cybersécurité en général?

Aujourd’hui plus que jamais, les formations en cybersécurité prennent tout leur sens. En plus, nous n’avons même pas eu le temps d’aborder les formations et certifications en lien avec les normes ISO comme ISO/IEC 27001 Lead Implementer, ISO/IEC 27001 Lead Auditor ou encore ISO/IEC 27005 Risk Manager qui sont très pertinente également.

Finalement, il faut retenir que de nombreux emplois sont créés chaque année afin de protéger les entreprises contre les risques liés aux TI. Si on parle juste de l’année 2019, avec les gros incidents de sécurité qui ont fait la une des journaux depuis quelques mois, la cybersécurité a pris une place au-devant de la scène. Tout le monde en parle et cette prise de conscience collective se répercute inexorablement sur les entreprises. Aucun dirigeant ne veut voir son entreprise épinglée pour un incident de cybersécurité donc les professionnels du domaine sont de plus en plus recherchés.

En effet, on estime que d’ici 2020, à l’échelle internationale, on manquera de 1,5 million d’experts en cybersécurité. Au Canada, on parle de dizaines de milliers.*

L’expérience dont vous disposez est un sérieux atout. Une certification ou un diplôme pour l’appuyer fera de vous un candidat très prisé. En effet, les employeurs se basent souvent sur les diplômes et les certifications pour évaluer le niveau d’un candidat.

*Benoît Dupont, de la chaire de recherche du Canada en cybersécurité à l’UdeM

Cyberswat et Extra Formation s’allient pour promouvoir la cybersécurité

Groupe Cyberswat est très fier de s’associer à l’organisme Extra Formation du Cegep La Pocatière. Ensemble, nous proposons des formations professionnelles pour sensibiliser et former tous les corps de métier d’une entreprise aux enjeux de la cybersécurité.

Un simple clic sur le lien envoyé dans un courriel frauduleux et c’est votre entreprise au complet qui peut se retrouver paralysée! En effet, même si tout le monde connait le principe du hameçonnage, la majorité des entreprises victimes de rançongiciels le sont car un employé a cliqué là où il ne fallait pas. Et ce n’est qu’une technique parmi tant d’autres : fraude du président, vol de mots de passe, clé USB infectée, etc. Les pirates ont accès à une multitude de moyens pour vous voler de l’argent ou des informations sensibles. L’humain est encore aujourd’hui l’une des principales failles de sécurité pour une entreprise.

Nous voulons vous aider à faire de vos employés un rempart supplémentaire contre les cyberattaques.

Extra formation a compris que la cybersécurité est devenue un enjeu majeur en entreprise. Ils ont donc décidé d’en faire une spécialité majeure dans leur offre de formations. Outre les 3 cours de 45 heures de niveau collégial qui serviront de tremplin pour le futur AEC du Cégep La Pocatière, ils veulent également sensibiliser tous les professionnels et former les gestionnaires à ces enjeux. Chez Groupe Cyberswat, nous sommes aussi convaincus que la formation et la sensibilisation de tous les employés sont le premier rempart à un incident de sécurité informatique. En effet, nous offrons depuis le début des ateliers de sensibilisation ainsi que des conférences en cybersécurité. Nous avons donc vu ce partenariat comme une belle opportunité de continuer à éveiller les consciences sur ces enjeux encore trop sous-estimés.

Saviez-vous que 2/3 des atteintes à la sécurité informatique ont pour origine des négligences ou actes de malveillance de salariés?*

* Willis Towers Watson

Plus concrètement, pourquoi suivre une formation en cybersécurité?

  • Apprendre quelles sont les menaces pour mieux les identifier et les éviter
  • Découvrir des techniques faciles à mettre en place pour se protéger au quotidien
  • Comprendre les impacts que peut avoir un incident de sécurité sur son entreprise et/ou sa vie privée
  • Se préparer à réagir face à un incident de sécurité et minimiser les conséquences
  • Obtenir des conseils et outils pour sensibiliser ses collaborateurs à la cybersécurité

l'affaires de tous
La cybersécurité concerne tous les corps de métier

Comme chaque fonction dans l’entreprise implique des enjeux de cybersécurité différents, nous proposons trois formations pour répondre à chaque situation:

Une initiation de 8 webinaires destinée à tout le monde. Cette formation permet de comprendre les grandes lignes de la cybersécurité pour sa vie professionnelle, mais aussi privée. En plus, cette formation est subventionnée par Emploi Québec et ne coûte que 25$ si vous répondez aux critères d’éligibilité! Profitez-en!

« Un grand pouvoir implique de grandes responsabilités »: on vous propose une formule adaptée aux enjeux de cybersécurité que vous devez connaître. On vous aide à vous préparer pour gérer la sécurité de votre entreprise.

On pousse un peu plus dans le volet technique avec vous pour vous donner des moyens concrets pour protéger votre entreprise.

Oublier la cybersécurité, c’est « rouler à 200 km/h à moto sans casque »

Guillaume Poupard, patron de l’agence française de cyberdéfense (Anssi)

N’hésitez plus et inscrivez-vous à la formation qui vous correspond!

Je veux en savoir plus

EXTRA Formation du Cégep de La Pocatière est un leader en formation à distance dite en mode hybride permettant de se perfectionner ou d’étudier à partir de chez soi ou de son lieu de travail. Depuis 2015, Extra Formation a développé et mis en œuvre, avec la vision «Se former pour se protéger», une expertise unique au Québec avec des formations en «stratégies et gestion en cybersécurité».  En partenariat avec une compagnie experte européenne: IT‑OPSLINK, spécialisée dans la formation en cybersécurité des chefs d’entreprises et d’organismes publics, Extra Formation a ouvert son propre Centre de simulation en cybersécurité à La Pocatière. En 2019, Extra Formation s’associe à la firme québécoise réputée pour son expertise en cybersécurité: Le Groupe Cyberswat.

DEFCON à Las Vegas : un des plus grands rassemblements de hackers au monde

Du 8 au 11 août dernier se tenait à Las Vegas la 27e édition du DEFCON. Événement incontournable en sécurité, on a décidé d’y envoyer l’un de nos collaborateurs, Martin Soro, et l’heureux gagnant du concours organisé au Hackfest de l’an passé, Jocelyn Baril.

Le DEFCON c’est quoi ?

Le DEFCON est l’un des plus grands rassemblements de hackers au monde. Il est organisé chaque année à Las Vegas depuis juin 1993. On parle de hackers, mais le public est très diversifié : professionnels en sécurité de l’information, journalistes, avocats, agents du gouvernement fédéral, chercheurs en sécurité, étudiants, etc.

Les participants peuvent assister à différentes conférences sur la sécurité informatique, mais aussi prendre part à des compétions de hacking (les « hacking wargames »). Les concours sont très variés en passant de la création de la plus longue connexion Wi-Fi à la recherche du moyen le plus efficace de rafraîchir une bière sous la chaleur du Nevada sans oublier le classique « Capture The Flag »

Anecdote : Dans les participants, on retrouve régulièrement des agents fédéraux américains du FBI, du « United States Department of Defense », « United States Postal Inspection Service » ou « United States Department of Homeland Security ».

Source : Wikipedia

De retour de cette incroyable expérience, on a eu le plaisir de recueillir leurs impressions sur cette 27e édition. Voici leur retour :

En un mot, comment décrirais-tu ton expérience au DEFCON?

Jocelyn : Démesure. C’est sans surprise que ce qualificatif colle à Las Vegas, ville que je visitais pour la première fois. Mais il définit aussi très bien le DEFCON, qui rassemble plus de 25 000 personnes intéressées par la sécurité de l’information et propose une quantité considérable de présentations, ateliers, villages et autres activités.

Martin : Ce fut une expérience très enrichissante. Cet événement est à la fois éducatif et divertissant. C’est un vrai rendez-vous du donner et du recevoir. On ne revient pas du Defcon tel qu’on est parti. On y revient la tête bien chargée de nouvelles connaissances et de beaux souvenirs. Cela me réconforte dans mon choix de carrière dans la cybersécurité.

Quelle était l’ambiance générale sur l’événement?

Jocelyn : Globalement, je qualifierais l’ambiance d’assez sérieuse. Voir tant de gens défiler dans les corridors des complexes hôteliers qui hébergent l’événement, ça revêt pratiquement un cachet cérémonial. J’ai aussi constaté beaucoup de respect envers les présentateurs et entre les participants. Malgré les files d’attente qui se forment parfois, bien que, par moment, nous soyons entassés comme des sardines, les participants n’hésitent pas à s’aider et à s’échanger des informations; je soupçonne que l’énigme du badge y soit pour quelque chose. Le DEF CON, c’est aussi le théâtre de nombreux partys, certains publics, d’autres privés. Quelques événements plus divertissants s’y déroulent, par exemple le Hacker Jeopardy. L’ambiance y est donc aussi festive.

Martin : Une ambiance très festive et sérieuse à la fois. La journée, les activités étaient très sérieuses avec les conférences, les démonstrations en LAB, etc. Dans la soirée le caractère sérieux est substitué par une ambiance très festive avec animations DJ, danses, Karaoké, etc. Les participants se reconnaissaient grâce aux badges accrochés au cou. J’avais l’impression que Las Vegas vivait au rythme du Defcon. Partout dans la ville, il n’était pas rare de rencontrer une personne avec le badge du Defcon, signe qu’un événement majeur avait lieu dans la ville. Je me souviens avoir rencontré une ribambelle de participants à la pancarte d’entrée de la ville, site très apprécié des visiteurs sans doute à cause de l’affiche Welcome to fabulous Las Vegas que nous voyons tous dans bien de films hollywoodiens depuis belle lurette.

Selon toi, à qui s’adressent surtout les conférences?

Jocelyn : Il y en a vraiment pour tous les goûts! Il y a évidemment les quatre pistes officielles de conférences, qui présentent déjà des sujets variés. Mais avec plus de 25 villages qui proposent aussi, pour plusieurs, leurs propres conférences, avec les SkyTalks, avec des ateliers, des concours et tant d’autres activités, plusieurs peuvent y trouver leur compte. Je dirais même qu’il faut constamment faire des choix difficiles, puisque tant d’activités se déroulent simultanément.

Martin : La plupart des conférences étaient très techniques. Elle s’adressait donc à un public qui connaissait le domaine. Cependant certaines conférences étaient plus généralistes. Par exemple la conférence « Can you track me now? Why the phone companies are such a privacy disaster?“ présentée par un sénateur américain. Il soulignait la problématique de la vente des données privées des clients par les opérateurs de télécommunications aux États-Unis.

À quelles conférences as-tu participé? Quelle a été la conférence qui t’a le plus impressionné?

Jocelyn : J’ai honnêtement un peu perdu le compte, mais j’ai dû assister, au moins partiellement, à une bonne trentaine de présentations concernant des sujets très variés. Une présentation qui m’a paru particulièrement bien rodée est celle de Babak Javadi intitulée ‘Ghosting the PACS-man : Basics of Hacking Physical Access Control Systems and Beyond’. Plutôt que de se limiter à une présentation statique, il n’a pas hésité à confronter le Dieu des démos en basculant fréquemment entre sa présentation, des vidéos et des démonstrations réalisées avec des maquettes et une caméra USB. Tout s’enchaînait à merveille; il était intéressant, passionné et en maîtrise de son sujet. Malheureusement, il s’était préparé pour une présentation de 80 minutes, alors qu’il n’en avait que 60 à sa disposition. Il a donc dû tronquer la fin de celle-ci. J’en aurais pris davantage.

DEFCONMartin :

  1. Hack the police
  2. The industry of social media manipulation driven by Malware
  3. All the 4G modules could be hacked
  4. Can you track me now? Why the phone companies are such a privacy disaster

C’est la conférence intitulée: All the 4G modules could be hacked. En d’autres termes : tous les modules de 4G cellulaires peuvent être piratés. Les présentateurs ont exposé les vulnérabilités présentes dans les modules 4G de certains fabricants réputés. Il s’agit des modules permettant à des objets tels que les voitures, les caméras, les robots d’être accessibles à partir de l’internet. Les exposants ont démontré à quel point les objets connectés à internet sont vulnérables aux cyberattaques. De nos jours, la tendance est que la plupart des objets soient connectés à internet afin de pouvoir les contrôler à distance de partout sur la planète. Bien entendu, cela apporte son corollaire de vulnérabilités inhérentes à la technologie. La vigilance est donc de mise quant aux risques liés à cette hyperconnectivité.

 

 

 

 

À quoi ressemblaient les activités qui entouraient le DEFCON? As-tu eu la chance de faire certaines de ces activités?

Jocelyn : Une fois de plus, la diversité des sujets et des champs d’intérêt prévaut dans ces activités! Il y a de tout et un peu plus! J’ai essayé quelques maquettes du ‘Lock bypass village’, mais n’ai pas pris le temps de participer à plusieurs activités. Parmi les plus impressionnantes, je retiens le simulateur de vol d’un F-35 fourni par Lockheed-Martin au ‘Aviation hacking village’, la Tesla Model 3 flambant neuve transformée en perte totale dans la compétition du ‘Car hacking village’ et le jeu d’évasion simulant le déminage d’une bombe au ‘Lockpick village’. Il y a certainement plusieurs activités que je n’ai pas vues, alors que je n’ai pas eu le temps de visiter certains villages.

Martin : Il y avait des compétitions de hacking: CTF, démonstrations en Lab, exposés de vendeurs de solutions de sécurité, animation DJ et karaoké.

Si tu avais à résumer un top 3 de tes apprentissages, quels seraient-ils?

Jocelyn : C’est difficile de répondre à cette question. Certains choisissent de se consacrer à un sujet en particulier et d’assister à la majorité des présentations qui se déroulent dans un village donné pour approfondir un champ d’expertise plus précis. Pour ma part, j’ai préféré assister à des présentations concernant des sujets variés. La plupart de ces présentations n’étaient pas excessivement pointues; c’est difficile d’approfondir un sujet dans une présentation variant entre 40 et 60 minutes. Lors de tels événements, j’apprécie avoir de l’information concernant des sujets variés afin d’ouvrir mes horizons. Par la suite, ça peut me guider vers de nouveaux apprentissages en lien avec les informations obtenues lors des conférences.

Martin : J’ai compris comment certaines entreprises se spécialisent dans la création de faux comptes de réseaux sociaux afin d’aider certaines personnes en quête de popularité à multiplier le nombre de leurs suiveurs (followers).

Comment défaire le système de radar de la police fédérale américaine.

Dans un souci d’amélioration de la qualité des soins médicaux, les équipements médicaux sont de plus en plus connectés à internet. Ceux-ci se trouvent alors exposés aux cyberattaques mettant ainsi en péril la santé des patients. Les fabricants d’équipements se tournent alors vers les spécialistes en cybersécurité afin de détecter d’éventuelles vulnérabilités sur leurs équipements dans le but de les corriger avant l’exploitation par des pirates.

As-tu apprécié ton expérience? Aimerais-tu y retourner un jour?

Jocelyn : Oui, j’ai vraiment apprécié cette première expérience au DEF CON. C’est parfois déchirant de devoir choisir entre plusieurs activités qui se déroulent simultanément. Mais pour occuper plus de 25 000 participants, cette pluralité d’activités est nécessaire. J’aimerais évidemment y retourner; ce sera probablement un projet dans quelques années.

Martin : J’ai beaucoup apprécié mon expérience en ce sens que je me suis nourri abondamment de nouvelles connaissances en cybersécurité. Les activités étaient très diversifiées et couvraient différents domaines de la sécurité. Chacun y retrouvait pour son compte. Je considère cet événement comme la coupe du monde des professionnels en sécurité. Sans hésiter, j’aimerais encore et encore y retourner.

Autre chose à rajouter?

Jocelyn : Si vous avez l’occasion d’assister au DEF CON, je me permets de vous recommander deux incontournables :

  • L’application Hacker Tracker, qui regroupe notamment l’horaire de la plupart des activités et les plans des différents complexes où se déroule le DEF CON;
  • Une excellente paire de souliers, puisqu’on y marche beaucoup!

Martin : L’événement avait lieu dans 4 des hôtels les plus prisés de Las Vegas tous situés sur la célébrissime rue dénommée Las Vegas Strip. Dans le jargon de mon pays natal la Côte d’Ivoire, on l’appellera la rue princesse de Las Vegas. C’était donc un ballet incessant entre les hôtels pour participer aux différentes activités qui avaient lieu simultanément sur les différents sites relativement proches.
Nous avions quand même du plaisir à effectuer ce pèlerinage nonobstant le soleil accablant de Las Vegas à des températures avoisinant les 38 degré Celsius.

Je remercie le groupe Cyberswat et son président Jean-Philippe pour cette opportunité incommensurable qu’ils m’ont offerte de participer à cet événement titanesque. Nul doute que cela a fait tache d’huile dans ma carrière et restera indélébile dans ma mémoire pour bien longtemps. Comme le disait un sage : je n’ai pas de leçons à donner, mais j’ai des expériences à partager. Celle-ci, je suis heureux de la partager avec les miens. Chez Cyberswat, on était bien content de voir qu’ils ont vraiment apprécié leur expérience au DefCon! Nous, on se dit rendez-vous au Hackfest le 1er et 2 novembre prochain!

Vous avez déjà participé au DefCon? Parlez-nous de votre expérience!

Pour finir, voici quelques photos que Martin a bien voulu partager avec nous!

Les PME québécoises encore trop vulnérables face aux rançongiciels

Les rançongiciels affectent de plus en plus les entreprises. Encore récemment, une nouvelle PME québécoise a fait les manchettes suite à une attaque par ce type de virus. Dans le cas de l’entreprise Laurin Inc., située à Laval, les conséquences sont sans équivoque : à la suite de l’infection, instantanément, tout est devenu inaccessible; les courriels, la comptabilité, la facturation, la liste de clients ainsi que le carnet de commandes. Dans notre article d’aujourd’hui, nous allons non seulement démystifier comment les entreprises se font infecter, mais surtout, nous allons aborder les moyens de s’en prémunir !

Martin Soro, conseiller en sécurité opérationnelle chez CyberSwat
Martin Soro, SSCP
Conseiller en sécurité

Pour en discuter avec nous aujourd’hui, nous nous entretenons avec Martin Soro, conseiller en sécurité opérationnelle chez CyberSwat et professionnel des TI avec plus de 9 années d’expérience en réseautique et en sécurité. Martin est également titulaire d’une maîtrise en ingénierie de l’Université du Québec à Rimouski et possède plusieurs certifications telles que le SSCP de (ISC)2, CCNP routing and switching et le CCNA cybersecurity Operations.

Tout d’abord Martin, qu’est-ce qu’un ransomware?

Le ransomware ou encore rançongiciel est un logiciel malveillant qui après avoir infecté un ordinateur, un serveur, un téléphone, etc., crypte certains fichiers ou même le disque dur complet du dispositif. Il présente ensuite un message exigeant un paiement afin de recouvrir ces données. La demande de rançon est écrite par l’auteur du logiciel malveillant qui parfois menace de détruire définitivement ces informations (ou encore de les divulguer au public), si le paiement n’est pas effectué dans des délais impartis.

Qui peut être ciblé par un ransomware?

La ransomware n’a aucune frontière. Toutes les entreprises, de petites comme de grandes tailles peuvent être la cible d’une attaque de type ransomware. Les motivations du malfaiteur sont principalement d’ordre financier. Les cibles les plus fréquentes de nos jours sont :

  • Les PME
  • Les Multinationales
  • Les institutions publiques
  • Les hôpitaux
  • Le secteur bancaire
  • Les établissements scolaires
  • Les particuliers

Aucune industrie n’est immunisée contre cette attaque. Au cours des dernières années, plusieurs entreprises canadiennes ont été victimes de cyberattaque ransomware. Nous pouvons citer en exemple :

  • L’hôpital d’Ottawa : Elle a été victime d’un ransomware qui a bloqué toutes ses données les rendant ainsi inaccessibles. L’hôpital a été forcé de payer une rançon de 17 000 $ US en bitcoins afin de récupérer ces informations.
  • La Commission scolaire des Appalaches : Toute l’infrastructure a été paralysée par un ransomware. Les autorités scolaires ont refusé de payer la rançon. Cependant, cette attaque a finalement coûté 270 000 $ à la commission pour la reconstruction de son réseau. Ceci inclut l’achat de nouveaux équipements et la paye des heures supplémentaires des informaticiens.
  • Le fabricant de meubles Artopex : La production de quatre des cinq usines a été affectée durant une période d’environ 48 heures, par une cyberattaque de type ransomware qui a pris ses données en otage. Cependant, l’entreprise a réussi à répartir ses activités grâce à son plan de contingence.

Comment est-ce que cela arrive?

De nos jours, il existe plusieurs vecteurs d’attaque de type ransomware utilisés par les cybercriminels pour atteindre leurs objectifs. En voici quelques-unes.

  • Par courriel – lorsqu’un usager clique sur un lien contenant une pièce jointe malicieuse. La plupart du temps, un faux prétexte est élaboré afin d’inciter le destinataire du courriel à cliquer sur la pièce jointe (ex. une supposée facture).
  • Par site web – lorsque l’usager visite un site web compromis ou clique sur un lien dans une page web. Prendre note qu’un usager peut être infecté simplement en visitant un site web malicieux même s’il ne clique sur aucun lien. Cette technique s’appelle un drive-by download. Comment cela fonctionne ? En visitant le site web compromis, un code malicieux est automatiquement et discrètement téléchargé sur la machine de l’utilisateur à son insu. Le code malicieux va alors rechercher une vulnérabilité sur l’ordinateur de la victime. Une fois la vulnérabilité identifiée, il va établir une connexion vers le centre de commande du cybercriminel pour télécharger le code malicieux permettant de l’exploiter. Dans le cas d’une attaque ransomware, s’il réussit à exploiter la vulnérabilité, alors il va télécharger la clé de chiffrement pour crypter les données et afficher par la suite le message exigeant une rançon.
  • Par l’ingénierie sociale – le cybercriminel peut usurper le soutien informatique de l’entreprise et demander à un usager de se connecter à distance pour faire une mise à jour. En réalité, le malfaiteur pourrait, au moment de l’intervention à distance soit désactiver l’antivirus ou même dissimuler et exécuté un code malveillant.
  • Par attaque RDP (Remote Desktop Protocol) C’est une forme d’attaque ransomware qui gagne en popularité. RDP est une fonctionnalité Windows utilisée couramment en entreprise pour se connecter à distance sur les postes de travail. Le problème réside dans le fait que les administrateurs informatiques ouvrent parfois les ports RDP des serveurs ou postes de travail directement sur Internet. Ainsi, si les cybercriminels découvrent le système et le port RDP lors d’un balayage, alors ils vont utiliser les techniques de brute force pour trouver le mot de passe de l’équipement informatique. En général, ils réussissent avec les machines ayant des mots de passe faibles. Ils utilisent ensuite ces machines comme point d’appui pour détecter les identifiants de l’administrateur du domaine avec les outils comme mimikatz puis ils lancent le chiffrement des données. Quelques exemples de ransomware utilisant cette méthode sont : BitPaymer, SamSam, Ryuk, Dharma et GandCrab. L’une des particularités de BitPaymer et Ryuk est qu’ils prennent le temps de s’assurer que toutes les sauvegardes sont détruites avant de lancer l’attaque.

Quels sont les impacts potentiels des attaques ?

Une attaque de type ransomware peut causer une perte totale de données sensibles et confidentielles d’une organisation. Cela résulte à un dysfonctionnement des opérations, perte de disponibilité des systèmes informatiques, perte de temps de la part des employés. Il y aura également des pertes financières importantes, une dégradation de l’image de marque et de confiance vis-à-vis des clients et des partenaires. Il peut également y avoir du vol d’identité et des poursuites potentielles dans l’éventualité où de l’information serait divulguée publiquement par les pirates. L’histoire des ransomwares démontre à quel point les compagnies sont vulnérables face à ces cyberattaques.

Peut-on se protéger contre cette attaque ?

S’il est vrai qu’on ne peut aucunement être immunisé à 100 % contre le ransomware, force est de constater qu’il existe plusieurs méthodes de contrôle de sécurité permettant de mitiger les risques et minimiser les impacts.

Nous pouvons, entre autres, citer les antivirus modernes, les pare-feu nouvelle génération, les technologies de sauvegarde de données, les mises à jour régulières des systèmes d’exploitation et applications tierces. Par ailleurs, les bonnes pratiques en matière de sécurité de l’information constituent le vecteur principal pour se protéger contre une cyberattaque en général et contre le ransomware en particulier.

Nous pouvons prendre en exemple le principe de moindre privilège. Il est très important de limiter les droits d’accès des usagers aux systèmes informatiques et aux données. Il est impératif d’éviter d’accorder des droits administrateurs à un usager pour ses opérations courantes. En effet, lorsqu’un ordinateur est infecté par un code malicieux, celui-ci utilise les données d’identification de l’utilisateur piraté. Si le compte de l’usager ne possède pas de hauts privilèges alors l’exécution du code est limitée et les conséquences moins graves. C’est pourquoi même les administrateurs de systèmes informatiques devraient utiliser un compte utilisateur standard pour leurs opérations courantes et utiliser les comptes administrateurs uniquement pour les tâches qui requièrent de hauts privilèges. De plus, les comptes administrateurs devraient être supervisés et audités régulièrement afin de détecter toute activité suspicieuse.

Par ailleurs, la sauvegarde de données est d’une importance capitale pour la protection contre les attaques ransomware. En effet, si vous êtes victime d’une attaque et que les données de production ont été chiffrées par le cybercriminel, alors l’une des alternatives est de restaurer les données sauvegardées et nettoyer l’ensemble du système. Cependant, il faut s’assurer d’adopter une bonne stratégie de sauvegarde sinon celle-ci ne donnera pas les résultats escomptés. L’une des stratégies de sauvegarde très recommandée est la règle du 3-2-1. Selon cette règle, 3 copies des données doivent être enregistrées sur 2 supports différents et 1 copie doit se trouver hors site. Il faut également prendre soin de mettre en place des mécanismes qui feront en sorte que le rançongiciel ne sera pas en mesure de chiffrer les sauvegardes au même moment que toutes les autres données.

Outre les outils technologiques, il faut également considérer la mise en place de programmes récurrents de gestion de vulnérabilités, de test d’intrusions, de campagne d’hameçonnages comme recommandé dans les cadres de références en Cybersécurité tels que le NIST. Il est aussi fortement recommandé d’évaluer la maturité des contrôles de sécurité afin de s’assurer de leur efficacité de protection. En d’autres termes, il faut aussi surveiller les contrôles de sécurité. Tous ces processus ont pour but de réduire la surface d’attaque des systèmes et améliorer le niveau de risque de vos environnements.

Au-delà des techniques susmentionnées, il est primordial de prendre en considération le capital humain, car c’est souvent le maillon faible de la sécurité des organisations. En effet, aucun contrôle technique ne peut empêcher un usager de cliquer sur un lien reçu par courriel qui pourrait le connecter à un centre de contrôle de commandement d’un cybercriminel. L’une des solutions, c’est la sensibilisation et la formation. Il faut sensibiliser les usagers sur les risques de sécurité au moyen d’ateliers, d’affiches, de babillards ou même des articles de blogues. Ils devraient également être sensibilisés contre l’ingénierie sociale qui est l’un des principaux vecteurs d’attaque aujourd’hui pour mener une cyberattaque. La compétition de l’ingénierie sociale organisée au Hackfest 2018 a permis de mettre en évidence la vulnérabilité de plusieurs compagnies canadiennes (même les plus grosses) face à ce vecteur d’attaque.

Par ailleurs, une bonne politique de sécurité devrait être élaborée, approuvée par les cadres de la compagnie et strictement appliquée par tout usager du système d’information de l’organisation. L’adhésion à la politique de sécurité corporative devrait être la condition sine qua non avant tout accès au système d’information par l’usager.

Que faire quand on est victime d’un ransomware malgré tout ?

Quatre options sont envisageables lorsqu’on est victime d’une attaque de type ransomware.

  1. Si vous aviez effectué des sauvegardes régulières, alors il faut restaurer les données. Attention, prendre note que cette méthode n’est pas nécessairement efficace à 100 %. En effet, les virus peuvent s’infiltrer dans la sauvegarde. Alors, si vous restaurez la sauvegarde, vous vous réinfectez alors et vous vous mettez dans une boucle infinie. Des spécialistes dans le domaine peuvent vous aider afin de faire les vérifications qui s’imposent au moment de la restauration.
  2. Si les sauvegardes n’ont pas été faites, alors vous pouvez regarder la possibilité de payer la rançon. Cependant, il faut prendre en considération que payer la rançon ne garantit aucunement la restauration de vos fichiers. De plus, il est fort probable que le cybercriminel récidive parce que vous devenez lucratif.
  3. Choisir de tout perdre et restaurer son système à son état initial afin de reprendre ses activités. Bien sûr, ce n’est pas du tout la solution à préconiser d’emblée. En revanche, cette situation s’est déjà produite chez certains clients qui nous ont contactés que trop tard.
  4. Recourir à son assurance cyberrisques. Les assurances en cyberrisques peuvent amener une aide financière pour remettre les systèmes dans leur état initial ou encore de payer la rançon. Il faut alors informer l’assureur le plus tôt possible dans le processus afin de prendre la bonne décision. L’assurance peut également couvrir d’autres éléments tels que les frais juridiques, les frais de gestion d’incident par une firme de spécialistes comme Cyberswat. Néanmoins, ce n’est pas parce que l’on a pris une assurance en cyberrisque que l’on n’a pas besoin de prévenir le pire ! C’est comme pour l’assurance feu et vol ; nous devrons tout de même mettre en place un système d’alarme et des gicleurs dans notre entreprise.

Toutes ces options démontrent à quel point il est important de miser sur la prévention plutôt que sur la correction.

Martin, que pourrais-tu nous dire en guise de conclusion ?

Sun Tzu dans L’Art de la Guerre disait : « Si vous connaissez vos ennemis et que vous vous connaissez vous-même, mille batailles ne pourront venir à bout de vous. Si vous ne connaissez pas vos ennemis, mais que vous vous connaissez vous-même, vous en perdrez une sur deux. Si vous ne connaissez ni votre ennemi ni vous-même, chacune sera un grand danger. »

Bien que cette citation fasse référence à des stratégies militaires, elle est aussi vraie et adaptée au monde de la cybersécurité contemporaine. Cela signifie qu’il est plus qu’indispensable de bien connaître ses adversaires (les cybercriminels) afin de gagner la bataille contre le cybercrime. Cela passe nécessairement par l’étude et la connaissance de leurs TTP (Techniques, Tactiques et Procédures).

Vous voulez bien connaître votre ennemi ? Chez Cyberswat, nous pouvons vous accompagner dans cette modélisation des menaces et la mise en place de stratégie de cyberdéfense.

SéQCure 2019 : entrevue avec le chef d’orchestre de l’événement, Nicolas-Loïc Fortin

Le printemps est officiellement là (ou presque si vous aussi avez encore une belle vue sur la neige) et avec lui arrive la Semaine du numériQC 2019 qui se tiendra du 4 au 14 avril prochain!

Pour ceux qui ne connaissent pas, la Semaine numériQC, c’est LE rendez-vous annuel des professionnels du numérique à Québec! En effet,cette semaine a notamment pour vocation d’éduquer ses participants, les aider à élargir leur réseau, à leur faire tisser des liens, à se faire connaître et à recruter.

Se déroulant maintenant sur plus de 10 jours et abritant plusieurs événements, nous nous intéresserons aujourd’hui tout particulièrement au SéQCure, dont Cyberswat est un l’un des fiers partenaires! Le SéQCure, vous l’aurez deviné, est axé sur la cybersécurité et se tiendra le 8 avril prochain. Vous pourrez venir nous visiter à notre kiosque pendant toute la durée de l’événement!

Pour vous donner une bonne idée de ce à quoi vous attendre avec cet événement, nous avons reçu en entrevue Nicolas-Loïc Fortin, véritable chef d’orchestre de l’événement.

Voici nos questions et ainsi que ses réponses.

1.     Nicolas-Loïc, peux-tu tout d’abord te présenter un peu? Quel est ton parcours?

Bien sûr! Ayant maintenant près de 20 ans dans le domaine des TI et de la sécurité de l’information, j’ai tout d’abord fait mes premières armes en sécurité chez Deloitte au début des années 2000. De fil en aiguille, j’ai fini par fonder ma propre entreprise et je travaille donc à mon compte désormais. Dans les dernières années, j’ai principalement œuvré à titre de consultant en cybersécurité chez des clients dans un contexte gouvernemental.

2.      Peux-tu nous en dire plus concernant ta collaboration avec la Semaine numériQC et le SéQCure?

J’ai d’abord décidé de faire équipe avec Québec Numérique afin de rallier les spécialistes dans le domaine de la sécurité et les aider à maintenir leurs connaissances à jour. Mon rôle est donc non seulement d’informer les spécialistes, mais aussi d’autres participants et de les amener à bien comprendre l’importance de protéger leurs informations. Le tout nous a menés à la création du SéQCure avec qui je collabore à titre de chef d’orchestre avec les autres membres du comité organisateur de l’événement.

3.     Qu’est-ce que l’événement SéQCure et en quoi se démarque-t-il des autres événements en cybersécurité?

Ce qui est particulier avec le SéQCure, c’est qu’il est bâti sur le concept de « sécurité défensive » contrairement à d’autres événements comme le Hackfest, qui lui est orienté « sécurité offensive ». En fait, ces deux événements sont très complémentaires. Ce qu’il faut savoir également est que le SéQCure est le fruit d’une collaboration de plusieurs organisations du domaine, dont ISACA-Québec et l’ASIQ, ce qui en fait un événement incontournable pour toute personne voulant en apprendre davantage dans le domaine de la cybersécurité.

Et cette année, nous avons en plus la collaboration de « In Sec M »,  qui est un regroupement de manufacturiers dans le domaine de la cybersécurité et qui apportera un volet particulier à l’événement.

4.     Peux-tu rapidement nous rappeler la différence entre « sécurité défensive » et « sécurité offensive »?

Oui, c’est assez simple. La sécurité défensive englobe tout ce qui a trait aux moyens qui existent pour se prémunir contre les attaquants dans le but de corriger les faiblesses des systèmes informatiques.

La sécurité offensive, elle, amène à démontrer les faiblesses et failles d’un système, d’un logiciel, etc.  Ces deux concepts sont évidemment étroitement liés.

5.     À qui est adressé l’événement? Quelles sont les principales raisons pour lesquelles les entreprises et leurs employés y viennent?

Le SéQCure est tout d’abord destiné aux professionnels de la cybersécurité afin de les aider à se mettre à jour et à réseauter entre eux. Rien que pour ceci, les gens se déplacent, car ce sont des éléments auxquels ils attribuent beaucoup de valeur afin de favoriser la collaboration dans le marché. De plus, notre partenaire associatif avec In Sec M va attirer aussi beaucoup de monde, car il s’agit d’une organisation novatrice dont l’expertise est reconnue dans tout le Canada.

6.     À combien de personnes vous attendez-vous?

Si on se base sur les dernières années, on peut s’attendre à environ 300 personnes. D’autres événements connexes auront lieu dans le cadre de la Semaine numériQC, ce qui pourrait potentiellement augmenter le nombre de participants.

Par exemple, le 8 avril, en même temps que SéQCure, auront lieu les événements Insurtech QC, Réalité Augmentée Québec ainsi que le Rendez-vous IA Québec spécialisé en intelligence artificielle.

7.     Et enfin, quelles sont les conférences à ne pas manquer cette année?

Je recommande vivement aux gens de participer à la conférence d’Éric Caire, Ministre délégué à la Transformation numérique gouvernementale, qui présentera en à peu près 30 minutes l’espace que la sécurité de l’information prendra dans le projet de transformation numérique du gouvernement. Il y a bien sur de nombreuses autres conférences et conférenciers à aller voir. Vous pouvez suivre les plus récents ajouts le site de l’événement.

 

 

Vous souhaitez assister à l’événement?

Si vous comptez participer à SéQCure, les organisateurs de l’événement vous offrent un rabais de 100$ pour y accéder, valide jusqu’au 28 mars 2019 à 23h45! Vous n’aurez qu’à ajouter le code promotionnel « SeQCure-Cyberswat-article-6574 » au moment de l’inscription.

Pour avoir tous les détails de cette journée, nous vous invitons à aller visiter le site de l’événement ou encore sa page Facebook.

Nous espérons que vous avez aimé cette entrevue et n’hésitez pas à nous contacter  si vous avez des questions, ou encore mieux, venez nous visiter à notre kiosque pendant l’événement !

On espère vous voir le 8 avril prochain!

Nouvelles règles relatives aux atteintes à la vie privée au Canada : entrevue avec une avocate spécialisée

Saviez-vous que depuis le 1er novembre 2018, de nouvelles règles relatives à la divulgation des incidents de sécurité impliquant des renseignement personnels sont entrées en vigueur au Canada? Si votre entreprise est assujettie à la législation canadienne sur la protection des renseignements personnels[1], cela vous concerne directement.

Ces règles ont un impact certain sur la gestion des entreprises. Les dirigeants doivent y être sensibilisés et s’assurer de prendre toutes les mesures nécessaires pour s’y conformer.

Pour faire le point sur ces nouvelles règles, Kateri-Anne Grenier, avocate associée spécialisée en litiges commerciaux et protection de la vie privée au cabinet Fasken, a répondu à nos questions. Voici tout ce que nous avons appris lors de cette entrevue.

 

Kateri-Anne, avant d’aller plus loin sur les récents changements législatifs, pouvez-nous nous en dire plus sur votre parcours?

Je suis diplômée de la faculté de droit à l’Université de Laval, et membre du Barreau depuis 2002. Lorsque la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques (LPRPDE) est entrée en vigueur au début des années 2000, on a observé un essor dans le domaine de la protection de la vie privée au Canada et une prise de conscience, chez les citoyens et les entreprises, de l’importance d’assurer la protection des renseignements personnels.

Cet essor, accompagné d’importants développements technologiques, a aussi vu naître la loi anti-pourriels (début des années 2010). Dès le début des années 2010, le parlement fédéral a reconnu l’importance de mettre à jour la LPRPDE, de l’adapter aux réalités du monde des affaires et du commerce électronique. Le Canada a toujours, également, souhaité se positionner comme leader et conserver une équivalence juridique avec l’Europe vu l’importance du transfert de données à l’international.

Après plusieurs années de travaux, des amendements à la LPRPDE ont été adoptés, complétés par des règlements. Cette dernière phase réglementaire introduit la déclaration obligatoire des atteintes aux mesures de sécurité. Les incidents de cyber sécurité (intrusions, vol de données, demandes de rançon, fraudes) sont en constante croissance et touchent de plus en plus d’entreprises. Dans le cadre de ma pratique, j’interviens fréquemment dans le feu de l’action pour conseiller des entreprises qui subissent des cyber-attaques.

Je travaille également en amont pour amener les entreprises à se structurer et élaborer leur plan de réponse en cas d’attaque ou d’incidents. Elles doivent avoir les bons réflexes lorsqu’elles sont confrontées à des incidents de sécurité. Comme spécialiste des litiges, je les aide aussi à se prémunir et se défendre contre des recours en responsabilité découlant de leur gestion des renseignements personnels, incluant des recours collectifs.

 

Entrons maintenant dans le vif du sujet : pouvez-vous nous parler des nouvelles règles applicables aux entreprises canadiennes dans le cadre d’atteintes aux mesures de sécurité?

Ces nouvelles règles ont été introduites par des amendements à la LPRPDE en 2015 (Projet de loi S4), et complétées par un long processus d’adoption de règlements, ce qui a repoussé leur entrée en vigueur au 1er novembre 2018.

En vertu de ces dispositions, les organisations sont tenues d’informer (1) les personnes visées et (2) le Commissariat à la protection de la vie privée du Canada des atteintes à la vie privée, dans certaines circonstances précises.

À moins d’une interdiction prévue dans la loi, l’organisation doit aviser les personnes visées et déclarer les atteintes à la protection des données personnelles au Commissariat dès que possible, en respectant les modalités prescrites, s’il est raisonnable de croire que l’atteinte présente « un risque réel de préjudice grave à l’endroit d’un individu ».

La définition de « préjudice grave » aux termes de la LPRPDE comprend, parmi d’autres préjudices, l’humiliation, le dommage à la réputation ou aux relations, le vol d’identité, des pertes financières, atteinte au dossier de crédit, possibilité de perte d’emploi etc.

Afin de déterminer s’il existe un « risque réel », il faut considérer le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements soient utilisés de manière abusive et tout autre élément prescrit. Le Règlement n’identifie aucun autre facteur, toutefois le Commissariat a publié des lignes directrices à cet égard.

Lorsqu’un incident se produit, il faut prendre en compte le degré de sensibilité des données en jeu, ainsi que la probabilité que ces dernières puissent être utilisées à mauvais escient.

Il s’agit aussi de comprendre l’origine de l’incident : est-ce un acte volontaire, quel individu aurait pu se saisir des renseignements et à quelles fins? Si la victime peut agir afin de réduire les risques, cela penche en faveur d’une divulgation rapide, le but ultime étant toujours de minimiser au maximum les répercussions possibles pour la personne et aussi, de garder le lien de confiance entre l’entreprise, sa clientèle, ses employés et le public. Une atteinte aux mesures de sécurité peut toucher tout le monde, même des entreprises qui ont mis en place des systèmes de défense sophistiqués et qui ne sont pas négligentes dans leur gestion des renseignements personnels. Les pirates informatiques ont recours, dans certains cas, à des technologies capables de déjouer les systèmes de défense, et il ne faut pas oublier le facteur humain : un seul employé qui clique sur une pièce jointe d’un courriel contaminé peut offrir une porte d’entrée à un virus. Dans la majorité des cas, les entreprises ont tout intérêt à faire face à la situation de manière proactive et transparente.

Afin de ne pas créer de vague de panique ou laisser place aux spéculations, il est recommandé, avant de faire des déclarations publiques ou de notifier les autorités, d’être en possession des faits et d’avoir établi une voie de passage vers une solution. Les avocats spécialisés et les experts en sécurité jouent un rôle actif dans l’investigation, de manière à pouvoir ensuite identifier les risques, orienter les actions stratégiques à poser et effectuer les divulgations requises.

 

Que risque-t-on si l’on ne se conforme pas à la législation?

La loi prévoit des seuils de pénalités par la procédure sommaire (jusqu’à 10 000$) et par acte d’accusation (jusqu’à 100 000$).

Les textes réfèrent à une intention de commettre une infraction, ce qui sera sujet à interprétation.

Toutefois, au-delà de ces sanctions prévues dans la loi, nous avisons nos clients qu’ils doivent avant tout considérer le risque d’interruption d’affaires, de perte de clientèle et de recours civils, notamment la possibilité pour les victimes d’une atteinte à la vie privée d’utiliser la procédure de recours collectif. Les risques financiers et réputationnels sont alors très importants. La réaction d’une entreprise face à une cyber-attaque aura une importance capitale vis-à-vis ses clients et face au public.

 

Certaines provinces telles la Colombie-Britannique, l’Alberta et le Québec disposent déjà de lois équivalentes en matière de protection de la vie privée qui remplace l’application de la législation fédérale en matière de vie privée. Les entreprises œuvrant dans ces juridictions sont-elles concernées?

Les entreprises fédérales, notamment les banques, certaines entreprises de télécommunications ou agissant dans un secteur d’activité en lien avec le transport maritime, aérien ou encore les stations de radio diffusion, même si elles œuvrent uniquement au Québec, sont assujetties d’office à ces règles.

Quant aux autres entreprises, il subsiste encore un certain flou quant à l’application de ces règles vu la législation provinciale spécifique. Par contre, une entreprise qui a des activités à l’extérieur du Québec qui impliquent la collecte, la détention ou la communication des renseignements personnels à l’extérieur du Québec sera vraisemblablement soumise à ces règles, minimalement pour les situations visant ces renseignements personnels.

 

Doit-on avertir la police?

La loi oblige la divulgation au Commissariat fédéral à la protection de la vie privée du Canada. L’opportunité d’enclencher une enquête policière en parallèle de l’incident doit être évaluée au cas par cas.  On va alors tenir compte de plusieurs facteurs tels la nature de l’incident, le temps dont dispose l’entreprise pour solutionner la difficulté et l’impact de la démarche sur la réduction ou l’atténuation du préjudice qui pourrait être causé aux personnes concernées. Soulignons aussi que ces nouvelles mesures obligent de donner avis à toute autre organisation ou institution gouvernementale, si tel avis peut réduire le risque de préjudice pouvant résulter de l’atteinte ou atténuer ce préjudice.

Pour résumer, quelles mesures pratiques les entreprises peuvent-elles mettre en place pour se conformer aux nouvelles règles entrées en vigueur le 1er novembre?

Les entreprises assujetties doivent savoir qu’elles sont maintenant obligées de tenir un registre relatif aux atteintes aux mesures de sécurité pendant au moins 24 mois suivant la date à laquelle l’entreprise conclut que l’atteinte a eu lieu. Noter que cette exigence s’applique à toutes les attaques et non seulement à celles qui ont nécessité une divulgation, vu l’existence d’un risque réel de préjudice grave. Dans tous les cas, les informations contenues au registre doivent permettre au Commissariat de savoir quelles atteintes ont fait l’objet de divulgation et en l’absence de telle divulgation, les motifs au soutien. Le Commissariat peut demander la communication du registre, entamer une enquête, demander un audit et même rendre le registre public si l’intérêt public l’exige.

Nous invitons aussi les entreprises à se positionner sur l’application de ces règles par rapport aux renseignements personnels qu’elles collectent, détiennent ou communiquent. Elles devraient aussi évaluer leur capacité de détection des incidents. Des firmes spécialisées peuvent mener des tests d’intrusion et il nous est arrivé de mener une opération de simulation d’incident de A à Z pour des clients afin de les conseiller en sécurité informatique. Au-delà de l’aspect technologique, la formation des employés est très importante. Les entreprises devraient en profiter pour mettre à mettre à jour leurs plans d’intervention en cas d’incidents et revoir leurs ententes avec leurs fournisseurs lorsqu’elles confient la gestion de renseignements personnels à l’externe. Finalement, nous leur conseillons de réviser et comprendre leur couverture d’assurance actuelle en matière de cyber risques. Cela leur permettra de déterminer si celle-ci les couvre adéquatement pour les coûts qui découleront des obligations imposées par les nouvelles règles de divulgation.

Il est très important de s’entourer à l’avance des bons spécialistes : cabinet d’avocats, firme en cybersécurité de gestion d’incident, firme de communication et assureur.

 

Notre entrevue vous a interpellé et vous souhaitez en savoir plus? N’hésitez pas à nous contacter ou encore à contacter Kateri-Anne Grenier.

Pour une analyse détaillée des nouvelles règles et répercussions à l’intention des entreprises en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), vous pouvez consulter le bulletin intitulé Nouvelles règles importantes en matière de déclaration obligatoire d’atteinte à la vie privée et de tenue de registres au Canada.

 

Si vous souhaitez mettre en place ou renforcer vos actions de préventions de risques en cybersécurité, nous sommes là pour vous conseiller. Contactez-nous dès maintenant.

[1] Loi sur la protection des renseignements personnels et les documents électroniques

Catégorisation des actifs: la recette pour bien évaluer la valeur de votre entreprise

Aujourd’hui, nous aimerions vous parler d’un de nos sujet préférés car il fait vraiment partie des incontournables en matière de sécurité informatique : la catégorisation des actifs.

Pour vous offrir la meilleure compréhension possible, Martin M. Samson, consultant en conformité et sécurité chez Groupe Cyberswat, a accepté de faire un survol du sujet. Cette entrevue a donc pour but de vous informer sur la catégorisation des actifs, ce qu’elle signifie, les grands principes, et son importance en matière de sécurité de l’information.

Pour débuter, nous aimerions vous présenter davantage Martin.

Martin est un professionnel en sécurité et bien connu du marché québécois, CGEIT, CISM, CRISC et ISO 27001 lead auditor. Il possède une vaste expérience en gestion de projets informatiques.
Il est de plus très familier avec les contextes de l’organisation privée, gouvernementale et bancaire, et est titulaire d’un diplôme universitaire de 2e cycle à la faculté d’administration de l’Université de Sherbrooke en «Gouvernance, audit et sécurité des technologies de l’information».

En bref, on peut dire que la sécurité de l’information en entreprise, c’est vraiment sa tasse de thé. Voici donc ce qu’il a à nous dire sur la catégorisation des actifs.

Martin, peux-tu nous parler un peu des projets dans lesquels tu as été impliqué au cours des dernières années?

J’ai travaillé, dans les dernières années, auprès de plusieurs clients sur des mandats en lien direct avec la catégorisation des actifs. Mon rôle a été d’implémenter ou d’améliorer/optimiser les méthodes de catégorisation des actifs, afin que la gestion de la sécurité soit plus rentable pour les entreprises.

J’ai aussi participé à l’élaboration d’un système de catégorisation des actifs très novateur dans le domaine du transport.

En terme de taille d’entreprises, j’ai surtout travaillés avec des grandes entreprises. Il y a cependant un projet chez Cyberswat visant à simplifier la façon de catégoriser l’information afin que le tout soit réalisable également en PME.

Peux-tu maintenant nous aider à définir cette notion qu’est la catégorisation des actifs?

 La catégorisation des actifs représente la base de la sécurité de l’information. C’est grâce à elle que l’on va réussir à investir le budget de sécurité de façon adéquate. En réalisant cette catégorisation, on identifie les systèmes et données qu’ils contiennent et les classer par ordre d’importance. Les plus importants, surnommés les « Crown Jewells », doivent être très sécurisés.

Il faut savoir aussi que les systèmes et données les plus importants qui doivent être protégés en priorité varient d’une entreprise à une autre. On n’accorde pas la même importance aux mêmes données que l’on soit une PME ou une grande entreprise par exemple. Il y aura également des ajustements selon le type de produit ou service que l’on vend. Les aspects légaux de chaque PME peut faire varier les besoins de sécurisation. C’est pourquoi ils doivent être tenus en compte lors de l’exercice de catégorisation.

Quels sont les grands principes reliés à la catégorisation des actifs?

Le premier principe serait de regarder les données en terme de Disponibilité, Intégrité, Confidentialité (DIC), et évaluer les conséquences à prévoir si ces critères de données n’étaient pas remplis. On va se demander par exemple : que se passerait-il si ma donnée n’était plus intègre/confidentielle/disponible? L’entreprise risquerait-elle des poursuites? Un compétiteur serait-il en possession d’information lui donnant un avantage?

Voici un exemple de la manière dont on peut présenter la cote de catégorisation en fonction des trois composantes de la sécurité :

On attribue alors un code à chaque système de données qui va l’identifier selon son importance et les composantes DIC (1 pour le moins important, 4 pour un système ayant un impact très élevé). Chaque code donne une indication sur les mesures à prendre pour arriver au niveau de sécurité adéquat. Plus la cote de catégorisation sera élevée, plus on voudra mettre en place des mécanismes de sécurité qui permettront de protéger l’actif adéquatement.

Exemple de cote de Catégorisation :

On va aussi établir des paramètres minimaux de sécurité nécessaires si un nouveau système est mis en place afin de s’assurer que les données de ce dernier soient bien sécurisées dès le départ.

Enfin, le dernier principe est de s’assurer que la méthode soit reproductible. On s’assure ainsi que la catégorisation des actifs soit faite de manière uniforme dans tous les systèmes.

Est-ce important de faire une catégorisation des actifs avant l’analyse de risques?

 En un mot : oui!

Une bonne catégorisation des actifs est vraiment à la base de la sécurité de l’information. Pour pouvoir investir là où c’est le plus rentable et nécessaire, il faut exécuter cette catégorisation au préalable. Sinon, le risque global augmente et les pertes monétaires pourraient être élevées en cas d’incident.

En catégorisant les actifs au départ, on permet d’investir à la bonne place. Ainsi, on minimise les risques et on réduit les coûts d’analyse de risques.

Qui dans l’organisation est responsable d’évaluer la valeur des systèmes et données qu’ils contiennent?

C’est au propriétaire des systèmes de réaliser une évaluation DIC. Une fois cette étape complétée, elle sera validée par le responsable de la sécurité de l’information. Ce dernier se doit de garder un registre centralisé (registre d’autorité).  Le registre d’autorité regroupe tous les systèmes de l’entreprise avec le code DIC qui y est rattaché.

La catégorisation des actifs est un outil de sécurité « vivant ». Il faudrait la mettre à jour à chaque phase de développement d’un système (ex : migration de données sur le Cloud). Elle doit évoluer en même temps que les systèmes.

Pour conclure, la catégorisation des actifs permet d’établir la valeur des systèmes et des données qui y sont contenues. Il apparait en effet impossible de protéger quelque chose adéquatement si au départ on n’a aucune idée de sa valeur!

Et si la protection comporte des failles, c’est là qu’on s’expose à des coûts à court, moyen et long terme.

Si vous souhaitez à votre tour mettre en place ou optimiser une méthode de catégorisation des actifs pour votre entreprise, contactez-nous!

Enfin, nous vous annonçons en avant-première que Martin sera présent en tant que conférencier le 7 juin prochain, lors de l’événement IT Connect du Champlain College Saint-Lambert. On vous en reparlera davantage au cours des prochains mois!

Hackfest 2018 – Entrevue avec le cofondateur Patrick Rousseau Mathieu

Cyberswat sera partenaire Or lors du Hackfest​, du 2 au 4 novembre 2018. Cela fait déjà plusieurs années que Cyberswat participe à cet événement qui est très important pour nous.

Pour l’occasion, nous avons rencontré le cofondateur Patrick Rousseau Mathieu afin qu’il explique dans ses mots pourquoi le Hackfest est un incontournable dans le milieu québécois de la sécurité de l’information et en quoi l’édition de cette année se démarquera des précédentes.

Spécialisé en sécurité applicative, Patrick s’implique dans le domaine de la sécurité informatique depuis plusieurs années, anime de multiples conférences sur la sécurité du Web et gère l’équipe réalisant les tests d’intrusion à Duo Security. Avec tout ça, il prend le temps de s’occuper de l’événement du Hackfest depuis maintenant 10 ans.

Qu’est-ce qu’est le Hackfest et en quoi est-ce que cet événement se démarque?

Le Hackfest est un organisme sans but lucratif et le plus grand événement en sécurité informatique au Canada. Cette année, on attend plus de 1000 personnes sur place! Il y a d’abord des conférences sur tous les sujets d’actualité du moment. Et puis, il y a les compétitions qui ont fait la renommée de l’événement. Chaque soir, les participants entrent en action et peuvent tester différentes failles des entreprises. En revanche, ce n’est pas juste ça. Le Hackfest, c’est aussi des rencontres mensuelles, un événement en juin et finalement, un podcast en français ouvert à tous, même aux moins initiés. L’émission traite de nouvelles de la sécurité et vulgarise certains sujets sensibles. L’ensemble de ces activités fait en sorte que le Hackfest se démarque des autres événements de sécurité.

Quelle est l’importante des partenaires comme Cyberswat pour vous aider à financer l’événement?

Comme l’événement est géré par un organisme sans but lucratif, un gros pourcentage de notre rentabilité passe par l’aide des partenaires, surtout si on veut que l’entrée reste accessible à la communauté. Par contre, ce n’est pas un spectacle de fournisseurs comme on peut le voir dans d’autres gros événements. Les partenaires ne sont pas là pour afficher leurs gros kiosques; ils sont là, car ils veulent montrer qu’ils font partie de la communauté et cela donne toute une autre ambiance. On ne trouve pas que de grosses entreprises, mais bien des organisations locales qui ont vraiment à cœur de s’impliquer pendant ces 3 jours. D’ailleurs, on en voit souvent plusieurs qui participent aux concours de piratage. Ils ne sont pas là juste pour la publicité.

Est-ce qu’il y a une thématique particulière cette année? Quelles sont les conférences à ne pas manquer?

Cette année, on célèbre nos 10 ans. Donc c’est sûr que tout au long de l’événement, on va mettre en avant la décennie qui vient de se passer avec des jeux rétro et un historique du Hackfest depuis le début. On va aussi animer une conférence au début de l’évènement qui reviendra sur l’origine du Hackfest. Le reste de l’événement restera libre par contre. On n’oblige pas les conférenciers à parler de certains sujets.

Pour ce qui est des conférences à ne pas manquer, je pourrais en nommer trois :

 

Selon vous, quelles sont les principales raisons pour que les entreprises et employés viennent au Hackfest?

Je pense que c’est avant tout pour apprendre. On peut y observer toutes sortes de techniques et on écoute des conférences sur des sujets vraiment variés.

Le Hackfest, c’est également important pour rencontrer les personnes de l’industrie. Du côté recrutement, c’est sûr que c’est gagnant d’être sur place. Et en général, c’est toujours plaisant de rencontrer des gens du même milieu que soi, échanger sur des sujets qui te concernent, etc.

Ce n’est pas juste réservé aux experts techniques. On voit de plus en plus de profils variés du gouvernement et de grandes entreprises. Ils veulent être préparés. On aimerait aller chercher plus de PME qui ne sont peut-être pas encore assez sensibilisées aux risques pour venir dans ce genre d’événements.

Cette année, on pousse encore plus loin le concept de « villages », c’est-à-dire des zones de démonstration sur des thématiques précises. Il y a aura six villages en tout :

  • Ingénierie sociale
  • Réalité virtuelle
  • Internet des objets
  • RFID
  • Soudure
  • Serrure

Ce sont des emplacements thématiques où les participants peuvent se mesurer à divers défis fournis gratuitement par l’organisation du village, dans un grand esprit de collaboration.

Pour terminer, pouvez-vous nous en dire plus sur les concours sur place?

Les concours organisés sont vraiment quelque chose à voir, même si vous ne participez pas. Il y a un DJ sur place, des tables de poker et de blackjack… L’ambiance est unique. Cette année, on rajoute un défi pour nos 10 ans : il faudra trouver les failles les plus connues des 10 dernières années!

Sinon, le concours le plus grand public, c’est probablement celui sur l’ingénierie sociale. Sur scène, devant tout le monde, les participants doivent appeler de vraies entreprises et trouver des informations critiques. Ce sont des informations qui apparaissent mineures, mais mises ensemble, elles sont la clef pour accéder à quelque chose de plus gros. L’ingénierie sociale représente encore un gros défi de conscientisation.

 

À Cyberswat, nous avons bien hâte d’assister au Hackfest. En plus sur place, nous vous réservons un super concours dédié aux spécialistes en sécurité qui vous permettra d’aller assister au prochain Defcon à Las Vegas. Vous trouverez les règlements du concours directement sur place lors de l’évènement. N’oubliez surtout pas de venir nous rencontrer à notre kiosque, pour en savoir plus. En attendant, saviez-vous que nous offrions une multitude d’opportunités à salaire compétitif dans le domaine?  Cliquez vite ici pour comprendre pourquoi vous devriez absolument venir travailler à CyberSwat!

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.