Sécurité 101 pour les courtiers

le 21 juin 2016

Accroître la sensibilisation des membres du

CSIO à la sécurité

Explorer les audits de sécurité

Composantes clés

Bénéfices

Cours accrédité par la ChAD -

Objectif

Définir certains des principaux termes du domaine de la

sécurité

Analyser l’environnement actuel de la cybermenace

Donner des conseils rapides – Comment se protéger

Aller plus loin que les notions élémentaires : audits de

sécurité

De quoi s’agit-il?

Pourquoi en effectuer?

Exemple du CSIO

Questions

Au programme

Présentateurs du

Webinaire TSX

Bruno Fortin Président, J. Gérard Fortin & Associés

Membre, Conseil d’administration du

CSIO

Hans Gantzkow Architecte principal

CSIO

D’après l’entreprise de sécurité numérique Gemalto, les compagnies

canadiennes ont dû faire face à au moins 59 atteintes à la sécurité des

données mettant en cause plus de 40 millions de fichiers en 2015.

Chaque seconde, les cybercriminels lancent 3,5 nouvelles menaces

ciblant les petites et moyennes entreprises (Canadian Lawyer).

Dans un sondage mené par Forrester en 2015, seulement 55 % des

Canadiens ont indiqué qu’ils estiment que leurs fournisseurs de services

financiers sont déterminés à protéger leur sécurité personnelle et leur

sécurité.

Statistiques intéressantes en

matière de sécurité

Logiciel malveillant

Il s’agit de logiciels qui sont installés et exécutés à votre insu ou sans

votre consentement.

Catégorie générale : inclut les virus, les chevaux de Troie, les vers, les

espiogiciels et les rançongiciels (ransomware).

Les logiciels malveillants sont susceptibles d’endommager l’ordinateur

ou de le rendre inopérant.

Ils compromettent le rendement de votre système.

Courriel d’hameçon

Envoyé de façon anonyme par courriel à un destinataire qui n’en fait

pas la demande et qui ne souhaite pas le recevoir, et habituellement

distribué en masse.

Le courriel hameçon est un type de pourriel qui se fait passer pour une

organisation digne de foi dans le but de demander des renseignements

personnels.

Les auteurs profitent souvent d’événements contemporains et de

certaines époques de l’année.

Piratage psychologique La menace la plus importante pour les organisations

aujourd’hui.

Le pirate tire profit d’une interaction humaine et (ou)

d’habiletés sociales pour obtenir des renseignements.

D’apparence discrète, respectable, authentique, crédible.

Environnement actuel de la

cybermenace

Logiciel malveillant

Source : Symantec : GRANDES CONCLUSIONS DU RAPPORT DE 2015 SUR LA

MENACE CONTRE LA SÉCURITÉ INTERNET

En 2014, Symantec a constaté que 70 pour cent des

arnaques dans les médias sociaux avaient été

communiquées manuellement, ce qui signifie que les

cybercriminels amènent, par la ruse, les gens à arnaquer

leurs amis.

Arnaques dans les

médias sociaux

Les conditions étaient réunies pour que le monde mobile subisse une attaque,

car nombreuses sont les personnes qui n’associent les cybermenaces qu’à

leurs ordinateurs portables et qui négligent de prendre des précautions ne

serait-ce que de base en matière de sécurité sur leurs téléphones intelligents.

En 2014, Symantec a constaté que 17 pour cent de toutes les applications

pour le système Android (près d’un million au total) étaient en réalité des

maliciels. En outre, les applications « grayware », dont l’intention n’est pas

malveillante mais qui font des choses ennuyantes et involontairement

préjudiciables, comme suivre le comportement de l’utilisateur, représentaient

36 pour cent de toutes les applications mobiles.

Mobile

Un utilisateur sur quatre a admis qu’il ignore à quoi il a consenti à

donner accès sur son téléphone lorsqu’il télécharge une application.

68 % des utilisateurs étaient disposés à échanger la protection de

leurs renseignements personnels contre rien de plus qu’une application

gratuite.

Utilisateurs d’appareils

mobiles

Vulnérabilités « zero-day »

Heartbleed

Le bogue de sécurité Heartbleed, qui a été révélé en avril 2014, a eu une

incidence sur de nombreuses entreprises, dont l’Agence du revenu du Canada,

qui a confirmé qu’au moins 900 numéros d’assurance sociale avaient été

compromis. L’attaque a exploité un protocole de sécurité normalisé et courant

qui n’avait pas été mis en application correctement ni maintenu au moyen des

mises à jour et correctifs les plus récents.

Aujourd’hui, la plupart des sites Web ont réussi à corriger le bogue Heartbleed

et ainsi à éliminer les vulnérabilités. Le Heartbleed a permis de tirer la leçon

suivante : il faut absolument appliquer régulièrement des correctifs à

l’infrastructure (et non seulement au site Web) – ceux qui ne le font pas

continuent de s’exposer à un risque.

Automobiles connectées à

Internet

La correction des vulnérabilités ne se limite plus aux systèmes

informatiques de base; les choses changent en raison de l’Internet des

objets (IO).

Les chercheurs dans le domaine de la sécurité ont démontré en juillet

2015 qu’ils pourraient attaquer à distance un Jeep Cherokee de 2014 et

ainsi en désactiver la transmission et les freins.

« Lorsque vous appliquez la technologie à des choses qui n’en ont jamais

été dotées auparavant, vous devez faire face à des obstacles en matière

de sécurité auxquels vous n’aviez pas songé auparavant ». Source : WIRED

Url : https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/

Atteintes à la sécurité des

données dignes de mention en

2015

CareFirst BlueCross BlueShield

Atteinte découverte dans le cadre d’un examen de la sécurité. Au total, les noms, dates de naissance, adresses électroniques et renseignements d’inscription de 1,1 million de membres ont été compromis, mais le chiffrement des mots de passe des membres a empêché les cybercriminels d’avoir accès à des numéros de sécurité sociale et à des renseignements sur des demandes de remboursement des frais médicaux, sur l’emploi, sur des cartes de crédit et financiers.

Army National Guard L’atteinte à la sécurité des données que la Garde nationale (Army National Guard) a subie au mois de juillet est le résultat d’un transfert de données effectué irrégulièrement par un employé contractuel à l’intention d’un centre de données non accrédité. L’atteinte pourrait avoir exposé les numéros de sécurité sociale, les adresses résidentielles et d’autres renseignements personnels de 850 000 membres actuels et passés de la Garde nationale. Cela fait ressortir combien il est important de mettre en place des pratiques rigoureuses en matière de sécurité pour faire face aux menaces internes, y compris celles que posent les entrepreneurs tiers.

Ashley Madison Lorsque le site Internet qui fait la promotion d’aventures extraconjugales a été attaqué, les pirates ont publié les noms et les adresses électroniques de millions d’utilisateurs d’Ashley Madison. 37 000 000 d’utilisateurs ont été touchés.

Cause fondamentale : utilisation de mots de passe faibles par les développeurs et les utilisateurs.

NSA (en fait, cela s’est produit en 2013)

Edward Snowden, un ancien sous-

entrepreneur de l’Agence nationale de sécurité,

a fait la manchette en 2013, lorsqu’il a divulgué

des renseignements très secrets sur les

activités de surveillance de la NSA.

Snowden « pourrait avoir convaincu entre 20 et

25 de ses collègues » de lui remettre leurs

ouvertures de session et leurs mots de passe

« en leur disant qu’il en avait besoin pour faire

son travail comme administrateur des systèmes

informatiques ».

Leçons tirées : Accorder les habilitations

d’utilisateurs de façon appropriée et les tenir à

jour.

Il est nécessaire de gérer et de surveiller les

utilisateurs qui détiennent des privilèges.

Cibles et menaces

Cibles Menaces

Noms, adresses, numéros de cartes de crédit

des consommateurs

Pirates/cybercriminels

PI, stratégies, données financières Des compétiteurs

Noms, salaires et rôles des employés Consommateurs insatisfaits

Stratégies, plans de projets, PI Terroristes

Biens, ordinateurs, ordinateurs portables,

dossiers

États/gouvernements

Atteintes à la réputation Crime organisé

Employés/partenaires commerciaux

Conseils rapides – Comment se

protéger

Logiciel malveillant

Ne pas télécharger le contenu de sites Web

douteux ou inconnus.

Éviter ou surveiller de près les téléchargements

effectués sur les réseaux P à P. Ne pas utiliser les

réseaux P à P au travail.

Tenir les programmes antivirus à jour.

Protection

Pourriel/courriel d’hameçon

Se méfier des courriels qui demandent des renseignements

confidentiels – surtout des renseignements financiers. Les organisations

légitimes ne demanderont jamais de renseignements de nature délicate

par courriel.

Ne pas se laisser convaincre par des pressions de fournir des

renseignements personnels. Les auteurs de courriels hameçons aiment

faire peur et pourraient menacer de désactiver un compte ou de retarder

la prestation de services jusqu’à ce que vous mettiez à jour certains

renseignements. Veillez à communiquer avec le commerçant

directement pour confirmer l’authenticité de sa demande.

Protection

Pourriel/courriel d’hameçon

Avoir à l’œil les demandes de renseignements

d’apparence générique. Les courriels frauduleux sont

souvent non personnalisés, alors que les courriels

authentiques qui proviennent de votre banque renvoient

souvent à un compte que vous avez auprès de

l’établissement. De nombreux courriels hameçons

commencent par « Monsieur, Madame », et certains

proviennent d’une banque où vous n’avez pas de compte.

5.Never submit confidential information via forms

embedded within email messages. Senders are

often able to track all information entered.

6.Never use links in an email to connect to a

website unless you are absolutely sure they are

authentic. Instead, open a new browser window and

type the URL directly into the address bar. Often a

phishing website will look identical to the original -

look at the address bar to make sure that this is the

case.

7.Make sure you maintain effective software to

combat phishing. Norton™ Internet Security

automatically detects and blocks fake websites. It

also authenticates major banking and shopping

sites.

Protection

Piratage psychologique

Se méfier des courriels, messages instantanés et appels

téléphoniques provenant de personnes non sollicitées,

comme des fournisseurs de services. Vérifier la source du

message avant de fournir des renseignements.

Procéder lentement et prêter une vive attention aux petits

détails. Ne jamais laisser l’urgence du message du pirate

vous embrouiller le jugement.

Protection

Autres conseils

Rejeter les demandes de soutien technique en ligne par des étrangers,

aussi légitimes puissent-ils paraître.

Sécuriser votre espace informatique au moyen d’un pare-feu efficace

et d’un logiciel antivirus à jour, et régler à « élevé » les filtres

antipourriels.

Corriger les logiciels et les systèmes d’exploitation pour les

vulnérabilités de jour zéro. Assurer le suivi des correctifs diffusés par

votre fournisseur de logiciels et apporter les correctifs le plus rapidement

possible.

Protection

Blocage de publicités

Les publicités sont 182 fois plus susceptibles de vous

transmettre un virus que le fait de consulter un site Web

pour adultes, d’après Cisco.

Naviguer plus rapidement : Bloquer les publicités en

ligne qui ralentissent votre fureteur Web.

Sauvegarder la largeur de bande : Les bloqueurs de

publicité sauvegardent la largeur de bande en ne

téléchargeant pas les publicités intrusives.

Protection

Audits de sécurité – aller plus

loin que les notions

élémentaires

Pourquoi effectuer un audit de sécurité

• Le seul moyen de savoir véritablement si une organisation est sécurisée tient dans la mise à l’essai. o Mesurer l’efficience des moyens de défense en place.

o Cerner les lacunes dans les moyens de défense en place.

o Commentaires pour aider à déterminer le niveau d’exposition aux risques de l’organisation.

• Faire vérifier par une deuxième personne un système informatique crucial constitue une bonne pratique en matière de sécurité.

Questions clés posées dans le cadre d’un

audit de sécurité

1. Quels sont les processus qui sont en place pour cerner et rectifier les vulnérabilités du système?

2. De quelle manière les données qui sont entreposées dans le nuage sont-elles protégées?

3. Disposons-nous d’une stratégie et d’une politique en matière de sécurité des renseignements?

4. De quelle manière pouvons-nous améliorer la gouvernance et les contrôles de la cybersécurité?

5. Disposons-nous d’un protocole de réponse visant à atténuer les dommages en cas d’une cyberattaque?

Source : Grant Thornton LLP

Composantes types d’un audit de

sécurité

• Portée

o Examen de la gouvernance/politique (document)

o Tests de pénétration (matériels/logiciels)

o Piratage psychologique (êtres humains)

• Résultat

o Rapport d’audit

Politiques clés à connaître

• 5 key policies: Clean Desk

• Password Management

• Bring your own device

• *Credit Card Handling Security

• See Cisco: http://www.cisco.com/web/about/security/intelligence/mysdn-social-engineering.html

Politiques Brève description

Gestion du mot de passe Lignes directrices, comme le nombre et le type de caractères que

chaque mot de passe doit inclure, à quelle fréquence il doit être changé,

etc.

Politique du bureau propre Établir des lignes directrices pour réduire le risque d’une atteinte à la

sécurité, d’une fraude et de vol d’information du fait que des documents

sont restés sans surveillance.

Traitement des cartes de crédit Énoncer les modalités de manutention et de traitement acceptables des

données sur le titulaire d’une carte que le CSIO utilise.

Gestion des vulnérabilités Politiques et procédures de gestion des corrections.

Politique d’acquisition, de

développement et de maintien

des systèmes

Aider à mener les efforts de planification de la sécurité au moment de

lancer un nouveau projet de TI.

Gestion des risques L’identification, l’évaluation et l’ordre de priorité des risques. Cela

consiste notamment à attribuer un degré de vraisemblance et d’impact.

Gestion des incidents Politiques visant à cerner, à analyser et à corriger des dangers pour

prévenir qu’un incident se reproduise.

Test de pénétration

• Le test de pénétration consiste à tenter d’obtenir

accès à des ressources sans connaître les noms

d’utilisateur, les mots de passe et autres moyens

d’accès ordinaires.

• Mettre à l’essai la capacité des défendeurs de

réseau de déceler les attaques et d’y répondre.

Test piratage psychologique

• Sert à mettre à l’essai ce qu’on appelle le « réseau humain » de l’organisation.

• Le test d’ingénierie sociale permet de répondre aux questions suivantes :

o Dans quelle mesure notre entreprise est-elle susceptible de subir une attaque de l’ingénierie sociale?

o Nos contrôles de sécurité matérielle nous protègent-ils contre un pirate sur place?

o Nos filtres des courriels relèvent-ils les courriels hameçons ciblés?

o La formation que nous offrons sur la sensibilisation à la sécurité est-elle efficace?

Rapport d’audit

• Un sommaire énonçant la situation de l’organisation au chapitre de la sécurité.

• Résumé des lacunes

o Source de la menace

o Probabilité d’exploitation

o Impact de l’exposition

o Mesures/correctifs recommandés

• Assurance cyber-responsabilité : La police ARCE type couvre la responsabilité pour les dommages matériels que subissent des biens matériels plutôt qu’électroniques, comme les immeubles, les véhicules et l’équipement. Pour les biens immatériels comme les données, une police distincte de cyber-responsabilité ou un avenant à la police ARCE s’appliquerait.

En savoir davantage : Créer un compte de membre du CSIO

Coin des courtiers

Plateforme consultative

Livres blancs et vidéos

Twitter: @CSIO

Courriel : info@csio.com

Ressources gratuites

pour les membres

Nous vous remercions de votre participation à notre webinaire de la série TSX!

Deux liens seront bientôt envoyés par courriel à tous les participants:

1) Webinaire enregistré

2) Questions accrédités par la ChAD

Restez à l’affût pour en savoir davantage sur le prochain TSX! Consultez CSIO.com

Programmes malveillants furtifs

Ce sont des programmes qui sont conçus pour dissimuler des

objets, comme des processus, des fichiers ou des inscriptions dans le

registre de Windows. Ce type de logiciel n’est pas malveillant en lui-

même, mais il est utilisé par les concepteurs de maliciels pour effacer

toutes leurs traces dans les systèmes infectés. Ils sont des types de

maliciels qui utilisent des programmes malveillants furtifs pour

dissimuler leur présence dans un système.

De même, ces programmes vont main dans la main avec la

nouvelle dynamique de cybercriminalité par maliciels : le maliciel

exploité afin d’en tirer des gains financiers doit nécessairement être

furtif. Les programmes malveillants furtifs permettent au maliciel de

rester dissimulé sur un ordinateur pendant beaucoup plus longtemps

sans que sa présence ne soit détectée.

Appendice – Exemples de maliciels

Exploits

Il s’agit d’une technique ou d’un programme qui exploite les lacunes au

niveau de la sécurité – une vulnérabilité - dans un certain protocole de

communication, système d’exploitation ou outil de TI.

Cette lacune donne libre accès à des activités qui peuvent causer un

fonctionnement anormal de l’application et qui peuvent être causées

intentionnellement par des utilisateurs malveillants, ce qui leur permet

d’exécuter un code à distance, de lancer des attaques de refus de services,

de divulguer des renseignements ou d’acquérir des privilèges.

Appendice – Exemples de maliciels (suite)

Logiciels publicitaires

Les logiciels publicitaires affichent des publicités associées aux produits

ou aux services offerts par le concepteur du programme ou des tierces

parties. Les logiciels publicitaires peuvent être installés de plusieurs

manières, dans certains cas sans le consentement de l’utilisateur, et

l’utilisateur connaissant ou ne connaissant pas sa fonction.

La classification de ce type de programme est controversée, car certains

considèrent qu’il s’agit d’un type d’espiogiciel. Si c’est peut-être vrai dans

une certaine mesure, les logiciels publicitaires en eux-mêmes ne sont pas

utilisés dans un but criminel, mais pour faire la publicité de produits et de

services, et l’information recueillie n’inclut pas les détails bancaires des

utilisateurs, mais les pages Web consultées ou les favoris, etc.

Appendice – Exemples de maliciels (suite)

Composeurs automatiques

De manière générale, le composeur automatique essaie d’établir une

connexion téléphonique au moyen d’un numéro facturé au tarif fort.

Toutefois, le composeur ne peut cibler que les ordinateurs qui utilisent un

modem pour se brancher à Internet, car il modifie la configuration du

téléphone et du modem , remplaçant le numéro fourni par le FSI (fournisseur

de services Internet), normalement facturé à un taux local, par un numéro à

tarif.

Ce type de maliciel disparaît graduellement, car le nombre d’utilisateurs

qui se servent de connexions par modem est à la baisse.

Appendice – Exemples de maliciels (suite)

Témoins Les témoins sont de petits fichiers enregistrés sur un ordinateur par le navigateur

lorsque des pages Web sont consultées. Les renseignements enregistrés par les

témoins ont un certain nombre d’objectifs : ils peuvent servir à personnaliser des

pages Web, à recueillir des renseignements démographiques sur les visiteurs d’une

page ou à surveiller les statistiques des bannières affichées, etc.

Ainsi, dans le cas de l’utilisateur qui consulte fréquemment une certaine page

Web, le témoin pourrait se rappeler le nom de l’utilisateur et le mot de passe utilisés

pour accéder à la page.

Les témoins ne posent pas de risque en eux-mêmes, mais l’utilisation malveillante

par d’autres logiciels pourrait menacer la protection des renseignements personnels

des utilisateurs touchés, car les témoins peuvent être utilisés pour créer des profils

d’utilisateur au moyen de renseignements dont ’utilisateur ne connaît pas l’existence,

et qui sont envoyés à des tiers.

Appendice – Exemples de maliciels (suite)