webinaire tsx « sécurité 101 pour les courtiers »
DESCRIPTION
À l’heure actuelle, les courtiers savent probablement que la sécurisation des données des clients et des compagnies devrait figurer au premier rang de leurs priorités, étant donné l’économie aujourd’hui axée sur l’information.TRANSCRIPT
Accroître la sensibilisation des membres du
CSIO à la sécurité
Explorer les audits de sécurité
Composantes clés
Bénéfices
Cours accrédité par la ChAD -
Objectif
Définir certains des principaux termes du domaine de la
sécurité
Analyser l’environnement actuel de la cybermenace
Donner des conseils rapides – Comment se protéger
Aller plus loin que les notions élémentaires : audits de
sécurité
De quoi s’agit-il?
Pourquoi en effectuer?
Exemple du CSIO
Questions
Au programme
Présentateurs du
Webinaire TSX
Bruno Fortin Président, J. Gérard Fortin & Associés
Membre, Conseil d’administration du
CSIO
Hans Gantzkow Architecte principal
CSIO
D’après l’entreprise de sécurité numérique Gemalto, les compagnies
canadiennes ont dû faire face à au moins 59 atteintes à la sécurité des
données mettant en cause plus de 40 millions de fichiers en 2015.
Chaque seconde, les cybercriminels lancent 3,5 nouvelles menaces
ciblant les petites et moyennes entreprises (Canadian Lawyer).
Dans un sondage mené par Forrester en 2015, seulement 55 % des
Canadiens ont indiqué qu’ils estiment que leurs fournisseurs de services
financiers sont déterminés à protéger leur sécurité personnelle et leur
sécurité.
Statistiques intéressantes en
matière de sécurité
Logiciel malveillant
Il s’agit de logiciels qui sont installés et exécutés à votre insu ou sans
votre consentement.
Catégorie générale : inclut les virus, les chevaux de Troie, les vers, les
espiogiciels et les rançongiciels (ransomware).
Les logiciels malveillants sont susceptibles d’endommager l’ordinateur
ou de le rendre inopérant.
Ils compromettent le rendement de votre système.
Courriel d’hameçon
Envoyé de façon anonyme par courriel à un destinataire qui n’en fait
pas la demande et qui ne souhaite pas le recevoir, et habituellement
distribué en masse.
Le courriel hameçon est un type de pourriel qui se fait passer pour une
organisation digne de foi dans le but de demander des renseignements
personnels.
Les auteurs profitent souvent d’événements contemporains et de
certaines époques de l’année.
Piratage psychologique La menace la plus importante pour les organisations
aujourd’hui.
Le pirate tire profit d’une interaction humaine et (ou)
d’habiletés sociales pour obtenir des renseignements.
D’apparence discrète, respectable, authentique, crédible.
Logiciel malveillant
Source : Symantec : GRANDES CONCLUSIONS DU RAPPORT DE 2015 SUR LA
MENACE CONTRE LA SÉCURITÉ INTERNET
En 2014, Symantec a constaté que 70 pour cent des
arnaques dans les médias sociaux avaient été
communiquées manuellement, ce qui signifie que les
cybercriminels amènent, par la ruse, les gens à arnaquer
leurs amis.
Arnaques dans les
médias sociaux
Les conditions étaient réunies pour que le monde mobile subisse une attaque,
car nombreuses sont les personnes qui n’associent les cybermenaces qu’à
leurs ordinateurs portables et qui négligent de prendre des précautions ne
serait-ce que de base en matière de sécurité sur leurs téléphones intelligents.
En 2014, Symantec a constaté que 17 pour cent de toutes les applications
pour le système Android (près d’un million au total) étaient en réalité des
maliciels. En outre, les applications « grayware », dont l’intention n’est pas
malveillante mais qui font des choses ennuyantes et involontairement
préjudiciables, comme suivre le comportement de l’utilisateur, représentaient
36 pour cent de toutes les applications mobiles.
Mobile
Un utilisateur sur quatre a admis qu’il ignore à quoi il a consenti à
donner accès sur son téléphone lorsqu’il télécharge une application.
68 % des utilisateurs étaient disposés à échanger la protection de
leurs renseignements personnels contre rien de plus qu’une application
gratuite.
Utilisateurs d’appareils
mobiles
Heartbleed
Le bogue de sécurité Heartbleed, qui a été révélé en avril 2014, a eu une
incidence sur de nombreuses entreprises, dont l’Agence du revenu du Canada,
qui a confirmé qu’au moins 900 numéros d’assurance sociale avaient été
compromis. L’attaque a exploité un protocole de sécurité normalisé et courant
qui n’avait pas été mis en application correctement ni maintenu au moyen des
mises à jour et correctifs les plus récents.
Aujourd’hui, la plupart des sites Web ont réussi à corriger le bogue Heartbleed
et ainsi à éliminer les vulnérabilités. Le Heartbleed a permis de tirer la leçon
suivante : il faut absolument appliquer régulièrement des correctifs à
l’infrastructure (et non seulement au site Web) – ceux qui ne le font pas
continuent de s’exposer à un risque.
Automobiles connectées à
Internet
La correction des vulnérabilités ne se limite plus aux systèmes
informatiques de base; les choses changent en raison de l’Internet des
objets (IO).
Les chercheurs dans le domaine de la sécurité ont démontré en juillet
2015 qu’ils pourraient attaquer à distance un Jeep Cherokee de 2014 et
ainsi en désactiver la transmission et les freins.
« Lorsque vous appliquez la technologie à des choses qui n’en ont jamais
été dotées auparavant, vous devez faire face à des obstacles en matière
de sécurité auxquels vous n’aviez pas songé auparavant ». Source : WIRED
Url : https://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
CareFirst BlueCross BlueShield
Atteinte découverte dans le cadre d’un examen de la sécurité. Au total, les noms, dates de naissance, adresses électroniques et renseignements d’inscription de 1,1 million de membres ont été compromis, mais le chiffrement des mots de passe des membres a empêché les cybercriminels d’avoir accès à des numéros de sécurité sociale et à des renseignements sur des demandes de remboursement des frais médicaux, sur l’emploi, sur des cartes de crédit et financiers.
Army National Guard L’atteinte à la sécurité des données que la Garde nationale (Army National Guard) a subie au mois de juillet est le résultat d’un transfert de données effectué irrégulièrement par un employé contractuel à l’intention d’un centre de données non accrédité. L’atteinte pourrait avoir exposé les numéros de sécurité sociale, les adresses résidentielles et d’autres renseignements personnels de 850 000 membres actuels et passés de la Garde nationale. Cela fait ressortir combien il est important de mettre en place des pratiques rigoureuses en matière de sécurité pour faire face aux menaces internes, y compris celles que posent les entrepreneurs tiers.
Ashley Madison Lorsque le site Internet qui fait la promotion d’aventures extraconjugales a été attaqué, les pirates ont publié les noms et les adresses électroniques de millions d’utilisateurs d’Ashley Madison. 37 000 000 d’utilisateurs ont été touchés.
Cause fondamentale : utilisation de mots de passe faibles par les développeurs et les utilisateurs.
NSA (en fait, cela s’est produit en 2013)
Edward Snowden, un ancien sous-
entrepreneur de l’Agence nationale de sécurité,
a fait la manchette en 2013, lorsqu’il a divulgué
des renseignements très secrets sur les
activités de surveillance de la NSA.
Snowden « pourrait avoir convaincu entre 20 et
25 de ses collègues » de lui remettre leurs
ouvertures de session et leurs mots de passe
« en leur disant qu’il en avait besoin pour faire
son travail comme administrateur des systèmes
informatiques ».
Leçons tirées : Accorder les habilitations
d’utilisateurs de façon appropriée et les tenir à
jour.
Il est nécessaire de gérer et de surveiller les
utilisateurs qui détiennent des privilèges.
Cibles et menaces
Cibles Menaces
Noms, adresses, numéros de cartes de crédit
des consommateurs
Pirates/cybercriminels
PI, stratégies, données financières Des compétiteurs
Noms, salaires et rôles des employés Consommateurs insatisfaits
Stratégies, plans de projets, PI Terroristes
Biens, ordinateurs, ordinateurs portables,
dossiers
États/gouvernements
Atteintes à la réputation Crime organisé
Employés/partenaires commerciaux
Logiciel malveillant
Ne pas télécharger le contenu de sites Web
douteux ou inconnus.
Éviter ou surveiller de près les téléchargements
effectués sur les réseaux P à P. Ne pas utiliser les
réseaux P à P au travail.
Tenir les programmes antivirus à jour.
Protection
Pourriel/courriel d’hameçon
Se méfier des courriels qui demandent des renseignements
confidentiels – surtout des renseignements financiers. Les organisations
légitimes ne demanderont jamais de renseignements de nature délicate
par courriel.
Ne pas se laisser convaincre par des pressions de fournir des
renseignements personnels. Les auteurs de courriels hameçons aiment
faire peur et pourraient menacer de désactiver un compte ou de retarder
la prestation de services jusqu’à ce que vous mettiez à jour certains
renseignements. Veillez à communiquer avec le commerçant
directement pour confirmer l’authenticité de sa demande.
Protection
Pourriel/courriel d’hameçon
Avoir à l’œil les demandes de renseignements
d’apparence générique. Les courriels frauduleux sont
souvent non personnalisés, alors que les courriels
authentiques qui proviennent de votre banque renvoient
souvent à un compte que vous avez auprès de
l’établissement. De nombreux courriels hameçons
commencent par « Monsieur, Madame », et certains
proviennent d’une banque où vous n’avez pas de compte.
5.Never submit confidential information via forms
embedded within email messages. Senders are
often able to track all information entered.
6.Never use links in an email to connect to a
website unless you are absolutely sure they are
authentic. Instead, open a new browser window and
type the URL directly into the address bar. Often a
phishing website will look identical to the original -
look at the address bar to make sure that this is the
case.
7.Make sure you maintain effective software to
combat phishing. Norton™ Internet Security
automatically detects and blocks fake websites. It
also authenticates major banking and shopping
sites.
Protection
Piratage psychologique
Se méfier des courriels, messages instantanés et appels
téléphoniques provenant de personnes non sollicitées,
comme des fournisseurs de services. Vérifier la source du
message avant de fournir des renseignements.
Procéder lentement et prêter une vive attention aux petits
détails. Ne jamais laisser l’urgence du message du pirate
vous embrouiller le jugement.
Protection
Autres conseils
Rejeter les demandes de soutien technique en ligne par des étrangers,
aussi légitimes puissent-ils paraître.
Sécuriser votre espace informatique au moyen d’un pare-feu efficace
et d’un logiciel antivirus à jour, et régler à « élevé » les filtres
antipourriels.
Corriger les logiciels et les systèmes d’exploitation pour les
vulnérabilités de jour zéro. Assurer le suivi des correctifs diffusés par
votre fournisseur de logiciels et apporter les correctifs le plus rapidement
possible.
Protection
Blocage de publicités
Les publicités sont 182 fois plus susceptibles de vous
transmettre un virus que le fait de consulter un site Web
pour adultes, d’après Cisco.
Naviguer plus rapidement : Bloquer les publicités en
ligne qui ralentissent votre fureteur Web.
Sauvegarder la largeur de bande : Les bloqueurs de
publicité sauvegardent la largeur de bande en ne
téléchargeant pas les publicités intrusives.
Protection
Pourquoi effectuer un audit de sécurité
• Le seul moyen de savoir véritablement si une organisation est sécurisée tient dans la mise à l’essai. o Mesurer l’efficience des moyens de défense en place.
o Cerner les lacunes dans les moyens de défense en place.
o Commentaires pour aider à déterminer le niveau d’exposition aux risques de l’organisation.
• Faire vérifier par une deuxième personne un système informatique crucial constitue une bonne pratique en matière de sécurité.
Questions clés posées dans le cadre d’un
audit de sécurité
1. Quels sont les processus qui sont en place pour cerner et rectifier les vulnérabilités du système?
2. De quelle manière les données qui sont entreposées dans le nuage sont-elles protégées?
3. Disposons-nous d’une stratégie et d’une politique en matière de sécurité des renseignements?
4. De quelle manière pouvons-nous améliorer la gouvernance et les contrôles de la cybersécurité?
5. Disposons-nous d’un protocole de réponse visant à atténuer les dommages en cas d’une cyberattaque?
Source : Grant Thornton LLP
Composantes types d’un audit de
sécurité
• Portée
o Examen de la gouvernance/politique (document)
o Tests de pénétration (matériels/logiciels)
o Piratage psychologique (êtres humains)
• Résultat
o Rapport d’audit
Politiques clés à connaître
• 5 key policies: Clean Desk
• Password Management
• Bring your own device
• *Credit Card Handling Security
• See Cisco: http://www.cisco.com/web/about/security/intelligence/mysdn-social-engineering.html
Politiques Brève description
Gestion du mot de passe Lignes directrices, comme le nombre et le type de caractères que
chaque mot de passe doit inclure, à quelle fréquence il doit être changé,
etc.
Politique du bureau propre Établir des lignes directrices pour réduire le risque d’une atteinte à la
sécurité, d’une fraude et de vol d’information du fait que des documents
sont restés sans surveillance.
Traitement des cartes de crédit Énoncer les modalités de manutention et de traitement acceptables des
données sur le titulaire d’une carte que le CSIO utilise.
Gestion des vulnérabilités Politiques et procédures de gestion des corrections.
Politique d’acquisition, de
développement et de maintien
des systèmes
Aider à mener les efforts de planification de la sécurité au moment de
lancer un nouveau projet de TI.
Gestion des risques L’identification, l’évaluation et l’ordre de priorité des risques. Cela
consiste notamment à attribuer un degré de vraisemblance et d’impact.
Gestion des incidents Politiques visant à cerner, à analyser et à corriger des dangers pour
prévenir qu’un incident se reproduise.
Test de pénétration
• Le test de pénétration consiste à tenter d’obtenir
accès à des ressources sans connaître les noms
d’utilisateur, les mots de passe et autres moyens
d’accès ordinaires.
• Mettre à l’essai la capacité des défendeurs de
réseau de déceler les attaques et d’y répondre.
Test piratage psychologique
• Sert à mettre à l’essai ce qu’on appelle le « réseau humain » de l’organisation.
• Le test d’ingénierie sociale permet de répondre aux questions suivantes :
o Dans quelle mesure notre entreprise est-elle susceptible de subir une attaque de l’ingénierie sociale?
o Nos contrôles de sécurité matérielle nous protègent-ils contre un pirate sur place?
o Nos filtres des courriels relèvent-ils les courriels hameçons ciblés?
o La formation que nous offrons sur la sensibilisation à la sécurité est-elle efficace?
Rapport d’audit
• Un sommaire énonçant la situation de l’organisation au chapitre de la sécurité.
• Résumé des lacunes
o Source de la menace
o Probabilité d’exploitation
o Impact de l’exposition
o Mesures/correctifs recommandés
• Assurance cyber-responsabilité : La police ARCE type couvre la responsabilité pour les dommages matériels que subissent des biens matériels plutôt qu’électroniques, comme les immeubles, les véhicules et l’équipement. Pour les biens immatériels comme les données, une police distincte de cyber-responsabilité ou un avenant à la police ARCE s’appliquerait.
En savoir davantage : Créer un compte de membre du CSIO
Coin des courtiers
Plateforme consultative
Livres blancs et vidéos
Twitter: @CSIO
Courriel : [email protected]
Ressources gratuites
pour les membres
Nous vous remercions de votre participation à notre webinaire de la série TSX!
Deux liens seront bientôt envoyés par courriel à tous les participants:
1) Webinaire enregistré
2) Questions accrédités par la ChAD
Restez à l’affût pour en savoir davantage sur le prochain TSX! Consultez CSIO.com
Programmes malveillants furtifs
Ce sont des programmes qui sont conçus pour dissimuler des
objets, comme des processus, des fichiers ou des inscriptions dans le
registre de Windows. Ce type de logiciel n’est pas malveillant en lui-
même, mais il est utilisé par les concepteurs de maliciels pour effacer
toutes leurs traces dans les systèmes infectés. Ils sont des types de
maliciels qui utilisent des programmes malveillants furtifs pour
dissimuler leur présence dans un système.
De même, ces programmes vont main dans la main avec la
nouvelle dynamique de cybercriminalité par maliciels : le maliciel
exploité afin d’en tirer des gains financiers doit nécessairement être
furtif. Les programmes malveillants furtifs permettent au maliciel de
rester dissimulé sur un ordinateur pendant beaucoup plus longtemps
sans que sa présence ne soit détectée.
Appendice – Exemples de maliciels
Exploits
Il s’agit d’une technique ou d’un programme qui exploite les lacunes au
niveau de la sécurité – une vulnérabilité - dans un certain protocole de
communication, système d’exploitation ou outil de TI.
Cette lacune donne libre accès à des activités qui peuvent causer un
fonctionnement anormal de l’application et qui peuvent être causées
intentionnellement par des utilisateurs malveillants, ce qui leur permet
d’exécuter un code à distance, de lancer des attaques de refus de services,
de divulguer des renseignements ou d’acquérir des privilèges.
Appendice – Exemples de maliciels (suite)
Logiciels publicitaires
Les logiciels publicitaires affichent des publicités associées aux produits
ou aux services offerts par le concepteur du programme ou des tierces
parties. Les logiciels publicitaires peuvent être installés de plusieurs
manières, dans certains cas sans le consentement de l’utilisateur, et
l’utilisateur connaissant ou ne connaissant pas sa fonction.
La classification de ce type de programme est controversée, car certains
considèrent qu’il s’agit d’un type d’espiogiciel. Si c’est peut-être vrai dans
une certaine mesure, les logiciels publicitaires en eux-mêmes ne sont pas
utilisés dans un but criminel, mais pour faire la publicité de produits et de
services, et l’information recueillie n’inclut pas les détails bancaires des
utilisateurs, mais les pages Web consultées ou les favoris, etc.
Appendice – Exemples de maliciels (suite)
Composeurs automatiques
De manière générale, le composeur automatique essaie d’établir une
connexion téléphonique au moyen d’un numéro facturé au tarif fort.
Toutefois, le composeur ne peut cibler que les ordinateurs qui utilisent un
modem pour se brancher à Internet, car il modifie la configuration du
téléphone et du modem , remplaçant le numéro fourni par le FSI (fournisseur
de services Internet), normalement facturé à un taux local, par un numéro à
tarif.
Ce type de maliciel disparaît graduellement, car le nombre d’utilisateurs
qui se servent de connexions par modem est à la baisse.
Appendice – Exemples de maliciels (suite)
Témoins Les témoins sont de petits fichiers enregistrés sur un ordinateur par le navigateur
lorsque des pages Web sont consultées. Les renseignements enregistrés par les
témoins ont un certain nombre d’objectifs : ils peuvent servir à personnaliser des
pages Web, à recueillir des renseignements démographiques sur les visiteurs d’une
page ou à surveiller les statistiques des bannières affichées, etc.
Ainsi, dans le cas de l’utilisateur qui consulte fréquemment une certaine page
Web, le témoin pourrait se rappeler le nom de l’utilisateur et le mot de passe utilisés
pour accéder à la page.
Les témoins ne posent pas de risque en eux-mêmes, mais l’utilisation malveillante
par d’autres logiciels pourrait menacer la protection des renseignements personnels
des utilisateurs touchés, car les témoins peuvent être utilisés pour créer des profils
d’utilisateur au moyen de renseignements dont ’utilisateur ne connaît pas l’existence,
et qui sont envoyés à des tiers.
Appendice – Exemples de maliciels (suite)