SANS FRAIS 1 877-777-6412

DEFCON à Las Vegas : un des plus grands rassemblements de hackers au monde

Du 8 au 11 août dernier se tenait à Las Vegas la 27e édition du DEFCON. Événement incontournable en sécurité, on a décidé d’y envoyer l’un de nos collaborateurs, Martin Soro, et l’heureux gagnant du concours organisé au Hackfest de l’an passé, Jocelyn Baril.

Le DEFCON c’est quoi ?

Le DEFCON est l’un des plus grands rassemblements de hackers au monde. Il est organisé chaque année à Las Vegas depuis juin 1993. On parle de hackers, mais le public est très diversifié : professionnels en sécurité de l’information, journalistes, avocats, agents du gouvernement fédéral, chercheurs en sécurité, étudiants, etc.

Les participants peuvent assister à différentes conférences sur la sécurité informatique, mais aussi prendre part à des compétions de hacking (les « hacking wargames »). Les concours sont très variés en passant de la création de la plus longue connexion Wi-Fi à la recherche du moyen le plus efficace de rafraîchir une bière sous la chaleur du Nevada sans oublier le classique « Capture The Flag »

Anecdote : Dans les participants, on retrouve régulièrement des agents fédéraux américains du FBI, du « United States Department of Defense », « United States Postal Inspection Service » ou « United States Department of Homeland Security ».

Source : Wikipedia

De retour de cette incroyable expérience, on a eu le plaisir de recueillir leurs impressions sur cette 27e édition. Voici leur retour :

En un mot, comment décrirais-tu ton expérience au DEFCON?

Jocelyn : Démesure. C’est sans surprise que ce qualificatif colle à Las Vegas, ville que je visitais pour la première fois. Mais il définit aussi très bien le DEFCON, qui rassemble plus de 25 000 personnes intéressées par la sécurité de l’information et propose une quantité considérable de présentations, ateliers, villages et autres activités.

Martin : Ce fut une expérience très enrichissante. Cet événement est à la fois éducatif et divertissant. C’est un vrai rendez-vous du donner et du recevoir. On ne revient pas du Defcon tel qu’on est parti. On y revient la tête bien chargée de nouvelles connaissances et de beaux souvenirs. Cela me réconforte dans mon choix de carrière dans la cybersécurité.

Quelle était l’ambiance générale sur l’événement?

Jocelyn : Globalement, je qualifierais l’ambiance d’assez sérieuse. Voir tant de gens défiler dans les corridors des complexes hôteliers qui hébergent l’événement, ça revêt pratiquement un cachet cérémonial. J’ai aussi constaté beaucoup de respect envers les présentateurs et entre les participants. Malgré les files d’attente qui se forment parfois, bien que, par moment, nous soyons entassés comme des sardines, les participants n’hésitent pas à s’aider et à s’échanger des informations; je soupçonne que l’énigme du badge y soit pour quelque chose. Le DEF CON, c’est aussi le théâtre de nombreux partys, certains publics, d’autres privés. Quelques événements plus divertissants s’y déroulent, par exemple le Hacker Jeopardy. L’ambiance y est donc aussi festive.

Martin : Une ambiance très festive et sérieuse à la fois. La journée, les activités étaient très sérieuses avec les conférences, les démonstrations en LAB, etc. Dans la soirée le caractère sérieux est substitué par une ambiance très festive avec animations DJ, danses, Karaoké, etc. Les participants se reconnaissaient grâce aux badges accrochés au cou. J’avais l’impression que Las Vegas vivait au rythme du Defcon. Partout dans la ville, il n’était pas rare de rencontrer une personne avec le badge du Defcon, signe qu’un événement majeur avait lieu dans la ville. Je me souviens avoir rencontré une ribambelle de participants à la pancarte d’entrée de la ville, site très apprécié des visiteurs sans doute à cause de l’affiche Welcome to fabulous Las Vegas que nous voyons tous dans bien de films hollywoodiens depuis belle lurette.

Selon toi, à qui s’adressent surtout les conférences?

Jocelyn : Il y en a vraiment pour tous les goûts! Il y a évidemment les quatre pistes officielles de conférences, qui présentent déjà des sujets variés. Mais avec plus de 25 villages qui proposent aussi, pour plusieurs, leurs propres conférences, avec les SkyTalks, avec des ateliers, des concours et tant d’autres activités, plusieurs peuvent y trouver leur compte. Je dirais même qu’il faut constamment faire des choix difficiles, puisque tant d’activités se déroulent simultanément.

Martin : La plupart des conférences étaient très techniques. Elle s’adressait donc à un public qui connaissait le domaine. Cependant certaines conférences étaient plus généralistes. Par exemple la conférence « Can you track me now? Why the phone companies are such a privacy disaster?“ présentée par un sénateur américain. Il soulignait la problématique de la vente des données privées des clients par les opérateurs de télécommunications aux États-Unis.

À quelles conférences as-tu participé? Quelle a été la conférence qui t’a le plus impressionné?

Jocelyn : J’ai honnêtement un peu perdu le compte, mais j’ai dû assister, au moins partiellement, à une bonne trentaine de présentations concernant des sujets très variés. Une présentation qui m’a paru particulièrement bien rodée est celle de Babak Javadi intitulée ‘Ghosting the PACS-man : Basics of Hacking Physical Access Control Systems and Beyond’. Plutôt que de se limiter à une présentation statique, il n’a pas hésité à confronter le Dieu des démos en basculant fréquemment entre sa présentation, des vidéos et des démonstrations réalisées avec des maquettes et une caméra USB. Tout s’enchaînait à merveille; il était intéressant, passionné et en maîtrise de son sujet. Malheureusement, il s’était préparé pour une présentation de 80 minutes, alors qu’il n’en avait que 60 à sa disposition. Il a donc dû tronquer la fin de celle-ci. J’en aurais pris davantage.

DEFCONMartin :

  1. Hack the police
  2. The industry of social media manipulation driven by Malware
  3. All the 4G modules could be hacked
  4. Can you track me now? Why the phone companies are such a privacy disaster

C’est la conférence intitulée: All the 4G modules could be hacked. En d’autres termes : tous les modules de 4G cellulaires peuvent être piratés. Les présentateurs ont exposé les vulnérabilités présentes dans les modules 4G de certains fabricants réputés. Il s’agit des modules permettant à des objets tels que les voitures, les caméras, les robots d’être accessibles à partir de l’internet. Les exposants ont démontré à quel point les objets connectés à internet sont vulnérables aux cyberattaques. De nos jours, la tendance est que la plupart des objets soient connectés à internet afin de pouvoir les contrôler à distance de partout sur la planète. Bien entendu, cela apporte son corollaire de vulnérabilités inhérentes à la technologie. La vigilance est donc de mise quant aux risques liés à cette hyperconnectivité.

 

 

 

 

À quoi ressemblaient les activités qui entouraient le DEFCON? As-tu eu la chance de faire certaines de ces activités?

Jocelyn : Une fois de plus, la diversité des sujets et des champs d’intérêt prévaut dans ces activités! Il y a de tout et un peu plus! J’ai essayé quelques maquettes du ‘Lock bypass village’, mais n’ai pas pris le temps de participer à plusieurs activités. Parmi les plus impressionnantes, je retiens le simulateur de vol d’un F-35 fourni par Lockheed-Martin au ‘Aviation hacking village’, la Tesla Model 3 flambant neuve transformée en perte totale dans la compétition du ‘Car hacking village’ et le jeu d’évasion simulant le déminage d’une bombe au ‘Lockpick village’. Il y a certainement plusieurs activités que je n’ai pas vues, alors que je n’ai pas eu le temps de visiter certains villages.

Martin : Il y avait des compétitions de hacking: CTF, démonstrations en Lab, exposés de vendeurs de solutions de sécurité, animation DJ et karaoké.

Si tu avais à résumer un top 3 de tes apprentissages, quels seraient-ils?

Jocelyn : C’est difficile de répondre à cette question. Certains choisissent de se consacrer à un sujet en particulier et d’assister à la majorité des présentations qui se déroulent dans un village donné pour approfondir un champ d’expertise plus précis. Pour ma part, j’ai préféré assister à des présentations concernant des sujets variés. La plupart de ces présentations n’étaient pas excessivement pointues; c’est difficile d’approfondir un sujet dans une présentation variant entre 40 et 60 minutes. Lors de tels événements, j’apprécie avoir de l’information concernant des sujets variés afin d’ouvrir mes horizons. Par la suite, ça peut me guider vers de nouveaux apprentissages en lien avec les informations obtenues lors des conférences.

Martin : J’ai compris comment certaines entreprises se spécialisent dans la création de faux comptes de réseaux sociaux afin d’aider certaines personnes en quête de popularité à multiplier le nombre de leurs suiveurs (followers).

Comment défaire le système de radar de la police fédérale américaine.

Dans un souci d’amélioration de la qualité des soins médicaux, les équipements médicaux sont de plus en plus connectés à internet. Ceux-ci se trouvent alors exposés aux cyberattaques mettant ainsi en péril la santé des patients. Les fabricants d’équipements se tournent alors vers les spécialistes en cybersécurité afin de détecter d’éventuelles vulnérabilités sur leurs équipements dans le but de les corriger avant l’exploitation par des pirates.

As-tu apprécié ton expérience? Aimerais-tu y retourner un jour?

Jocelyn : Oui, j’ai vraiment apprécié cette première expérience au DEF CON. C’est parfois déchirant de devoir choisir entre plusieurs activités qui se déroulent simultanément. Mais pour occuper plus de 25 000 participants, cette pluralité d’activités est nécessaire. J’aimerais évidemment y retourner; ce sera probablement un projet dans quelques années.

Martin : J’ai beaucoup apprécié mon expérience en ce sens que je me suis nourri abondamment de nouvelles connaissances en cybersécurité. Les activités étaient très diversifiées et couvraient différents domaines de la sécurité. Chacun y retrouvait pour son compte. Je considère cet événement comme la coupe du monde des professionnels en sécurité. Sans hésiter, j’aimerais encore et encore y retourner.

Autre chose à rajouter?

Jocelyn : Si vous avez l’occasion d’assister au DEF CON, je me permets de vous recommander deux incontournables :

  • L’application Hacker Tracker, qui regroupe notamment l’horaire de la plupart des activités et les plans des différents complexes où se déroule le DEF CON;
  • Une excellente paire de souliers, puisqu’on y marche beaucoup!

Martin : L’événement avait lieu dans 4 des hôtels les plus prisés de Las Vegas tous situés sur la célébrissime rue dénommée Las Vegas Strip. Dans le jargon de mon pays natal la Côte d’Ivoire, on l’appellera la rue princesse de Las Vegas. C’était donc un ballet incessant entre les hôtels pour participer aux différentes activités qui avaient lieu simultanément sur les différents sites relativement proches.
Nous avions quand même du plaisir à effectuer ce pèlerinage nonobstant le soleil accablant de Las Vegas à des températures avoisinant les 38 degré Celsius.

Je remercie le groupe Cyberswat et son président Jean-Philippe pour cette opportunité incommensurable qu’ils m’ont offerte de participer à cet événement titanesque. Nul doute que cela a fait tache d’huile dans ma carrière et restera indélébile dans ma mémoire pour bien longtemps. Comme le disait un sage : je n’ai pas de leçons à donner, mais j’ai des expériences à partager. Celle-ci, je suis heureux de la partager avec les miens. Chez Cyberswat, on était bien content de voir qu’ils ont vraiment apprécié leur expérience au DefCon! Nous, on se dit rendez-vous au Hackfest le 1er et 2 novembre prochain!

Vous avez déjà participé au DefCon? Parlez-nous de votre expérience!

Pour finir, voici quelques photos que Martin a bien voulu partager avec nous!

SéQCure 2019 : entrevue avec le chef d’orchestre de l’événement, Nicolas-Loïc Fortin

Le printemps est officiellement là (ou presque si vous aussi avez encore une belle vue sur la neige) et avec lui arrive la Semaine du numériQC 2019 qui se tiendra du 4 au 14 avril prochain!

Pour ceux qui ne connaissent pas, la Semaine numériQC, c’est LE rendez-vous annuel des professionnels du numérique à Québec! En effet,cette semaine a notamment pour vocation d’éduquer ses participants, les aider à élargir leur réseau, à leur faire tisser des liens, à se faire connaître et à recruter.

Se déroulant maintenant sur plus de 10 jours et abritant plusieurs événements, nous nous intéresserons aujourd’hui tout particulièrement au SéQCure, dont Cyberswat est un l’un des fiers partenaires! Le SéQCure, vous l’aurez deviné, est axé sur la cybersécurité et se tiendra le 8 avril prochain. Vous pourrez venir nous visiter à notre kiosque pendant toute la durée de l’événement!

Pour vous donner une bonne idée de ce à quoi vous attendre avec cet événement, nous avons reçu en entrevue Nicolas-Loïc Fortin, véritable chef d’orchestre de l’événement.

Voici nos questions et ainsi que ses réponses.

1.     Nicolas-Loïc, peux-tu tout d’abord te présenter un peu? Quel est ton parcours?

Bien sûr! Ayant maintenant près de 20 ans dans le domaine des TI et de la sécurité de l’information, j’ai tout d’abord fait mes premières armes en sécurité chez Deloitte au début des années 2000. De fil en aiguille, j’ai fini par fonder ma propre entreprise et je travaille donc à mon compte désormais. Dans les dernières années, j’ai principalement œuvré à titre de consultant en cybersécurité chez des clients dans un contexte gouvernemental.

2.      Peux-tu nous en dire plus concernant ta collaboration avec la Semaine numériQC et le SéQCure?

J’ai d’abord décidé de faire équipe avec Québec Numérique afin de rallier les spécialistes dans le domaine de la sécurité et les aider à maintenir leurs connaissances à jour. Mon rôle est donc non seulement d’informer les spécialistes, mais aussi d’autres participants et de les amener à bien comprendre l’importance de protéger leurs informations. Le tout nous a menés à la création du SéQCure avec qui je collabore à titre de chef d’orchestre avec les autres membres du comité organisateur de l’événement.

3.     Qu’est-ce que l’événement SéQCure et en quoi se démarque-t-il des autres événements en cybersécurité?

Ce qui est particulier avec le SéQCure, c’est qu’il est bâti sur le concept de « sécurité défensive » contrairement à d’autres événements comme le Hackfest, qui lui est orienté « sécurité offensive ». En fait, ces deux événements sont très complémentaires. Ce qu’il faut savoir également est que le SéQCure est le fruit d’une collaboration de plusieurs organisations du domaine, dont ISACA-Québec et l’ASIQ, ce qui en fait un événement incontournable pour toute personne voulant en apprendre davantage dans le domaine de la cybersécurité.

Et cette année, nous avons en plus la collaboration de « In Sec M »,  qui est un regroupement de manufacturiers dans le domaine de la cybersécurité et qui apportera un volet particulier à l’événement.

4.     Peux-tu rapidement nous rappeler la différence entre « sécurité défensive » et « sécurité offensive »?

Oui, c’est assez simple. La sécurité défensive englobe tout ce qui a trait aux moyens qui existent pour se prémunir contre les attaquants dans le but de corriger les faiblesses des systèmes informatiques.

La sécurité offensive, elle, amène à démontrer les faiblesses et failles d’un système, d’un logiciel, etc.  Ces deux concepts sont évidemment étroitement liés.

5.     À qui est adressé l’événement? Quelles sont les principales raisons pour lesquelles les entreprises et leurs employés y viennent?

Le SéQCure est tout d’abord destiné aux professionnels de la cybersécurité afin de les aider à se mettre à jour et à réseauter entre eux. Rien que pour ceci, les gens se déplacent, car ce sont des éléments auxquels ils attribuent beaucoup de valeur afin de favoriser la collaboration dans le marché. De plus, notre partenaire associatif avec In Sec M va attirer aussi beaucoup de monde, car il s’agit d’une organisation novatrice dont l’expertise est reconnue dans tout le Canada.

6.     À combien de personnes vous attendez-vous?

Si on se base sur les dernières années, on peut s’attendre à environ 300 personnes. D’autres événements connexes auront lieu dans le cadre de la Semaine numériQC, ce qui pourrait potentiellement augmenter le nombre de participants.

Par exemple, le 8 avril, en même temps que SéQCure, auront lieu les événements Insurtech QC, Réalité Augmentée Québec ainsi que le Rendez-vous IA Québec spécialisé en intelligence artificielle.

7.     Et enfin, quelles sont les conférences à ne pas manquer cette année?

Je recommande vivement aux gens de participer à la conférence d’Éric Caire, Ministre délégué à la Transformation numérique gouvernementale, qui présentera en à peu près 30 minutes l’espace que la sécurité de l’information prendra dans le projet de transformation numérique du gouvernement. Il y a bien sur de nombreuses autres conférences et conférenciers à aller voir. Vous pouvez suivre les plus récents ajouts le site de l’événement.

 

 

Vous souhaitez assister à l’événement?

Si vous comptez participer à SéQCure, les organisateurs de l’événement vous offrent un rabais de 100$ pour y accéder, valide jusqu’au 28 mars 2019 à 23h45! Vous n’aurez qu’à ajouter le code promotionnel « SeQCure-Cyberswat-article-6574 » au moment de l’inscription.

Pour avoir tous les détails de cette journée, nous vous invitons à aller visiter le site de l’événement ou encore sa page Facebook.

Nous espérons que vous avez aimé cette entrevue et n’hésitez pas à nous contacter  si vous avez des questions, ou encore mieux, venez nous visiter à notre kiosque pendant l’événement !

On espère vous voir le 8 avril prochain!

Nouvelles règles relatives aux atteintes à la vie privée au Canada : entrevue avec une avocate spécialisée

Saviez-vous que depuis le 1er novembre 2018, de nouvelles règles relatives à la divulgation des incidents de sécurité impliquant des renseignement personnels sont entrées en vigueur au Canada? Si votre entreprise est assujettie à la législation canadienne sur la protection des renseignements personnels[1], cela vous concerne directement.

Ces règles ont un impact certain sur la gestion des entreprises. Les dirigeants doivent y être sensibilisés et s’assurer de prendre toutes les mesures nécessaires pour s’y conformer.

Pour faire le point sur ces nouvelles règles, Kateri-Anne Grenier, avocate associée spécialisée en litiges commerciaux et protection de la vie privée au cabinet Fasken, a répondu à nos questions. Voici tout ce que nous avons appris lors de cette entrevue.

 

Kateri-Anne, avant d’aller plus loin sur les récents changements législatifs, pouvez-nous nous en dire plus sur votre parcours?

Je suis diplômée de la faculté de droit à l’Université de Laval, et membre du Barreau depuis 2002. Lorsque la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques (LPRPDE) est entrée en vigueur au début des années 2000, on a observé un essor dans le domaine de la protection de la vie privée au Canada et une prise de conscience, chez les citoyens et les entreprises, de l’importance d’assurer la protection des renseignements personnels.

Cet essor, accompagné d’importants développements technologiques, a aussi vu naître la loi anti-pourriels (début des années 2010). Dès le début des années 2010, le parlement fédéral a reconnu l’importance de mettre à jour la LPRPDE, de l’adapter aux réalités du monde des affaires et du commerce électronique. Le Canada a toujours, également, souhaité se positionner comme leader et conserver une équivalence juridique avec l’Europe vu l’importance du transfert de données à l’international.

Après plusieurs années de travaux, des amendements à la LPRPDE ont été adoptés, complétés par des règlements. Cette dernière phase réglementaire introduit la déclaration obligatoire des atteintes aux mesures de sécurité. Les incidents de cyber sécurité (intrusions, vol de données, demandes de rançon, fraudes) sont en constante croissance et touchent de plus en plus d’entreprises. Dans le cadre de ma pratique, j’interviens fréquemment dans le feu de l’action pour conseiller des entreprises qui subissent des cyber-attaques.

Je travaille également en amont pour amener les entreprises à se structurer et élaborer leur plan de réponse en cas d’attaque ou d’incidents. Elles doivent avoir les bons réflexes lorsqu’elles sont confrontées à des incidents de sécurité. Comme spécialiste des litiges, je les aide aussi à se prémunir et se défendre contre des recours en responsabilité découlant de leur gestion des renseignements personnels, incluant des recours collectifs.

 

Entrons maintenant dans le vif du sujet : pouvez-vous nous parler des nouvelles règles applicables aux entreprises canadiennes dans le cadre d’atteintes aux mesures de sécurité?

Ces nouvelles règles ont été introduites par des amendements à la LPRPDE en 2015 (Projet de loi S4), et complétées par un long processus d’adoption de règlements, ce qui a repoussé leur entrée en vigueur au 1er novembre 2018.

En vertu de ces dispositions, les organisations sont tenues d’informer (1) les personnes visées et (2) le Commissariat à la protection de la vie privée du Canada des atteintes à la vie privée, dans certaines circonstances précises.

À moins d’une interdiction prévue dans la loi, l’organisation doit aviser les personnes visées et déclarer les atteintes à la protection des données personnelles au Commissariat dès que possible, en respectant les modalités prescrites, s’il est raisonnable de croire que l’atteinte présente « un risque réel de préjudice grave à l’endroit d’un individu ».

La définition de « préjudice grave » aux termes de la LPRPDE comprend, parmi d’autres préjudices, l’humiliation, le dommage à la réputation ou aux relations, le vol d’identité, des pertes financières, atteinte au dossier de crédit, possibilité de perte d’emploi etc.

Afin de déterminer s’il existe un « risque réel », il faut considérer le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements soient utilisés de manière abusive et tout autre élément prescrit. Le Règlement n’identifie aucun autre facteur, toutefois le Commissariat a publié des lignes directrices à cet égard.

Lorsqu’un incident se produit, il faut prendre en compte le degré de sensibilité des données en jeu, ainsi que la probabilité que ces dernières puissent être utilisées à mauvais escient.

Il s’agit aussi de comprendre l’origine de l’incident : est-ce un acte volontaire, quel individu aurait pu se saisir des renseignements et à quelles fins? Si la victime peut agir afin de réduire les risques, cela penche en faveur d’une divulgation rapide, le but ultime étant toujours de minimiser au maximum les répercussions possibles pour la personne et aussi, de garder le lien de confiance entre l’entreprise, sa clientèle, ses employés et le public. Une atteinte aux mesures de sécurité peut toucher tout le monde, même des entreprises qui ont mis en place des systèmes de défense sophistiqués et qui ne sont pas négligentes dans leur gestion des renseignements personnels. Les pirates informatiques ont recours, dans certains cas, à des technologies capables de déjouer les systèmes de défense, et il ne faut pas oublier le facteur humain : un seul employé qui clique sur une pièce jointe d’un courriel contaminé peut offrir une porte d’entrée à un virus. Dans la majorité des cas, les entreprises ont tout intérêt à faire face à la situation de manière proactive et transparente.

Afin de ne pas créer de vague de panique ou laisser place aux spéculations, il est recommandé, avant de faire des déclarations publiques ou de notifier les autorités, d’être en possession des faits et d’avoir établi une voie de passage vers une solution. Les avocats spécialisés et les experts en sécurité jouent un rôle actif dans l’investigation, de manière à pouvoir ensuite identifier les risques, orienter les actions stratégiques à poser et effectuer les divulgations requises.

 

Que risque-t-on si l’on ne se conforme pas à la législation?

La loi prévoit des seuils de pénalités par la procédure sommaire (jusqu’à 10 000$) et par acte d’accusation (jusqu’à 100 000$).

Les textes réfèrent à une intention de commettre une infraction, ce qui sera sujet à interprétation.

Toutefois, au-delà de ces sanctions prévues dans la loi, nous avisons nos clients qu’ils doivent avant tout considérer le risque d’interruption d’affaires, de perte de clientèle et de recours civils, notamment la possibilité pour les victimes d’une atteinte à la vie privée d’utiliser la procédure de recours collectif. Les risques financiers et réputationnels sont alors très importants. La réaction d’une entreprise face à une cyber-attaque aura une importance capitale vis-à-vis ses clients et face au public.

 

Certaines provinces telles la Colombie-Britannique, l’Alberta et le Québec disposent déjà de lois équivalentes en matière de protection de la vie privée qui remplace l’application de la législation fédérale en matière de vie privée. Les entreprises œuvrant dans ces juridictions sont-elles concernées?

Les entreprises fédérales, notamment les banques, certaines entreprises de télécommunications ou agissant dans un secteur d’activité en lien avec le transport maritime, aérien ou encore les stations de radio diffusion, même si elles œuvrent uniquement au Québec, sont assujetties d’office à ces règles.

Quant aux autres entreprises, il subsiste encore un certain flou quant à l’application de ces règles vu la législation provinciale spécifique. Par contre, une entreprise qui a des activités à l’extérieur du Québec qui impliquent la collecte, la détention ou la communication des renseignements personnels à l’extérieur du Québec sera vraisemblablement soumise à ces règles, minimalement pour les situations visant ces renseignements personnels.

 

Doit-on avertir la police?

La loi oblige la divulgation au Commissariat fédéral à la protection de la vie privée du Canada. L’opportunité d’enclencher une enquête policière en parallèle de l’incident doit être évaluée au cas par cas.  On va alors tenir compte de plusieurs facteurs tels la nature de l’incident, le temps dont dispose l’entreprise pour solutionner la difficulté et l’impact de la démarche sur la réduction ou l’atténuation du préjudice qui pourrait être causé aux personnes concernées. Soulignons aussi que ces nouvelles mesures obligent de donner avis à toute autre organisation ou institution gouvernementale, si tel avis peut réduire le risque de préjudice pouvant résulter de l’atteinte ou atténuer ce préjudice.

Pour résumer, quelles mesures pratiques les entreprises peuvent-elles mettre en place pour se conformer aux nouvelles règles entrées en vigueur le 1er novembre?

Les entreprises assujetties doivent savoir qu’elles sont maintenant obligées de tenir un registre relatif aux atteintes aux mesures de sécurité pendant au moins 24 mois suivant la date à laquelle l’entreprise conclut que l’atteinte a eu lieu. Noter que cette exigence s’applique à toutes les attaques et non seulement à celles qui ont nécessité une divulgation, vu l’existence d’un risque réel de préjudice grave. Dans tous les cas, les informations contenues au registre doivent permettre au Commissariat de savoir quelles atteintes ont fait l’objet de divulgation et en l’absence de telle divulgation, les motifs au soutien. Le Commissariat peut demander la communication du registre, entamer une enquête, demander un audit et même rendre le registre public si l’intérêt public l’exige.

Nous invitons aussi les entreprises à se positionner sur l’application de ces règles par rapport aux renseignements personnels qu’elles collectent, détiennent ou communiquent. Elles devraient aussi évaluer leur capacité de détection des incidents. Des firmes spécialisées peuvent mener des tests d’intrusion et il nous est arrivé de mener une opération de simulation d’incident de A à Z pour des clients afin de les conseiller en sécurité informatique. Au-delà de l’aspect technologique, la formation des employés est très importante. Les entreprises devraient en profiter pour mettre à mettre à jour leurs plans d’intervention en cas d’incidents et revoir leurs ententes avec leurs fournisseurs lorsqu’elles confient la gestion de renseignements personnels à l’externe. Finalement, nous leur conseillons de réviser et comprendre leur couverture d’assurance actuelle en matière de cyber risques. Cela leur permettra de déterminer si celle-ci les couvre adéquatement pour les coûts qui découleront des obligations imposées par les nouvelles règles de divulgation.

Il est très important de s’entourer à l’avance des bons spécialistes : cabinet d’avocats, firme en cybersécurité de gestion d’incident, firme de communication et assureur.

 

Notre entrevue vous a interpellé et vous souhaitez en savoir plus? N’hésitez pas à nous contacter ou encore à contacter Kateri-Anne Grenier.

Pour une analyse détaillée des nouvelles règles et répercussions à l’intention des entreprises en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), vous pouvez consulter le bulletin intitulé Nouvelles règles importantes en matière de déclaration obligatoire d’atteinte à la vie privée et de tenue de registres au Canada.

 

Si vous souhaitez mettre en place ou renforcer vos actions de préventions de risques en cybersécurité, nous sommes là pour vous conseiller. Contactez-nous dès maintenant.

[1] Loi sur la protection des renseignements personnels et les documents électroniques

Catégorisation des actifs: la recette pour bien évaluer la valeur de votre entreprise

Aujourd’hui, nous aimerions vous parler d’un de nos sujet préférés car il fait vraiment partie des incontournables en matière de sécurité informatique : la catégorisation des actifs.

Pour vous offrir la meilleure compréhension possible, Martin M. Samson, consultant en conformité et sécurité chez Groupe Cyberswat, a accepté de faire un survol du sujet. Cette entrevue a donc pour but de vous informer sur la catégorisation des actifs, ce qu’elle signifie, les grands principes, et son importance en matière de sécurité de l’information.

Pour débuter, nous aimerions vous présenter davantage Martin.

Martin est un professionnel en sécurité et bien connu du marché québécois, CGEIT, CISM, CRISC et ISO 27001 lead auditor. Il possède une vaste expérience en gestion de projets informatiques.
Il est de plus très familier avec les contextes de l’organisation privée, gouvernementale et bancaire, et est titulaire d’un diplôme universitaire de 2e cycle à la faculté d’administration de l’Université de Sherbrooke en «Gouvernance, audit et sécurité des technologies de l’information».

En bref, on peut dire que la sécurité de l’information en entreprise, c’est vraiment sa tasse de thé. Voici donc ce qu’il a à nous dire sur la catégorisation des actifs.

Martin, peux-tu nous parler un peu des projets dans lesquels tu as été impliqué au cours des dernières années?

J’ai travaillé, dans les dernières années, auprès de plusieurs clients sur des mandats en lien direct avec la catégorisation des actifs. Mon rôle a été d’implémenter ou d’améliorer/optimiser les méthodes de catégorisation des actifs, afin que la gestion de la sécurité soit plus rentable pour les entreprises.

J’ai aussi participé à l’élaboration d’un système de catégorisation des actifs très novateur dans le domaine du transport.

En terme de taille d’entreprises, j’ai surtout travaillés avec des grandes entreprises. Il y a cependant un projet chez Cyberswat visant à simplifier la façon de catégoriser l’information afin que le tout soit réalisable également en PME.

Peux-tu maintenant nous aider à définir cette notion qu’est la catégorisation des actifs?

 La catégorisation des actifs représente la base de la sécurité de l’information. C’est grâce à elle que l’on va réussir à investir le budget de sécurité de façon adéquate. En réalisant cette catégorisation, on identifie les systèmes et données qu’ils contiennent et les classer par ordre d’importance. Les plus importants, surnommés les « Crown Jewells », doivent être très sécurisés.

Il faut savoir aussi que les systèmes et données les plus importants qui doivent être protégés en priorité varient d’une entreprise à une autre. On n’accorde pas la même importance aux mêmes données que l’on soit une PME ou une grande entreprise par exemple. Il y aura également des ajustements selon le type de produit ou service que l’on vend. Les aspects légaux de chaque PME peut faire varier les besoins de sécurisation. C’est pourquoi ils doivent être tenus en compte lors de l’exercice de catégorisation.

Quels sont les grands principes reliés à la catégorisation des actifs?

Le premier principe serait de regarder les données en terme de Disponibilité, Intégrité, Confidentialité (DIC), et évaluer les conséquences à prévoir si ces critères de données n’étaient pas remplis. On va se demander par exemple : que se passerait-il si ma donnée n’était plus intègre/confidentielle/disponible? L’entreprise risquerait-elle des poursuites? Un compétiteur serait-il en possession d’information lui donnant un avantage?

Voici un exemple de la manière dont on peut présenter la cote de catégorisation en fonction des trois composantes de la sécurité :

On attribue alors un code à chaque système de données qui va l’identifier selon son importance et les composantes DIC (1 pour le moins important, 4 pour un système ayant un impact très élevé). Chaque code donne une indication sur les mesures à prendre pour arriver au niveau de sécurité adéquat. Plus la cote de catégorisation sera élevée, plus on voudra mettre en place des mécanismes de sécurité qui permettront de protéger l’actif adéquatement.

Exemple de cote de Catégorisation :

On va aussi établir des paramètres minimaux de sécurité nécessaires si un nouveau système est mis en place afin de s’assurer que les données de ce dernier soient bien sécurisées dès le départ.

Enfin, le dernier principe est de s’assurer que la méthode soit reproductible. On s’assure ainsi que la catégorisation des actifs soit faite de manière uniforme dans tous les systèmes.

Est-ce important de faire une catégorisation des actifs avant l’analyse de risques?

 En un mot : oui!

Une bonne catégorisation des actifs est vraiment à la base de la sécurité de l’information. Pour pouvoir investir là où c’est le plus rentable et nécessaire, il faut exécuter cette catégorisation au préalable. Sinon, le risque global augmente et les pertes monétaires pourraient être élevées en cas d’incident.

En catégorisant les actifs au départ, on permet d’investir à la bonne place. Ainsi, on minimise les risques et on réduit les coûts d’analyse de risques.

Qui dans l’organisation est responsable d’évaluer la valeur des systèmes et données qu’ils contiennent?

C’est au propriétaire des systèmes de réaliser une évaluation DIC. Une fois cette étape complétée, elle sera validée par le responsable de la sécurité de l’information. Ce dernier se doit de garder un registre centralisé (registre d’autorité).  Le registre d’autorité regroupe tous les systèmes de l’entreprise avec le code DIC qui y est rattaché.

La catégorisation des actifs est un outil de sécurité « vivant ». Il faudrait la mettre à jour à chaque phase de développement d’un système (ex : migration de données sur le Cloud). Elle doit évoluer en même temps que les systèmes.

Pour conclure, la catégorisation des actifs permet d’établir la valeur des systèmes et des données qui y sont contenues. Il apparait en effet impossible de protéger quelque chose adéquatement si au départ on n’a aucune idée de sa valeur!

Et si la protection comporte des failles, c’est là qu’on s’expose à des coûts à court, moyen et long terme.

Si vous souhaitez à votre tour mettre en place ou optimiser une méthode de catégorisation des actifs pour votre entreprise, contactez-nous!

Enfin, nous vous annonçons en avant-première que Martin sera présent en tant que conférencier le 7 juin prochain, lors de l’événement IT Connect du Champlain College Saint-Lambert. On vous en reparlera davantage au cours des prochains mois!

Hackfest 2018 – Entrevue avec le cofondateur Patrick Rousseau Mathieu

Cyberswat sera partenaire Or lors du Hackfest​, du 2 au 4 novembre 2018. Cela fait déjà plusieurs années que Cyberswat participe à cet événement qui est très important pour nous.

Pour l’occasion, nous avons rencontré le cofondateur Patrick Rousseau Mathieu afin qu’il explique dans ses mots pourquoi le Hackfest est un incontournable dans le milieu québécois de la sécurité de l’information et en quoi l’édition de cette année se démarquera des précédentes.

Spécialisé en sécurité applicative, Patrick s’implique dans le domaine de la sécurité informatique depuis plusieurs années, anime de multiples conférences sur la sécurité du Web et gère l’équipe réalisant les tests d’intrusion à Duo Security. Avec tout ça, il prend le temps de s’occuper de l’événement du Hackfest depuis maintenant 10 ans.

Qu’est-ce qu’est le Hackfest et en quoi est-ce que cet événement se démarque?

Le Hackfest est un organisme sans but lucratif et le plus grand événement en sécurité informatique au Canada. Cette année, on attend plus de 1000 personnes sur place! Il y a d’abord des conférences sur tous les sujets d’actualité du moment. Et puis, il y a les compétitions qui ont fait la renommée de l’événement. Chaque soir, les participants entrent en action et peuvent tester différentes failles des entreprises. En revanche, ce n’est pas juste ça. Le Hackfest, c’est aussi des rencontres mensuelles, un événement en juin et finalement, un podcast en français ouvert à tous, même aux moins initiés. L’émission traite de nouvelles de la sécurité et vulgarise certains sujets sensibles. L’ensemble de ces activités fait en sorte que le Hackfest se démarque des autres événements de sécurité.

Quelle est l’importante des partenaires comme Cyberswat pour vous aider à financer l’événement?

Comme l’événement est géré par un organisme sans but lucratif, un gros pourcentage de notre rentabilité passe par l’aide des partenaires, surtout si on veut que l’entrée reste accessible à la communauté. Par contre, ce n’est pas un spectacle de fournisseurs comme on peut le voir dans d’autres gros événements. Les partenaires ne sont pas là pour afficher leurs gros kiosques; ils sont là, car ils veulent montrer qu’ils font partie de la communauté et cela donne toute une autre ambiance. On ne trouve pas que de grosses entreprises, mais bien des organisations locales qui ont vraiment à cœur de s’impliquer pendant ces 3 jours. D’ailleurs, on en voit souvent plusieurs qui participent aux concours de piratage. Ils ne sont pas là juste pour la publicité.

Est-ce qu’il y a une thématique particulière cette année? Quelles sont les conférences à ne pas manquer?

Cette année, on célèbre nos 10 ans. Donc c’est sûr que tout au long de l’événement, on va mettre en avant la décennie qui vient de se passer avec des jeux rétro et un historique du Hackfest depuis le début. On va aussi animer une conférence au début de l’évènement qui reviendra sur l’origine du Hackfest. Le reste de l’événement restera libre par contre. On n’oblige pas les conférenciers à parler de certains sujets.

Pour ce qui est des conférences à ne pas manquer, je pourrais en nommer trois :

 

Selon vous, quelles sont les principales raisons pour que les entreprises et employés viennent au Hackfest?

Je pense que c’est avant tout pour apprendre. On peut y observer toutes sortes de techniques et on écoute des conférences sur des sujets vraiment variés.

Le Hackfest, c’est également important pour rencontrer les personnes de l’industrie. Du côté recrutement, c’est sûr que c’est gagnant d’être sur place. Et en général, c’est toujours plaisant de rencontrer des gens du même milieu que soi, échanger sur des sujets qui te concernent, etc.

Ce n’est pas juste réservé aux experts techniques. On voit de plus en plus de profils variés du gouvernement et de grandes entreprises. Ils veulent être préparés. On aimerait aller chercher plus de PME qui ne sont peut-être pas encore assez sensibilisées aux risques pour venir dans ce genre d’événements.

Cette année, on pousse encore plus loin le concept de « villages », c’est-à-dire des zones de démonstration sur des thématiques précises. Il y a aura six villages en tout :

  • Ingénierie sociale
  • Réalité virtuelle
  • Internet des objets
  • RFID
  • Soudure
  • Serrure

Ce sont des emplacements thématiques où les participants peuvent se mesurer à divers défis fournis gratuitement par l’organisation du village, dans un grand esprit de collaboration.

Pour terminer, pouvez-vous nous en dire plus sur les concours sur place?

Les concours organisés sont vraiment quelque chose à voir, même si vous ne participez pas. Il y a un DJ sur place, des tables de poker et de blackjack… L’ambiance est unique. Cette année, on rajoute un défi pour nos 10 ans : il faudra trouver les failles les plus connues des 10 dernières années!

Sinon, le concours le plus grand public, c’est probablement celui sur l’ingénierie sociale. Sur scène, devant tout le monde, les participants doivent appeler de vraies entreprises et trouver des informations critiques. Ce sont des informations qui apparaissent mineures, mais mises ensemble, elles sont la clef pour accéder à quelque chose de plus gros. L’ingénierie sociale représente encore un gros défi de conscientisation.

 

À Cyberswat, nous avons bien hâte d’assister au Hackfest. En plus sur place, nous vous réservons un super concours dédié aux spécialistes en sécurité qui vous permettra d’aller assister au prochain Defcon à Las Vegas. Vous trouverez les règlements du concours directement sur place lors de l’évènement. N’oubliez surtout pas de venir nous rencontrer à notre kiosque, pour en savoir plus. En attendant, saviez-vous que nous offrions une multitude d’opportunités à salaire compétitif dans le domaine?  Cliquez vite ici pour comprendre pourquoi vous devriez absolument venir travailler à CyberSwat!

CyberSwat sera partenaire Or au Hackfest – le plus grand rassemblement des spécialistes en sécurité au Québec

Hackfest québec sécurité informatique événement

Nous sommes fiers d’annoncer que nous serons partenaires Or lors de l’événement en sécurité informatique le Hackfest​, du 2 au 4 novembre 2018.  Hackfest est le plus grand rassemblement de piratage informatique éthique au Canada avec plus de 900 participants en 2017 et a lieu depuis 10 ans à Québec.

Cela fait déjà plusieurs années que Cyberswat participe à l’événement. Notre équipe manque rarement une édition!

Cependant, cette année, nous aurons un kiosque visant à nous faire connaître davantage.  Notre entreprise est au cœur de la communauté de cybersécurité au Québec et l’événement du Hackfest est un incontournable pour rencontrer les autres membres de cette communauté et en apprendre plus sur les dernières innovations en sécurité informatique.

En plus, sur place, nous vous réservons un super concours dédié aux spécialistes en sécurité. N’oubliez surtout pas de venir nous rencontrer pour en savoir plus!

L’événement se déroule sur deux journées de conférences techniques en sécurité et piratage informatique et est précédé par 3 journées de formations. En plus de ces conférences, le vendredi soir, les participants peuvent mesurer leur habileté en sécurité et hacking lors d’un CTF (Capture The Flag).

 

Qu’est-ce qu’un CTF – Capture The Flag en cybersécurité?

Capture the Flag (CTF) est une compétition en sécurité de l’information. Il y en a habituellement trois sortes : le péril, l’attaque-défense et les mixtes.

Les compétitions de type Péril : Dans ce jeu, on pose à chaque équipe des questions dans diverses catégories (Web, criminologie, crypto, binaire, etc..). Les équipes peuvent gagner des points pour chaque tâche résolue. L’exemple le plus connu de ce type de CTF a lieu au Defcon.

Les compétitions de type Attaque-défense : Chaque équipe possède son propre réseau avec des points vulnérables. Les équipes ont un peu de temps pour réparer certaines failles, puis tous les réseaux sont connectés et la bataille commence! Tous doivent protéger leur propre réseau en plus d’essayer d’attaquer celui des autres. Historiquement, il s’agit du premier type de Capture the Flag.

Les compétitions mixtes : Parfois, on peut varier le tout et ajouter un temps spécial pour des questions précises au milieu de la bataille de réseau!

Les jeux CTF abordent souvent de nombreux autres aspects de la sécurité : cryptographie, analyse binaire, ingénierie, sécurité mobile et autres. Les bonnes équipes ont généralement des compétences diversifiées et une expérience solide dans tous ces domaines.

 

Le Capture The Flag au Hackfest

Au Hackfest de Québec, il y a plus de 250 joueurs qui participent au CTF et une dizaine de batailles différentes à jouer. C’est toute une expérience! Et c’est aussi unique à voir. En effet, plusieurs ne font que venir en spectateurs pour se laisser inspirer et observer les experts les plus qualifiés en cybersécurité au Québec.

 

En parlant d’experts en sécurité informatique, saviez-vous que nous offrions une multitude d’opportunités à salaire compétitif dans le domaine?  Cliquez vite ici pour comprendre pourquoi vous devriez absolument venir travailler à CyberSwat!

 

Quels sont les risques liés à l’automatisation du commerce de détail?

risques automatisation secteur manufacturier

Il y a quelques mois, la grande chaîne de magasins Simons a annoncé un investissement majeur de 215 millions de dollars dans un centre multiservice de traitement des commandes à la fine pointe de la technologie numérique.

Ce nouveau centre de traitement devrait permettre à Simons d’accroître sa productivité et sa capacité de traitement des commandes, tant pour ses magasins qui ont pignon sur rue qu’en ligne. Pour ce faire, un haut niveau d’automatisation est nécessaire et implique des activités robotisées et informatisées. Le magasin québécois sera en mesure de concurrencer les chaînes internationales comme Gap, Amazon ou Walmart qui bénéficient de ce genre d’automatisation depuis déjà des années.

En contrepartie, Simons deviendra plus dépendant de la technologie. Évidemment, les systèmes informatiques permettent de gagner du temps et de l’argent, mais ils exposent également à plus de risques.

Les risques d’un centre de traitement automatisé et connecté

De nos jours, de plus en plus de services sont accessibles en permanence depuis internet, et la moindre défaillance d’une composante du système d’information peut être lourde de conséquences concrètes : perte de productivité, perte de clients, dégradation de l’image de l’entreprise…

Par exemple, selon le CLUSIF (Club de la sécurité des systèmes d’information français), seulement 1 % des entreprises considèrent que leur dépendance à l’égard de leur système d’information est faible ; pour huit entreprises sur dix, cette dépendance est considérée comme forte. Ce genre de statistiques n’existent pas encore pour le Québec, mais avec la modernisation des entreprises, ils ne doivent pas beaucoup différer!

Les cyber risques frappent désormais le noyau des opérations commerciales de toute entreprise connectée, nonobstant la taille et l’étendue de ses activités commerciales.

Peu importe le nombre d’appareils connectés, l’automatisation des processus commerciaux signifie que les éléments cruciaux au bon roulement de l’entreprise sont vulnérables aux interruptions informatiques.

La disponibilité : un enjeu crucial du secteur manufacturier

En ce qui concerne les risques de cybersécurité touchant le secteur manufacturier, celui de la disponibilité est probablement le plus important.

Pourquoi? D’abord, le nombre de parties prenantes qui interviennent dans la gestion de la chaîne logistique est très grand et tous seraient impactés par une indisponibilité (l’entreprise, ses fournisseurs, ses intermédiaires, ses transporteurs, ses clients, les clients de ses clients…).

Le client final s’attend de plus en plus à une qualité de service hors pair. Une indisponibilité, même mineure, peut se traduire par des déceptions de leur part et donc un lien direct avec le chiffre d’affaires, puisqu’ils cesseront tout simplement d’acheter auprès du magasin fautif.

Enfin, plus la logistique même du centre de traitement repose sur des applications, plus les processus sont exécutés en temps réel et une légère défaillance peut tout faire basculer.

Tout équipement électronique peut constituer un point d’entrée pour un pirate informatique

La disponibilité n’est pas le seul risque à surveiller dans le cas d’un centre de traitement ultra-connecté. L’intégrité est à surveiller de près. Imaginez… un pirate s’introduit dans la chaîne logistique et change les commandes ou détruit les données clients. Ou une erreur de commande inverse les processus.  Des scénarios qui peuvent être plus fréquents qu’on pense!

Il arrive que les pirates ne soient pas simplement à l’affût de gains financiers. Ils cherchent alors à perturber et à se faire remarquer. Un centre de traitement d’un grand magasin est une proie logique pour eux.

Une gestion de risques personnalisée

Les nouvelles technologies sont essentielles au fonctionnement de votre entreprise. Elles sont nécessaires pour que les entreprises du Québec deviennent concurrentielles sur le marché. Par contre, pour que tout se passe sans anicroche, il faut simplement savoir intégrer tous les nouveaux composants dans un plan global de gestion des risques.

 

CyberSwat offre un service de diagnostic de sécurité qui vous permet d’identifier les situations vous mettant à risque. Chaque entreprise est unique et il est important de savoir protéger les composants les plus importants de votre organisation.

Profitez dès aujourd’hui de 100$ de rabais sur votre diagnostic en écrivant le code promotionnel Diag2018 au moment de votre achat!

 

 

Les 5 articles les plus populaires en cybersécurité à lire cet été

Comme les années précédentes, nous allons profiter de la période estivale pour faire une pause d’articles de blogue afin de vous revenir en force en septembre.

Chez CyberSwat, nous travaillons fort pour toujours mieux vous aider à protéger votre entreprise contre les menaces grandissantes sur le marché et l’été est un moment essentiel pour nous ressourcer afin de préparer les mois à venir.

De votre côté, avez-vous des vacances cette année? Dans plusieurs organisations, l’été est plus tranquille au niveau des opérations et les employés peuvent alors en profiter pour parfaire leurs connaissances.

C’est pour cela que nous vous présentons les 5 articles ayant eu le plus de succès depuis l’été dernier. Si vous n’avez pas été en mesure de les lire, c’est le moment de vous rattraper! Ces articles traitent tous des défis cruciaux que vivent les entreprises de nos jours en cybersécurité.

Bonne lecture!

Quelques suggestions de lecture pour se tenir au courant des enjeux actuels de cybersécurité

 

1. Témoignage : La fois où je me suis fait pirater et que ma vie a basculé

Avez-vous déjà vécu un piratage informatique?  Est-ce que vous étiez personnellement visé ou bien est-ce que l’entreprise dans laquelle vous œuvriez était directement visée? Cette année, notre président, Jean-Philippe Racine a décidé de partager avec vous une histoire qui a eu un grand impact sur la personne qu’il est devenu aujourd’hui. Son article a été le plus consulté et le plus partagé du blogue de CyberSwat.

Lire la suite.

 

2. 11 raisons de venir travailler en cybersécurité chez CyberSwat

Notre deuxième article le plus populaire a été au sujet du recrutement.

Le marché de la sécurité informatique est en pleine croissance. Chaque mois, une nouvelle cyberattaque de grande ampleur fait les manchettes. C’est énorme. Or, ce n’est pas tout. Chaque jour, dans l’ombre, de nombreuses attaques sont perpétuées sur de plus petites entreprises sans attirer l’attention des médias. Ces entreprises se retrouvent dans des situations très critiques, faute d’avoir pu se protéger adéquatement. Les entreprises ont besoin d’aide. Les risques de sécurité évoluent à une vitesse fulgurante et les dirigeants ne sont pas outillés pour pouvoir suivre cette évolution.

Afin d’aider toutes ces entreprises, nous sommes entrés dans une phase intensive de recrutement.

Découvrir les 11 raisons de venir travailler chez CyberSwat.

 

3.  Pourquoi le RGPD (ou GDPR) me concerne en tant qu’entreprise canadienne ?

Au printemps 2018, le Règlement Général sur la Protection des Données a beaucoup fait parler de lui et sans surprise, l’article que nous avons rédigé en collaboration avec Mélanie Gagnon de MGSI, se retrouve dans notre top 3.

En apprendre plus.

 

4.  Pourquoi les PME sont-elles de plus en plus victimes de cyberattaques?

Les petites et moyennes entreprises (PME) sont de plus en plus la cible de cyberattaques. Selon Symantec, 54% des escroqueries par courriel visent les PME! Mais pourquoi? Martin Samson, notre directeur conformité a voulu en savoir un peu plus sur le sujet et a mené sa petite enquête.

Lire l’article.

 

5.  À quoi servent les assurances en cyber-risques et comment cela fonctionne

Finalement, un des sujets de l’heure est sans hésitation la question des assurances en cyber-risques. Cette année, nous avons échangé avec Marie-Andrée Labrecque, courtière en assurance commerciale chez Martel&Martel. Grâce à elle, nous avons pu comprendre un peu mieux à quoi sert une assurance en cybersécurité, quels types d’entreprises sont visées ou encore, quelles sont les protections disponibles.

Lire l’entrevue.

 

Bonnes vacances!

L’importance de la gestion des vulnérabilités et comment établir un processus bien défini

processus gestion des vulnérabilités scans

 

Ces derniers temps, sur notre blogue, nous avons surtout écrit au sujet de la gouvernance de la sécurité, en parlant de stratégie, sensibilisation, planification, choix d’assurance…

Nous avons voulu commencer une série d’articles plus tournée vers la sécurité opérationnelle et qui abordera la cybersécurité d’un point de vue plus pratique, avec une touche technique.

En effet, si par exemple, vous êtes responsable de serveurs et d’équipements informatiques, il est indispensable que vous en sachiez plus sur la sécurité opérationnelle.

Pour amorcer cette série, nous avons laissé la parole à Yannick Vollenberg, conseiller en sécurité en mandat pour CyberSwat et diplômé de Polytechnique Montréal en cybersécurité des réseaux informatiques.

Il a voulu nous parler de la gestion des vulnérabilités dans les opérations informatiques.

Yannick Vollenberg processus de gestion des vulnérabilités

 

 

Les vulnérabilités, ainsi que leur exploitation, sont encore aujourd’hui la cause profonde de la plupart des atteintes à la sécurité des données personnelles.  Dans la plupart des cas, la majorité des hackers n’ont pas recours à des méthodes très complexes pour arriver à leurs fins. Ils misent plutôt sur des vulnérabilités connues. Or, le nombre des vulnérabilités découvertes mensuellement est en général de plus de 30 failles par logiciel!

D’emblée, Yannick a d’ailleurs rappelé cette citation de Bruce Schneier : « La sécurité est un processus, pas un produit ».

En effet, pour bien gérer ces vulnérabilités, il ne faut pas les traiter ponctuellement; il faut mettre en place un véritable processus.  Voici donc ce que Yannick vous conseille à ce sujet.

 

Tout d’abord, qu’est-ce qu’une vulnérabilité?

Dans le domaine de la sécurité de l’information, une vulnérabilité est une faille dans un système qui permet à une personne malveillante (menace) de l’exploiter et ainsi porter atteinte à la confidentialité, l’intégrité ou encore la disponibilité d’un système informatique (aussi appelé actif).

Quel est l’objectif de l’analyse des vulnérabilités?

L’objectif de l’analyse des vulnérabilités est de les limiter l’exposition aux risques afin de mieux les maîtriser. Nous pouvons représenter le processus d’analyse à l’aide du diagramme ci-dessous.

 

diagramme analyse processus gestion des vulnérabilités

Comment est-il possible de gérer une vulnérabilité?

Certaines bonnes pratiques peuvent être appliquées pour gérer ses vulnérabilités. Avant toute chose, il faut mener une analyse constante.

La mise en place d’un processus dédié à la gestion des vulnérabilités est importante et celui-ci repose principalement sur :

  1. la veille des vulnérabilités;
  2. les scans de vulnérabilités;
  3. les campagnes de mises à jour.

 

De plus, il est important de suivre ces différentes phases:

  • La mise en place d’un processus d’analyse basé sur les besoins d’affaires de l’entreprise.
  • L’identification des actifs ainsi que les différentes applications utilisées (inventaire).
  • La classification de vos actifs par ordre d’importance, du plus critique au moins critique.
  • Valider si notre entreprise doit se conformer à des réglementations particulières pouvant avoir un impact sur la façon et la fréquence d’analyse des vulnérabilités (ex. : PCI DSS, RGPD, etc.).
  • Bien sûr, il faut également avoir en place des mesures de sécurité comme Pare-feu, IDS, IPS, WAF, SoC, politiques, etc.

 

La veille des vulnérabilités

Une veille des vulnérabilités repose sur les différents bulletins des éditeurs et solutions centralisées de gestion des vulnérabilités. Certaines plateformes publiques centralisent ces bulletins. Par exemple :

  • La Sécurité publique du Canada
  • Le CERT-Fr (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques)
  • Le CERT-US (United state computer emergency readiness team)
  • Le ZDI ( Zero Day Initative)
  • Le CERT/AQ (Équipe de réponse aux incidents de sécurité de l’information de l’administration québécoise.)

 

Une autre approche est celle de la CAPEC (Common Attack Pattern Enumeration and Classification) qui énumère :

  • Les mécanismes de cyber attaques possibles
  • Les domaines de cyber attaques possibles

 

Suite à la publication d’un bulletin de sécurité, il est nécessaire de :

  • valider si la vulnérabilité concerne une solution utilisée par l’organisation.
  • valider si l’actif touché par cette vulnérabilité est exposé sur Internet, depuis l’intranet, etc.
  • valider la sévérité de cette vulnérabilité, c’est-à-dire de déterminer si celle-ci est exploitable à distance ou s’il est nécessaire d’être physiquement devant l’ordinateur par exemple.
  • rédiger une fiche de vulnérabilité telle que définie dans le processus interne de l’organisation.
  • planifier la mise en place du correctif. Si la mise à jour n’est pas possible dans un délai raisonnable en fonction de sa sévérité, il faudra mettre en place des solutions de contournement afin de réduire la surface d’attaque en attendant de pouvoir appliquer le correctif.

 

Les scans de vulnérabilités

En plus de faire la veille des vulnérabilités, il est recommandé d’avoir une solution de détection des vulnérabilités en entreprise. Il en existe plusieurs telles que Qualys, Nessus, Nexpose, QRadar, etc. Ce sont en règle générale des solutions de détection qui reposent sur un outil capable de balayer/scanner tout type d’application et d’équipement possédant une adresse IP et d’en énumérer les vulnérabilités si celles-ci sont connues. Si vous n’avez pas ce type d’outil, des entreprises comme CyberSwat peuvent vous aider à réaliser des tests de ce genre sur votre infrastructure périodiquement.

Contrairement au service de veille qui vous communique tout type de vulnérabilité, le scanneur détermine qu’elles sont les vulnérabilités réellement présentes dans votre environnement.

Idéalement, il faut procéder à un scan de vulnérabilité sur chaque nouvel actif informatique installé sur le réseau de l’entreprise avant sa mise en production. Il coûte généralement moins cher de procéder à la correction des systèmes  avant la mise en production.

 

Les campagnes de mises à jour

Avant de parler des campagnes de mises à jour plus en détail, il importe de s’entretenir d’abord sur les enjeux liés à la disponibilité et des périodes de maintenance des environnements informatiques. Logiquement, toute organisation utilise la notion d’un taux de disponibilité qui est souvent mesuré en pourcentage; par exemple 99 %.

Dans notre exemple, ce pourcentage indique que l’entreprise est en mesure de tolérer une indisponibilité non planifiée du système informatique de 3.65 jours par année. En plus de l’identification de ce besoin de disponibilité, il est habituel de réserver des périodes de maintenance à des moments moins achalandés, notamment pour réaliser les mises à jour des systèmes et la mise en place des correctifs. Avoir des périodes de maintenances bien établies et en cohérence avec les besoins d’affaires de l’organisation aidera grandement un déploiement efficace des correctifs de sécurité.

Lors du déploiement d’un correctif, il faut également que l’organisation ait des lignes directrices et les principes à respecter en fonction de la sensibilité de l’actif et de la criticité de la vulnérabilité.

Ainsi, une vulnérabilité critique pouvant être exploitée à distance par une personne sur Internet devrait être corrigée dans de très court délai, amenant souvent à réaliser une maintenance d’urgence. D’un autre côté, une vulnérabilité de criticité « moyenne » et pouvant être exploité uniquement dans les bureaux de l’organisation pourrait être traitée uniquement lors d’une plage de maintenance planifiée, par exemple, tous les troisièmes mardis soir du mois.

 

Mot de la fin : être accompagné pour réussir son analyse de vulnérabilités

Au quotidien, le mandat que j’occupe actuellement au sein d’un organisme gouvernemental m’amène régulièrement à traiter différentes vulnérabilités telles que présentées dans cet article.

 

Mon expertise ainsi que mon expérience me permettent  de traiter ces vulnérabilités dans un temps raisonnable. Ce traitement est efficace grâce à un processus de gestion des risques bien défini et efficace. Toute organisation détenant des systèmes informatiques doit réaliser l’analyse et la gestion de ses vulnérabilités, que celle-ci soit réalisée en interne, ou bien donnée à un tiers.

 

Si vous avez des questions sur le sujet ou si vous avez d’autres méthodes que vous utilisez et que vous désireriez partager avec nous, n’hésitez pas à nous contacter!

Vous trouvez ça compliqué? N’ayez crainte! CyberSwat peut vous accompagner à évaluer la criticité de vos vulnérabilités et à mettre en place des méthodes/processus pour les gérer dans votre entreprise.

 

Pourquoi le RGPD (ou GDPR) me concerne en tant qu’entreprise canadienne ?

GDPR RGPD

Depuis quelques semaines, vous avez sûrement vu passer des publications au sujet du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais). Le RGPD entrera en application le 25 mai 2018 et vise à harmoniser les règles en matière de protection des données à caractère personnel au sein de l’Union européenne.

Mais alors, en quoi cela vous concerne-t-il ? Vous êtes une entreprise canadienne et vous croyez que ce RGPD ne s’applique qu’aux entreprises européennes ? Détrompez-vous ! L’une des principales caractéristiques de cette réglementation est son champ d’application allant au-delà des frontières de l’Union européenne.

Comme la législation est toujours un peu complexe à comprendre, surtout lorsque celle-ci a été élaborée dans un autre continent que le nôtre, nous avons décidé de poser quelques questions directement à une citoyenne de l’Union européenne, Mélanie Gagnon !

Mélanie a fondé son entreprise en protection des données et sécurité de l’information, MGSI, au Luxembourg, après avoir travaillé plusieurs années dans le domaine au Québec. Elle connaît donc très bien les deux continents et peut comprendre les impacts réels du RGPD sur les entreprises canadiennes.

À qui s’applique ce règlement et pourquoi des entreprises canadiennes peuvent-elles être visées ?

Le règlement s’applique aux données à caractère personnel relatives à des individus qui se trouvent sur le territoire de l’Union européenne. Il peut s’appliquer à une société qui n’a pas de siège en Europe, mais qui offre des biens ou services à des personnes dans l’Union ou qui suit le comportement de ces personnes (par exemple, profilage en ligne des sites Web consultés).

Donc même si vous n’avez pas de bureau dans un pays d’Union européenne, mais que vous y vendez des services ou produits, vous serez concernés !

Petite parenthèse : Qu’est-ce qu’une donnée à caractère personnel dans le cadre du RGPD ?

Une donnée à caractère personnel est définie comme toute information, quels que soient sa nature et son support, se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, prénom, historique de navigation). Même les adresses IP ou les cookies (témoins de connexion) sont concernés. Ce sont des informations que presque toutes les entreprises récoltent dès qu’elles ont un site Web.

Concrètement, cela veut dire quoi ? Dans quel contexte une compagnie canadienne peut-elle être concernée ?

Je peux vous donner quelques exemples :

  • Est-ce que votre société permet à des personnes dans l’Union d’acheter des produits et services en ligne ? Par exemple, la loi concerne une société canadienne spécialisée dans la vente de chaussures si celle-ci permet à des clients situés en Espagne, en Allemagne ou en France de les commander et de se les faire livrer dans l’un de ces pays.
  • Est-ce que vous avez (ou prévoyez) développer une application traitant des données à caractère personnel disponible pour le marché européen ? Ainsi, une plateforme de streaming de musique canadienne qui analyse les goûts musicaux de ses utilisateurs situés au Luxembourg, en Belgique ou aux Pays-Bas sera certainement soumise aux obligations du RGPD.

Si une entreprise s’est reconnue dans un de ces exemples, quels sont les impacts à partir de là ?

Si votre société est soumise au RGPD, cela a de nombreux impacts à ne pas négliger. Notamment :

Obligation de la protection des données dès la conception (et par défaut) : De manière plus générale, les entreprises canadiennes ciblant des Européens devront prendre en compte les règles et principes de protection des données du RGPD dès la mise en œuvre de nouveaux traitements. Elles devront en conséquence documenter cette mise en conformité, en tenant par exemple un registre de traitement et en désignant un DPO, pilote de cette démarche.

Le DPO, pour « Data Protection Officer », est une personne responsable de la protection des données personnelles traitées par un organisme (administration, entreprise…). Ce texte rend sa désignation obligatoire pour un grand nombre de responsables de traitement de données personnelles.

Obligation de la nomination d’un représentant : Une société canadienne se trouvant dans l’obligation de se conformer au RGPD est tenue de désigner un représentant au sein de l’Union européenne. Ce représentant est amené à être le point de contact des autorités de contrôle et des individus.

Obligation de permettre l’exercice des droits des individus : Des mesures doivent être prises par les sociétés canadiennes afin de permettre aux individus d’exercer leurs droits : notamment les droits d’accès, de rectification et d’effacement de leurs données.

Sanctions en cas de non-respect de l’obligation de notification des violations de données: Les sanctions peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le plus élevé, mais il ne faut pas oublier que les autorités de contrôle peuvent également imposer des mesures correctrices, par exemple, ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement.

À partir du 25 mai 2018, toutes les entreprises canadiennes qui souhaitent maintenir leurs relations commerciales avec le marché européen devront se conformer au RGPD ! Une non-conformité pourra se traduire par de lourdes amendes administratives, ou par l’injonction de cesser d’offrir vos produits et services en Union européenne.

Finalement, vous pensez que le RGPD vous concerne ? Vous ne savez pas trop comment aborder les prochaines étapes pour y être conforme ? Pas de panique ! Mélanie Gagnon et CyberSwat s’unissent pour vous proposer une demi-journée de formation, dédiée aux entrepreneurs et dirigeants de PME qui font affaire avec l’Union européenne.

Le 12 juillet à Québec, nous vous donnerons des outils précis pour vous aider à mieux comprendre le règlement, puis à devenir conforme, en nous basant sur votre situation actuelle. Ne manquez pas cette formation unique et concrète !

SVP, remplir le formulaire ci-dessous si vous souhaitez participer.

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.