SANS FRAIS 1 877-777-6412

SéQCure 2019 : entrevue avec le chef d’orchestre de l’événement, Nicolas-Loïc Fortin

Le printemps est officiellement là (ou presque si vous aussi avez encore une belle vue sur la neige) et avec lui arrive la Semaine du numériQC 2019 qui se tiendra du 4 au 14 avril prochain!

Pour ceux qui ne connaissent pas, la Semaine numériQC, c’est LE rendez-vous annuel des professionnels du numérique à Québec! En effet,cette semaine a notamment pour vocation d’éduquer ses participants, les aider à élargir leur réseau, à leur faire tisser des liens, à se faire connaître et à recruter.

Se déroulant maintenant sur plus de 10 jours et abritant plusieurs événements, nous nous intéresserons aujourd’hui tout particulièrement au SéQCure, dont Cyberswat est un l’un des fiers partenaires! Le SéQCure, vous l’aurez deviné, est axé sur la cybersécurité et se tiendra le 8 avril prochain. Vous pourrez venir nous visiter à notre kiosque pendant toute la durée de l’événement!

Pour vous donner une bonne idée de ce à quoi vous attendre avec cet événement, nous avons reçu en entrevue Nicolas-Loïc Fortin, véritable chef d’orchestre de l’événement.

Voici nos questions et ainsi que ses réponses.

1.     Nicolas-Loïc, peux-tu tout d’abord te présenter un peu? Quel est ton parcours?

Bien sûr! Ayant maintenant près de 20 ans dans le domaine des TI et de la sécurité de l’information, j’ai tout d’abord fait mes premières armes en sécurité chez Deloitte au début des années 2000. De fil en aiguille, j’ai fini par fonder ma propre entreprise et je travaille donc à mon compte désormais. Dans les dernières années, j’ai principalement œuvré à titre de consultant en cybersécurité chez des clients dans un contexte gouvernemental.

2.      Peux-tu nous en dire plus concernant ta collaboration avec la Semaine numériQC et le SéQCure?

J’ai d’abord décidé de faire équipe avec Québec Numérique afin de rallier les spécialistes dans le domaine de la sécurité et les aider à maintenir leurs connaissances à jour. Mon rôle est donc non seulement d’informer les spécialistes, mais aussi d’autres participants et de les amener à bien comprendre l’importance de protéger leurs informations. Le tout nous a menés à la création du SéQCure avec qui je collabore à titre de chef d’orchestre avec les autres membres du comité organisateur de l’événement.

3.     Qu’est-ce que l’événement SéQCure et en quoi se démarque-t-il des autres événements en cybersécurité?

Ce qui est particulier avec le SéQCure, c’est qu’il est bâti sur le concept de « sécurité défensive » contrairement à d’autres événements comme le Hackfest, qui lui est orienté « sécurité offensive ». En fait, ces deux événements sont très complémentaires. Ce qu’il faut savoir également est que le SéQCure est le fruit d’une collaboration de plusieurs organisations du domaine, dont ISACA-Québec et l’ASIQ, ce qui en fait un événement incontournable pour toute personne voulant en apprendre davantage dans le domaine de la cybersécurité.

Et cette année, nous avons en plus la collaboration de « In Sec M »,  qui est un regroupement de manufacturiers dans le domaine de la cybersécurité et qui apportera un volet particulier à l’événement.

4.     Peux-tu rapidement nous rappeler la différence entre « sécurité défensive » et « sécurité offensive »?

Oui, c’est assez simple. La sécurité défensive englobe tout ce qui a trait aux moyens qui existent pour se prémunir contre les attaquants dans le but de corriger les faiblesses des systèmes informatiques.

La sécurité offensive, elle, amène à démontrer les faiblesses et failles d’un système, d’un logiciel, etc.  Ces deux concepts sont évidemment étroitement liés.

5.     À qui est adressé l’événement? Quelles sont les principales raisons pour lesquelles les entreprises et leurs employés y viennent?

Le SéQCure est tout d’abord destiné aux professionnels de la cybersécurité afin de les aider à se mettre à jour et à réseauter entre eux. Rien que pour ceci, les gens se déplacent, car ce sont des éléments auxquels ils attribuent beaucoup de valeur afin de favoriser la collaboration dans le marché. De plus, notre partenaire associatif avec In Sec M va attirer aussi beaucoup de monde, car il s’agit d’une organisation novatrice dont l’expertise est reconnue dans tout le Canada.

6.     À combien de personnes vous attendez-vous?

Si on se base sur les dernières années, on peut s’attendre à environ 300 personnes. D’autres événements connexes auront lieu dans le cadre de la Semaine numériQC, ce qui pourrait potentiellement augmenter le nombre de participants.

Par exemple, le 8 avril, en même temps que SéQCure, auront lieu les événements Insurtech QC, Réalité Augmentée Québec ainsi que le Rendez-vous IA Québec spécialisé en intelligence artificielle.

7.     Et enfin, quelles sont les conférences à ne pas manquer cette année?

Je recommande vivement aux gens de participer à la conférence d’Éric Caire, Ministre délégué à la Transformation numérique gouvernementale, qui présentera en à peu près 30 minutes l’espace que la sécurité de l’information prendra dans le projet de transformation numérique du gouvernement. Il y a bien sur de nombreuses autres conférences et conférenciers à aller voir. Vous pouvez suivre les plus récents ajouts le site de l’événement.

 

 

Vous souhaitez assister à l’événement?

Si vous comptez participer à SéQCure, les organisateurs de l’événement vous offrent un rabais de 100$ pour y accéder, valide jusqu’au 28 mars 2019 à 23h45! Vous n’aurez qu’à ajouter le code promotionnel « SeQCure-Cyberswat-article-6574 » au moment de l’inscription.

Pour avoir tous les détails de cette journée, nous vous invitons à aller visiter le site de l’événement ou encore sa page Facebook.

Nous espérons que vous avez aimé cette entrevue et n’hésitez pas à nous contacter  si vous avez des questions, ou encore mieux, venez nous visiter à notre kiosque pendant l’événement !

On espère vous voir le 8 avril prochain!

Nouvelles règles relatives aux atteintes à la vie privée au Canada : entrevue avec une avocate spécialisée

Saviez-vous que depuis le 1er novembre 2018, de nouvelles règles relatives à la divulgation des incidents de sécurité impliquant des renseignement personnels sont entrées en vigueur au Canada? Si votre entreprise est assujettie à la législation canadienne sur la protection des renseignements personnels[1], cela vous concerne directement.

Ces règles ont un impact certain sur la gestion des entreprises. Les dirigeants doivent y être sensibilisés et s’assurer de prendre toutes les mesures nécessaires pour s’y conformer.

Pour faire le point sur ces nouvelles règles, Kateri-Anne Grenier, avocate associée spécialisée en litiges commerciaux et protection de la vie privée au cabinet Fasken, a répondu à nos questions. Voici tout ce que nous avons appris lors de cette entrevue.

 

Kateri-Anne, avant d’aller plus loin sur les récents changements législatifs, pouvez-nous nous en dire plus sur votre parcours?

Je suis diplômée de la faculté de droit à l’Université de Laval, et membre du Barreau depuis 2002. Lorsque la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques (LPRPDE) est entrée en vigueur au début des années 2000, on a observé un essor dans le domaine de la protection de la vie privée au Canada et une prise de conscience, chez les citoyens et les entreprises, de l’importance d’assurer la protection des renseignements personnels.

Cet essor, accompagné d’importants développements technologiques, a aussi vu naître la loi anti-pourriels (début des années 2010). Dès le début des années 2010, le parlement fédéral a reconnu l’importance de mettre à jour la LPRPDE, de l’adapter aux réalités du monde des affaires et du commerce électronique. Le Canada a toujours, également, souhaité se positionner comme leader et conserver une équivalence juridique avec l’Europe vu l’importance du transfert de données à l’international.

Après plusieurs années de travaux, des amendements à la LPRPDE ont été adoptés, complétés par des règlements. Cette dernière phase réglementaire introduit la déclaration obligatoire des atteintes aux mesures de sécurité. Les incidents de cyber sécurité (intrusions, vol de données, demandes de rançon, fraudes) sont en constante croissance et touchent de plus en plus d’entreprises. Dans le cadre de ma pratique, j’interviens fréquemment dans le feu de l’action pour conseiller des entreprises qui subissent des cyber-attaques.

Je travaille également en amont pour amener les entreprises à se structurer et élaborer leur plan de réponse en cas d’attaque ou d’incidents. Elles doivent avoir les bons réflexes lorsqu’elles sont confrontées à des incidents de sécurité. Comme spécialiste des litiges, je les aide aussi à se prémunir et se défendre contre des recours en responsabilité découlant de leur gestion des renseignements personnels, incluant des recours collectifs.

 

Entrons maintenant dans le vif du sujet : pouvez-vous nous parler des nouvelles règles applicables aux entreprises canadiennes dans le cadre d’atteintes aux mesures de sécurité?

Ces nouvelles règles ont été introduites par des amendements à la LPRPDE en 2015 (Projet de loi S4), et complétées par un long processus d’adoption de règlements, ce qui a repoussé leur entrée en vigueur au 1er novembre 2018.

En vertu de ces dispositions, les organisations sont tenues d’informer (1) les personnes visées et (2) le Commissariat à la protection de la vie privée du Canada des atteintes à la vie privée, dans certaines circonstances précises.

À moins d’une interdiction prévue dans la loi, l’organisation doit aviser les personnes visées et déclarer les atteintes à la protection des données personnelles au Commissariat dès que possible, en respectant les modalités prescrites, s’il est raisonnable de croire que l’atteinte présente « un risque réel de préjudice grave à l’endroit d’un individu ».

La définition de « préjudice grave » aux termes de la LPRPDE comprend, parmi d’autres préjudices, l’humiliation, le dommage à la réputation ou aux relations, le vol d’identité, des pertes financières, atteinte au dossier de crédit, possibilité de perte d’emploi etc.

Afin de déterminer s’il existe un « risque réel », il faut considérer le degré de sensibilité des renseignements personnels en cause, la probabilité que les renseignements soient utilisés de manière abusive et tout autre élément prescrit. Le Règlement n’identifie aucun autre facteur, toutefois le Commissariat a publié des lignes directrices à cet égard.

Lorsqu’un incident se produit, il faut prendre en compte le degré de sensibilité des données en jeu, ainsi que la probabilité que ces dernières puissent être utilisées à mauvais escient.

Il s’agit aussi de comprendre l’origine de l’incident : est-ce un acte volontaire, quel individu aurait pu se saisir des renseignements et à quelles fins? Si la victime peut agir afin de réduire les risques, cela penche en faveur d’une divulgation rapide, le but ultime étant toujours de minimiser au maximum les répercussions possibles pour la personne et aussi, de garder le lien de confiance entre l’entreprise, sa clientèle, ses employés et le public. Une atteinte aux mesures de sécurité peut toucher tout le monde, même des entreprises qui ont mis en place des systèmes de défense sophistiqués et qui ne sont pas négligentes dans leur gestion des renseignements personnels. Les pirates informatiques ont recours, dans certains cas, à des technologies capables de déjouer les systèmes de défense, et il ne faut pas oublier le facteur humain : un seul employé qui clique sur une pièce jointe d’un courriel contaminé peut offrir une porte d’entrée à un virus. Dans la majorité des cas, les entreprises ont tout intérêt à faire face à la situation de manière proactive et transparente.

Afin de ne pas créer de vague de panique ou laisser place aux spéculations, il est recommandé, avant de faire des déclarations publiques ou de notifier les autorités, d’être en possession des faits et d’avoir établi une voie de passage vers une solution. Les avocats spécialisés et les experts en sécurité jouent un rôle actif dans l’investigation, de manière à pouvoir ensuite identifier les risques, orienter les actions stratégiques à poser et effectuer les divulgations requises.

 

Que risque-t-on si l’on ne se conforme pas à la législation?

La loi prévoit des seuils de pénalités par la procédure sommaire (jusqu’à 10 000$) et par acte d’accusation (jusqu’à 100 000$).

Les textes réfèrent à une intention de commettre une infraction, ce qui sera sujet à interprétation.

Toutefois, au-delà de ces sanctions prévues dans la loi, nous avisons nos clients qu’ils doivent avant tout considérer le risque d’interruption d’affaires, de perte de clientèle et de recours civils, notamment la possibilité pour les victimes d’une atteinte à la vie privée d’utiliser la procédure de recours collectif. Les risques financiers et réputationnels sont alors très importants. La réaction d’une entreprise face à une cyber-attaque aura une importance capitale vis-à-vis ses clients et face au public.

 

Certaines provinces telles la Colombie-Britannique, l’Alberta et le Québec disposent déjà de lois équivalentes en matière de protection de la vie privée qui remplace l’application de la législation fédérale en matière de vie privée. Les entreprises œuvrant dans ces juridictions sont-elles concernées?

Les entreprises fédérales, notamment les banques, certaines entreprises de télécommunications ou agissant dans un secteur d’activité en lien avec le transport maritime, aérien ou encore les stations de radio diffusion, même si elles œuvrent uniquement au Québec, sont assujetties d’office à ces règles.

Quant aux autres entreprises, il subsiste encore un certain flou quant à l’application de ces règles vu la législation provinciale spécifique. Par contre, une entreprise qui a des activités à l’extérieur du Québec qui impliquent la collecte, la détention ou la communication des renseignements personnels à l’extérieur du Québec sera vraisemblablement soumise à ces règles, minimalement pour les situations visant ces renseignements personnels.

 

Doit-on avertir la police?

La loi oblige la divulgation au Commissariat fédéral à la protection de la vie privée du Canada. L’opportunité d’enclencher une enquête policière en parallèle de l’incident doit être évaluée au cas par cas.  On va alors tenir compte de plusieurs facteurs tels la nature de l’incident, le temps dont dispose l’entreprise pour solutionner la difficulté et l’impact de la démarche sur la réduction ou l’atténuation du préjudice qui pourrait être causé aux personnes concernées. Soulignons aussi que ces nouvelles mesures obligent de donner avis à toute autre organisation ou institution gouvernementale, si tel avis peut réduire le risque de préjudice pouvant résulter de l’atteinte ou atténuer ce préjudice.

Pour résumer, quelles mesures pratiques les entreprises peuvent-elles mettre en place pour se conformer aux nouvelles règles entrées en vigueur le 1er novembre?

Les entreprises assujetties doivent savoir qu’elles sont maintenant obligées de tenir un registre relatif aux atteintes aux mesures de sécurité pendant au moins 24 mois suivant la date à laquelle l’entreprise conclut que l’atteinte a eu lieu. Noter que cette exigence s’applique à toutes les attaques et non seulement à celles qui ont nécessité une divulgation, vu l’existence d’un risque réel de préjudice grave. Dans tous les cas, les informations contenues au registre doivent permettre au Commissariat de savoir quelles atteintes ont fait l’objet de divulgation et en l’absence de telle divulgation, les motifs au soutien. Le Commissariat peut demander la communication du registre, entamer une enquête, demander un audit et même rendre le registre public si l’intérêt public l’exige.

Nous invitons aussi les entreprises à se positionner sur l’application de ces règles par rapport aux renseignements personnels qu’elles collectent, détiennent ou communiquent. Elles devraient aussi évaluer leur capacité de détection des incidents. Des firmes spécialisées peuvent mener des tests d’intrusion et il nous est arrivé de mener une opération de simulation d’incident de A à Z pour des clients afin de les conseiller en sécurité informatique. Au-delà de l’aspect technologique, la formation des employés est très importante. Les entreprises devraient en profiter pour mettre à mettre à jour leurs plans d’intervention en cas d’incidents et revoir leurs ententes avec leurs fournisseurs lorsqu’elles confient la gestion de renseignements personnels à l’externe. Finalement, nous leur conseillons de réviser et comprendre leur couverture d’assurance actuelle en matière de cyber risques. Cela leur permettra de déterminer si celle-ci les couvre adéquatement pour les coûts qui découleront des obligations imposées par les nouvelles règles de divulgation.

Il est très important de s’entourer à l’avance des bons spécialistes : cabinet d’avocats, firme en cybersécurité de gestion d’incident, firme de communication et assureur.

 

Notre entrevue vous a interpellé et vous souhaitez en savoir plus? N’hésitez pas à nous contacter ou encore à contacter Kateri-Anne Grenier.

Pour une analyse détaillée des nouvelles règles et répercussions à l’intention des entreprises en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), vous pouvez consulter le bulletin intitulé Nouvelles règles importantes en matière de déclaration obligatoire d’atteinte à la vie privée et de tenue de registres au Canada.

 

Si vous souhaitez mettre en place ou renforcer vos actions de préventions de risques en cybersécurité, nous sommes là pour vous conseiller. Contactez-nous dès maintenant.

[1] Loi sur la protection des renseignements personnels et les documents électroniques

Catégorisation des actifs: la recette pour bien évaluer la valeur de votre entreprise

Aujourd’hui, nous aimerions vous parler d’un de nos sujet préférés car il fait vraiment partie des incontournables en matière de sécurité informatique : la catégorisation des actifs.

Pour vous offrir la meilleure compréhension possible, Martin M. Samson, consultant en conformité et sécurité chez Groupe Cyberswat, a accepté de faire un survol du sujet. Cette entrevue a donc pour but de vous informer sur la catégorisation des actifs, ce qu’elle signifie, les grands principes, et son importance en matière de sécurité de l’information.

Pour débuter, nous aimerions vous présenter davantage Martin.

Martin est un professionnel en sécurité et bien connu du marché québécois, CGEIT, CISM, CRISC et ISO 27001 lead auditor. Il possède une vaste expérience en gestion de projets informatiques.
Il est de plus très familier avec les contextes de l’organisation privée, gouvernementale et bancaire, et est titulaire d’un diplôme universitaire de 2e cycle à la faculté d’administration de l’Université de Sherbrooke en «Gouvernance, audit et sécurité des technologies de l’information».

En bref, on peut dire que la sécurité de l’information en entreprise, c’est vraiment sa tasse de thé. Voici donc ce qu’il a à nous dire sur la catégorisation des actifs.

Martin, peux-tu nous parler un peu des projets dans lesquels tu as été impliqué au cours des dernières années?

J’ai travaillé, dans les dernières années, auprès de plusieurs clients sur des mandats en lien direct avec la catégorisation des actifs. Mon rôle a été d’implémenter ou d’améliorer/optimiser les méthodes de catégorisation des actifs, afin que la gestion de la sécurité soit plus rentable pour les entreprises.

J’ai aussi participé à l’élaboration d’un système de catégorisation des actifs très novateur dans le domaine du transport.

En terme de taille d’entreprises, j’ai surtout travaillés avec des grandes entreprises. Il y a cependant un projet chez Cyberswat visant à simplifier la façon de catégoriser l’information afin que le tout soit réalisable également en PME.

Peux-tu maintenant nous aider à définir cette notion qu’est la catégorisation des actifs?

 La catégorisation des actifs représente la base de la sécurité de l’information. C’est grâce à elle que l’on va réussir à investir le budget de sécurité de façon adéquate. En réalisant cette catégorisation, on identifie les systèmes et données qu’ils contiennent et les classer par ordre d’importance. Les plus importants, surnommés les « Crown Jewells », doivent être très sécurisés.

Il faut savoir aussi que les systèmes et données les plus importants qui doivent être protégés en priorité varient d’une entreprise à une autre. On n’accorde pas la même importance aux mêmes données que l’on soit une PME ou une grande entreprise par exemple. Il y aura également des ajustements selon le type de produit ou service que l’on vend. Les aspects légaux de chaque PME peut faire varier les besoins de sécurisation. C’est pourquoi ils doivent être tenus en compte lors de l’exercice de catégorisation.

Quels sont les grands principes reliés à la catégorisation des actifs?

Le premier principe serait de regarder les données en terme de Disponibilité, Intégrité, Confidentialité (DIC), et évaluer les conséquences à prévoir si ces critères de données n’étaient pas remplis. On va se demander par exemple : que se passerait-il si ma donnée n’était plus intègre/confidentielle/disponible? L’entreprise risquerait-elle des poursuites? Un compétiteur serait-il en possession d’information lui donnant un avantage?

Voici un exemple de la manière dont on peut présenter la cote de catégorisation en fonction des trois composantes de la sécurité :

On attribue alors un code à chaque système de données qui va l’identifier selon son importance et les composantes DIC (1 pour le moins important, 4 pour un système ayant un impact très élevé). Chaque code donne une indication sur les mesures à prendre pour arriver au niveau de sécurité adéquat. Plus la cote de catégorisation sera élevée, plus on voudra mettre en place des mécanismes de sécurité qui permettront de protéger l’actif adéquatement.

Exemple de cote de Catégorisation :

On va aussi établir des paramètres minimaux de sécurité nécessaires si un nouveau système est mis en place afin de s’assurer que les données de ce dernier soient bien sécurisées dès le départ.

Enfin, le dernier principe est de s’assurer que la méthode soit reproductible. On s’assure ainsi que la catégorisation des actifs soit faite de manière uniforme dans tous les systèmes.

Est-ce important de faire une catégorisation des actifs avant l’analyse de risques?

 En un mot : oui!

Une bonne catégorisation des actifs est vraiment à la base de la sécurité de l’information. Pour pouvoir investir là où c’est le plus rentable et nécessaire, il faut exécuter cette catégorisation au préalable. Sinon, le risque global augmente et les pertes monétaires pourraient être élevées en cas d’incident.

En catégorisant les actifs au départ, on permet d’investir à la bonne place. Ainsi, on minimise les risques et on réduit les coûts d’analyse de risques.

Qui dans l’organisation est responsable d’évaluer la valeur des systèmes et données qu’ils contiennent?

C’est au propriétaire des systèmes de réaliser une évaluation DIC. Une fois cette étape complétée, elle sera validée par le responsable de la sécurité de l’information. Ce dernier se doit de garder un registre centralisé (registre d’autorité).  Le registre d’autorité regroupe tous les systèmes de l’entreprise avec le code DIC qui y est rattaché.

La catégorisation des actifs est un outil de sécurité « vivant ». Il faudrait la mettre à jour à chaque phase de développement d’un système (ex : migration de données sur le Cloud). Elle doit évoluer en même temps que les systèmes.

Pour conclure, la catégorisation des actifs permet d’établir la valeur des systèmes et des données qui y sont contenues. Il apparait en effet impossible de protéger quelque chose adéquatement si au départ on n’a aucune idée de sa valeur!

Et si la protection comporte des failles, c’est là qu’on s’expose à des coûts à court, moyen et long terme.

Si vous souhaitez à votre tour mettre en place ou optimiser une méthode de catégorisation des actifs pour votre entreprise, contactez-nous!

Enfin, nous vous annonçons en avant-première que Martin sera présent en tant que conférencier le 7 juin prochain, lors de l’événement IT Connect du Champlain College Saint-Lambert. On vous en reparlera davantage au cours des prochains mois!

Hackfest 2018 – Entrevue avec le cofondateur Patrick Rousseau Mathieu

Cyberswat sera partenaire Or lors du Hackfest​, du 2 au 4 novembre 2018. Cela fait déjà plusieurs années que Cyberswat participe à cet événement qui est très important pour nous.

Pour l’occasion, nous avons rencontré le cofondateur Patrick Rousseau Mathieu afin qu’il explique dans ses mots pourquoi le Hackfest est un incontournable dans le milieu québécois de la sécurité de l’information et en quoi l’édition de cette année se démarquera des précédentes.

Spécialisé en sécurité applicative, Patrick s’implique dans le domaine de la sécurité informatique depuis plusieurs années, anime de multiples conférences sur la sécurité du Web et gère l’équipe réalisant les tests d’intrusion à Duo Security. Avec tout ça, il prend le temps de s’occuper de l’événement du Hackfest depuis maintenant 10 ans.

Qu’est-ce qu’est le Hackfest et en quoi est-ce que cet événement se démarque?

Le Hackfest est un organisme sans but lucratif et le plus grand événement en sécurité informatique au Canada. Cette année, on attend plus de 1000 personnes sur place! Il y a d’abord des conférences sur tous les sujets d’actualité du moment. Et puis, il y a les compétitions qui ont fait la renommée de l’événement. Chaque soir, les participants entrent en action et peuvent tester différentes failles des entreprises. En revanche, ce n’est pas juste ça. Le Hackfest, c’est aussi des rencontres mensuelles, un événement en juin et finalement, un podcast en français ouvert à tous, même aux moins initiés. L’émission traite de nouvelles de la sécurité et vulgarise certains sujets sensibles. L’ensemble de ces activités fait en sorte que le Hackfest se démarque des autres événements de sécurité.

Quelle est l’importante des partenaires comme Cyberswat pour vous aider à financer l’événement?

Comme l’événement est géré par un organisme sans but lucratif, un gros pourcentage de notre rentabilité passe par l’aide des partenaires, surtout si on veut que l’entrée reste accessible à la communauté. Par contre, ce n’est pas un spectacle de fournisseurs comme on peut le voir dans d’autres gros événements. Les partenaires ne sont pas là pour afficher leurs gros kiosques; ils sont là, car ils veulent montrer qu’ils font partie de la communauté et cela donne toute une autre ambiance. On ne trouve pas que de grosses entreprises, mais bien des organisations locales qui ont vraiment à cœur de s’impliquer pendant ces 3 jours. D’ailleurs, on en voit souvent plusieurs qui participent aux concours de piratage. Ils ne sont pas là juste pour la publicité.

Est-ce qu’il y a une thématique particulière cette année? Quelles sont les conférences à ne pas manquer?

Cette année, on célèbre nos 10 ans. Donc c’est sûr que tout au long de l’événement, on va mettre en avant la décennie qui vient de se passer avec des jeux rétro et un historique du Hackfest depuis le début. On va aussi animer une conférence au début de l’évènement qui reviendra sur l’origine du Hackfest. Le reste de l’événement restera libre par contre. On n’oblige pas les conférenciers à parler de certains sujets.

Pour ce qui est des conférences à ne pas manquer, je pourrais en nommer trois :

 

Selon vous, quelles sont les principales raisons pour que les entreprises et employés viennent au Hackfest?

Je pense que c’est avant tout pour apprendre. On peut y observer toutes sortes de techniques et on écoute des conférences sur des sujets vraiment variés.

Le Hackfest, c’est également important pour rencontrer les personnes de l’industrie. Du côté recrutement, c’est sûr que c’est gagnant d’être sur place. Et en général, c’est toujours plaisant de rencontrer des gens du même milieu que soi, échanger sur des sujets qui te concernent, etc.

Ce n’est pas juste réservé aux experts techniques. On voit de plus en plus de profils variés du gouvernement et de grandes entreprises. Ils veulent être préparés. On aimerait aller chercher plus de PME qui ne sont peut-être pas encore assez sensibilisées aux risques pour venir dans ce genre d’événements.

Cette année, on pousse encore plus loin le concept de « villages », c’est-à-dire des zones de démonstration sur des thématiques précises. Il y a aura six villages en tout :

  • Ingénierie sociale
  • Réalité virtuelle
  • Internet des objets
  • RFID
  • Soudure
  • Serrure

Ce sont des emplacements thématiques où les participants peuvent se mesurer à divers défis fournis gratuitement par l’organisation du village, dans un grand esprit de collaboration.

Pour terminer, pouvez-vous nous en dire plus sur les concours sur place?

Les concours organisés sont vraiment quelque chose à voir, même si vous ne participez pas. Il y a un DJ sur place, des tables de poker et de blackjack… L’ambiance est unique. Cette année, on rajoute un défi pour nos 10 ans : il faudra trouver les failles les plus connues des 10 dernières années!

Sinon, le concours le plus grand public, c’est probablement celui sur l’ingénierie sociale. Sur scène, devant tout le monde, les participants doivent appeler de vraies entreprises et trouver des informations critiques. Ce sont des informations qui apparaissent mineures, mais mises ensemble, elles sont la clef pour accéder à quelque chose de plus gros. L’ingénierie sociale représente encore un gros défi de conscientisation.

 

À Cyberswat, nous avons bien hâte d’assister au Hackfest. En plus sur place, nous vous réservons un super concours dédié aux spécialistes en sécurité qui vous permettra d’aller assister au prochain Defcon à Las Vegas. Vous trouverez les règlements du concours directement sur place lors de l’évènement. N’oubliez surtout pas de venir nous rencontrer à notre kiosque, pour en savoir plus. En attendant, saviez-vous que nous offrions une multitude d’opportunités à salaire compétitif dans le domaine?  Cliquez vite ici pour comprendre pourquoi vous devriez absolument venir travailler à CyberSwat!

CyberSwat sera partenaire Or au Hackfest – le plus grand rassemblement des spécialistes en sécurité au Québec

Hackfest québec sécurité informatique événement

Nous sommes fiers d’annoncer que nous serons partenaires Or lors de l’événement en sécurité informatique le Hackfest​, du 2 au 4 novembre 2018.  Hackfest est le plus grand rassemblement de piratage informatique éthique au Canada avec plus de 900 participants en 2017 et a lieu depuis 10 ans à Québec.

Cela fait déjà plusieurs années que Cyberswat participe à l’événement. Notre équipe manque rarement une édition!

Cependant, cette année, nous aurons un kiosque visant à nous faire connaître davantage.  Notre entreprise est au cœur de la communauté de cybersécurité au Québec et l’événement du Hackfest est un incontournable pour rencontrer les autres membres de cette communauté et en apprendre plus sur les dernières innovations en sécurité informatique.

En plus, sur place, nous vous réservons un super concours dédié aux spécialistes en sécurité. N’oubliez surtout pas de venir nous rencontrer pour en savoir plus!

L’événement se déroule sur deux journées de conférences techniques en sécurité et piratage informatique et est précédé par 3 journées de formations. En plus de ces conférences, le vendredi soir, les participants peuvent mesurer leur habileté en sécurité et hacking lors d’un CTF (Capture The Flag).

 

Qu’est-ce qu’un CTF – Capture The Flag en cybersécurité?

Capture the Flag (CTF) est une compétition en sécurité de l’information. Il y en a habituellement trois sortes : le péril, l’attaque-défense et les mixtes.

Les compétitions de type Péril : Dans ce jeu, on pose à chaque équipe des questions dans diverses catégories (Web, criminologie, crypto, binaire, etc..). Les équipes peuvent gagner des points pour chaque tâche résolue. L’exemple le plus connu de ce type de CTF a lieu au Defcon.

Les compétitions de type Attaque-défense : Chaque équipe possède son propre réseau avec des points vulnérables. Les équipes ont un peu de temps pour réparer certaines failles, puis tous les réseaux sont connectés et la bataille commence! Tous doivent protéger leur propre réseau en plus d’essayer d’attaquer celui des autres. Historiquement, il s’agit du premier type de Capture the Flag.

Les compétitions mixtes : Parfois, on peut varier le tout et ajouter un temps spécial pour des questions précises au milieu de la bataille de réseau!

Les jeux CTF abordent souvent de nombreux autres aspects de la sécurité : cryptographie, analyse binaire, ingénierie, sécurité mobile et autres. Les bonnes équipes ont généralement des compétences diversifiées et une expérience solide dans tous ces domaines.

 

Le Capture The Flag au Hackfest

Au Hackfest de Québec, il y a plus de 250 joueurs qui participent au CTF et une dizaine de batailles différentes à jouer. C’est toute une expérience! Et c’est aussi unique à voir. En effet, plusieurs ne font que venir en spectateurs pour se laisser inspirer et observer les experts les plus qualifiés en cybersécurité au Québec.

 

En parlant d’experts en sécurité informatique, saviez-vous que nous offrions une multitude d’opportunités à salaire compétitif dans le domaine?  Cliquez vite ici pour comprendre pourquoi vous devriez absolument venir travailler à CyberSwat!

 

Les 5 articles les plus populaires en cybersécurité à lire cet été

Comme les années précédentes, nous allons profiter de la période estivale pour faire une pause d’articles de blogue afin de vous revenir en force en septembre.

Chez CyberSwat, nous travaillons fort pour toujours mieux vous aider à protéger votre entreprise contre les menaces grandissantes sur le marché et l’été est un moment essentiel pour nous ressourcer afin de préparer les mois à venir.

De votre côté, avez-vous des vacances cette année? Dans plusieurs organisations, l’été est plus tranquille au niveau des opérations et les employés peuvent alors en profiter pour parfaire leurs connaissances.

C’est pour cela que nous vous présentons les 5 articles ayant eu le plus de succès depuis l’été dernier. Si vous n’avez pas été en mesure de les lire, c’est le moment de vous rattraper! Ces articles traitent tous des défis cruciaux que vivent les entreprises de nos jours en cybersécurité.

Bonne lecture!

Quelques suggestions de lecture pour se tenir au courant des enjeux actuels de cybersécurité

 

1. Témoignage : La fois où je me suis fait pirater et que ma vie a basculé

Avez-vous déjà vécu un piratage informatique?  Est-ce que vous étiez personnellement visé ou bien est-ce que l’entreprise dans laquelle vous œuvriez était directement visée? Cette année, notre président, Jean-Philippe Racine a décidé de partager avec vous une histoire qui a eu un grand impact sur la personne qu’il est devenu aujourd’hui. Son article a été le plus consulté et le plus partagé du blogue de CyberSwat.

Lire la suite.

 

2. 11 raisons de venir travailler en cybersécurité chez CyberSwat

Notre deuxième article le plus populaire a été au sujet du recrutement.

Le marché de la sécurité informatique est en pleine croissance. Chaque mois, une nouvelle cyberattaque de grande ampleur fait les manchettes. C’est énorme. Or, ce n’est pas tout. Chaque jour, dans l’ombre, de nombreuses attaques sont perpétuées sur de plus petites entreprises sans attirer l’attention des médias. Ces entreprises se retrouvent dans des situations très critiques, faute d’avoir pu se protéger adéquatement. Les entreprises ont besoin d’aide. Les risques de sécurité évoluent à une vitesse fulgurante et les dirigeants ne sont pas outillés pour pouvoir suivre cette évolution.

Afin d’aider toutes ces entreprises, nous sommes entrés dans une phase intensive de recrutement.

Découvrir les 11 raisons de venir travailler chez CyberSwat.

 

3.  Pourquoi le RGPD (ou GDPR) me concerne en tant qu’entreprise canadienne ?

Au printemps 2018, le Règlement Général sur la Protection des Données a beaucoup fait parler de lui et sans surprise, l’article que nous avons rédigé en collaboration avec Mélanie Gagnon de MGSI, se retrouve dans notre top 3.

En apprendre plus.

 

4.  Pourquoi les PME sont-elles de plus en plus victimes de cyberattaques?

Les petites et moyennes entreprises (PME) sont de plus en plus la cible de cyberattaques. Selon Symantec, 54% des escroqueries par courriel visent les PME! Mais pourquoi? Martin Samson, notre directeur conformité a voulu en savoir un peu plus sur le sujet et a mené sa petite enquête.

Lire l’article.

 

5.  À quoi servent les assurances en cyber-risques et comment cela fonctionne

Finalement, un des sujets de l’heure est sans hésitation la question des assurances en cyber-risques. Cette année, nous avons échangé avec Marie-Andrée Labrecque, courtière en assurance commerciale chez Martel&Martel. Grâce à elle, nous avons pu comprendre un peu mieux à quoi sert une assurance en cybersécurité, quels types d’entreprises sont visées ou encore, quelles sont les protections disponibles.

Lire l’entrevue.

 

Bonnes vacances!

L’importance de la gestion des vulnérabilités et comment établir un processus bien défini

processus gestion des vulnérabilités scans

 

Ces derniers temps, sur notre blogue, nous avons surtout écrit au sujet de la gouvernance de la sécurité, en parlant de stratégie, sensibilisation, planification, choix d’assurance…

Nous avons voulu commencer une série d’articles plus tournée vers la sécurité opérationnelle et qui abordera la cybersécurité d’un point de vue plus pratique, avec une touche technique.

En effet, si par exemple, vous êtes responsable de serveurs et d’équipements informatiques, il est indispensable que vous en sachiez plus sur la sécurité opérationnelle.

Pour amorcer cette série, nous avons laissé la parole à Yannick Vollenberg, conseiller en sécurité en mandat pour CyberSwat et diplômé de Polytechnique Montréal en cybersécurité des réseaux informatiques.

Il a voulu nous parler de la gestion des vulnérabilités dans les opérations informatiques.

Yannick Vollenberg processus de gestion des vulnérabilités

 

 

Les vulnérabilités, ainsi que leur exploitation, sont encore aujourd’hui la cause profonde de la plupart des atteintes à la sécurité des données personnelles.  Dans la plupart des cas, la majorité des hackers n’ont pas recours à des méthodes très complexes pour arriver à leurs fins. Ils misent plutôt sur des vulnérabilités connues. Or, le nombre des vulnérabilités découvertes mensuellement est en général de plus de 30 failles par logiciel!

D’emblée, Yannick a d’ailleurs rappelé cette citation de Bruce Schneier : « La sécurité est un processus, pas un produit ».

En effet, pour bien gérer ces vulnérabilités, il ne faut pas les traiter ponctuellement; il faut mettre en place un véritable processus.  Voici donc ce que Yannick vous conseille à ce sujet.

 

Tout d’abord, qu’est-ce qu’une vulnérabilité?

Dans le domaine de la sécurité de l’information, une vulnérabilité est une faille dans un système qui permet à une personne malveillante (menace) de l’exploiter et ainsi porter atteinte à la confidentialité, l’intégrité ou encore la disponibilité d’un système informatique (aussi appelé actif).

Quel est l’objectif de l’analyse des vulnérabilités?

L’objectif de l’analyse des vulnérabilités est de les limiter l’exposition aux risques afin de mieux les maîtriser. Nous pouvons représenter le processus d’analyse à l’aide du diagramme ci-dessous.

 

diagramme analyse processus gestion des vulnérabilités

Comment est-il possible de gérer une vulnérabilité?

Certaines bonnes pratiques peuvent être appliquées pour gérer ses vulnérabilités. Avant toute chose, il faut mener une analyse constante.

La mise en place d’un processus dédié à la gestion des vulnérabilités est importante et celui-ci repose principalement sur :

  1. la veille des vulnérabilités;
  2. les scans de vulnérabilités;
  3. les campagnes de mises à jour.

 

De plus, il est important de suivre ces différentes phases:

  • La mise en place d’un processus d’analyse basé sur les besoins d’affaires de l’entreprise.
  • L’identification des actifs ainsi que les différentes applications utilisées (inventaire).
  • La classification de vos actifs par ordre d’importance, du plus critique au moins critique.
  • Valider si notre entreprise doit se conformer à des réglementations particulières pouvant avoir un impact sur la façon et la fréquence d’analyse des vulnérabilités (ex. : PCI DSS, RGPD, etc.).
  • Bien sûr, il faut également avoir en place des mesures de sécurité comme Pare-feu, IDS, IPS, WAF, SoC, politiques, etc.

 

La veille des vulnérabilités

Une veille des vulnérabilités repose sur les différents bulletins des éditeurs et solutions centralisées de gestion des vulnérabilités. Certaines plateformes publiques centralisent ces bulletins. Par exemple :

  • La Sécurité publique du Canada
  • Le CERT-Fr (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques)
  • Le CERT-US (United state computer emergency readiness team)
  • Le ZDI ( Zero Day Initative)
  • Le CERT/AQ (Équipe de réponse aux incidents de sécurité de l’information de l’administration québécoise.)

 

Une autre approche est celle de la CAPEC (Common Attack Pattern Enumeration and Classification) qui énumère :

  • Les mécanismes de cyber attaques possibles
  • Les domaines de cyber attaques possibles

 

Suite à la publication d’un bulletin de sécurité, il est nécessaire de :

  • valider si la vulnérabilité concerne une solution utilisée par l’organisation.
  • valider si l’actif touché par cette vulnérabilité est exposé sur Internet, depuis l’intranet, etc.
  • valider la sévérité de cette vulnérabilité, c’est-à-dire de déterminer si celle-ci est exploitable à distance ou s’il est nécessaire d’être physiquement devant l’ordinateur par exemple.
  • rédiger une fiche de vulnérabilité telle que définie dans le processus interne de l’organisation.
  • planifier la mise en place du correctif. Si la mise à jour n’est pas possible dans un délai raisonnable en fonction de sa sévérité, il faudra mettre en place des solutions de contournement afin de réduire la surface d’attaque en attendant de pouvoir appliquer le correctif.

 

Les scans de vulnérabilités

En plus de faire la veille des vulnérabilités, il est recommandé d’avoir une solution de détection des vulnérabilités en entreprise. Il en existe plusieurs telles que Qualys, Nessus, Nexpose, QRadar, etc. Ce sont en règle générale des solutions de détection qui reposent sur un outil capable de balayer/scanner tout type d’application et d’équipement possédant une adresse IP et d’en énumérer les vulnérabilités si celles-ci sont connues. Si vous n’avez pas ce type d’outil, des entreprises comme CyberSwat peuvent vous aider à réaliser des tests de ce genre sur votre infrastructure périodiquement.

Contrairement au service de veille qui vous communique tout type de vulnérabilité, le scanneur détermine qu’elles sont les vulnérabilités réellement présentes dans votre environnement.

Idéalement, il faut procéder à un scan de vulnérabilité sur chaque nouvel actif informatique installé sur le réseau de l’entreprise avant sa mise en production. Il coûte généralement moins cher de procéder à la correction des systèmes  avant la mise en production.

 

Les campagnes de mises à jour

Avant de parler des campagnes de mises à jour plus en détail, il importe de s’entretenir d’abord sur les enjeux liés à la disponibilité et des périodes de maintenance des environnements informatiques. Logiquement, toute organisation utilise la notion d’un taux de disponibilité qui est souvent mesuré en pourcentage; par exemple 99 %.

Dans notre exemple, ce pourcentage indique que l’entreprise est en mesure de tolérer une indisponibilité non planifiée du système informatique de 3.65 jours par année. En plus de l’identification de ce besoin de disponibilité, il est habituel de réserver des périodes de maintenance à des moments moins achalandés, notamment pour réaliser les mises à jour des systèmes et la mise en place des correctifs. Avoir des périodes de maintenances bien établies et en cohérence avec les besoins d’affaires de l’organisation aidera grandement un déploiement efficace des correctifs de sécurité.

Lors du déploiement d’un correctif, il faut également que l’organisation ait des lignes directrices et les principes à respecter en fonction de la sensibilité de l’actif et de la criticité de la vulnérabilité.

Ainsi, une vulnérabilité critique pouvant être exploitée à distance par une personne sur Internet devrait être corrigée dans de très court délai, amenant souvent à réaliser une maintenance d’urgence. D’un autre côté, une vulnérabilité de criticité « moyenne » et pouvant être exploité uniquement dans les bureaux de l’organisation pourrait être traitée uniquement lors d’une plage de maintenance planifiée, par exemple, tous les troisièmes mardis soir du mois.

 

Mot de la fin : être accompagné pour réussir son analyse de vulnérabilités

Au quotidien, le mandat que j’occupe actuellement au sein d’un organisme gouvernemental m’amène régulièrement à traiter différentes vulnérabilités telles que présentées dans cet article.

 

Mon expertise ainsi que mon expérience me permettent  de traiter ces vulnérabilités dans un temps raisonnable. Ce traitement est efficace grâce à un processus de gestion des risques bien défini et efficace. Toute organisation détenant des systèmes informatiques doit réaliser l’analyse et la gestion de ses vulnérabilités, que celle-ci soit réalisée en interne, ou bien donnée à un tiers.

 

Si vous avez des questions sur le sujet ou si vous avez d’autres méthodes que vous utilisez et que vous désireriez partager avec nous, n’hésitez pas à nous contacter!

Vous trouvez ça compliqué? N’ayez crainte! CyberSwat peut vous accompagner à évaluer la criticité de vos vulnérabilités et à mettre en place des méthodes/processus pour les gérer dans votre entreprise.

 

Pourquoi le RGPD (ou GDPR) me concerne en tant qu’entreprise canadienne ?

GDPR RGPD

Depuis quelques semaines, vous avez sûrement vu passer des publications au sujet du Règlement Général sur la Protection des Données (RGPD ou GDPR en anglais). Le RGPD entrera en application le 25 mai 2018 et vise à harmoniser les règles en matière de protection des données à caractère personnel au sein de l’Union européenne.

Mais alors, en quoi cela vous concerne-t-il ? Vous êtes une entreprise canadienne et vous croyez que ce RGPD ne s’applique qu’aux entreprises européennes ? Détrompez-vous ! L’une des principales caractéristiques de cette réglementation est son champ d’application allant au-delà des frontières de l’Union européenne.

Comme la législation est toujours un peu complexe à comprendre, surtout lorsque celle-ci a été élaborée dans un autre continent que le nôtre, nous avons décidé de poser quelques questions directement à une citoyenne de l’Union européenne, Mélanie Gagnon !

Mélanie a fondé son entreprise en protection des données et sécurité de l’information, MGSI, au Luxembourg, après avoir travaillé plusieurs années dans le domaine au Québec. Elle connaît donc très bien les deux continents et peut comprendre les impacts réels du RGPD sur les entreprises canadiennes.

À qui s’applique ce règlement et pourquoi des entreprises canadiennes peuvent-elles être visées ?

Le règlement s’applique aux données à caractère personnel relatives à des individus qui se trouvent sur le territoire de l’Union européenne. Il peut s’appliquer à une société qui n’a pas de siège en Europe, mais qui offre des biens ou services à des personnes dans l’Union ou qui suit le comportement de ces personnes (par exemple, profilage en ligne des sites Web consultés).

Donc même si vous n’avez pas de bureau dans un pays d’Union européenne, mais que vous y vendez des services ou produits, vous serez concernés !

Petite parenthèse : Qu’est-ce qu’une donnée à caractère personnel dans le cadre du RGPD ?

Une donnée à caractère personnel est définie comme toute information, quels que soient sa nature et son support, se rapportant à une personne physique identifiée ou identifiable, directement ou indirectement (nom, prénom, historique de navigation). Même les adresses IP ou les cookies (témoins de connexion) sont concernés. Ce sont des informations que presque toutes les entreprises récoltent dès qu’elles ont un site Web.

Concrètement, cela veut dire quoi ? Dans quel contexte une compagnie canadienne peut-elle être concernée ?

Je peux vous donner quelques exemples :

  • Est-ce que votre société permet à des personnes dans l’Union d’acheter des produits et services en ligne ? Par exemple, la loi concerne une société canadienne spécialisée dans la vente de chaussures si celle-ci permet à des clients situés en Espagne, en Allemagne ou en France de les commander et de se les faire livrer dans l’un de ces pays.
  • Est-ce que vous avez (ou prévoyez) développer une application traitant des données à caractère personnel disponible pour le marché européen ? Ainsi, une plateforme de streaming de musique canadienne qui analyse les goûts musicaux de ses utilisateurs situés au Luxembourg, en Belgique ou aux Pays-Bas sera certainement soumise aux obligations du RGPD.

Si une entreprise s’est reconnue dans un de ces exemples, quels sont les impacts à partir de là ?

Si votre société est soumise au RGPD, cela a de nombreux impacts à ne pas négliger. Notamment :

Obligation de la protection des données dès la conception (et par défaut) : De manière plus générale, les entreprises canadiennes ciblant des Européens devront prendre en compte les règles et principes de protection des données du RGPD dès la mise en œuvre de nouveaux traitements. Elles devront en conséquence documenter cette mise en conformité, en tenant par exemple un registre de traitement et en désignant un DPO, pilote de cette démarche.

Le DPO, pour « Data Protection Officer », est une personne responsable de la protection des données personnelles traitées par un organisme (administration, entreprise…). Ce texte rend sa désignation obligatoire pour un grand nombre de responsables de traitement de données personnelles.

Obligation de la nomination d’un représentant : Une société canadienne se trouvant dans l’obligation de se conformer au RGPD est tenue de désigner un représentant au sein de l’Union européenne. Ce représentant est amené à être le point de contact des autorités de contrôle et des individus.

Obligation de permettre l’exercice des droits des individus : Des mesures doivent être prises par les sociétés canadiennes afin de permettre aux individus d’exercer leurs droits : notamment les droits d’accès, de rectification et d’effacement de leurs données.

Sanctions en cas de non-respect de l’obligation de notification des violations de données: Les sanctions peuvent atteindre jusqu’à 4 % du chiffre d’affaires annuel mondial ou 20 millions d’euros, selon le plus élevé, mais il ne faut pas oublier que les autorités de contrôle peuvent également imposer des mesures correctrices, par exemple, ordonner la rectification ou l’effacement de données à caractère personnel ou la limitation du traitement.

À partir du 25 mai 2018, toutes les entreprises canadiennes qui souhaitent maintenir leurs relations commerciales avec le marché européen devront se conformer au RGPD ! Une non-conformité pourra se traduire par de lourdes amendes administratives, ou par l’injonction de cesser d’offrir vos produits et services en Union européenne.

Finalement, vous pensez que le RGPD vous concerne ? Vous ne savez pas trop comment aborder les prochaines étapes pour y être conforme ? Pas de panique ! Mélanie Gagnon et CyberSwat s’unissent pour vous proposer une demi-journée de formation, dédiée aux entrepreneurs et dirigeants de PME qui font affaire avec l’Union européenne.

Le 12 juillet à Québec, nous vous donnerons des outils précis pour vous aider à mieux comprendre le règlement, puis à devenir conforme, en nous basant sur votre situation actuelle. Ne manquez pas cette formation unique et concrète !

SVP, remplir le formulaire ci-dessous si vous souhaitez participer.

À quoi servent les assurances en cyber-risques et comment cela fonctionne

assurance en cyber-risques

Êtes-vous dépendant de la technologie dans votre travail de tous les jours? Comme la plupart des chefs d’entreprise et entrepreneurs, j’imagine bien que oui. On ne s’en rend pas forcément toujours compte, mais simplement avec les courriels, les médias sociaux ou encore les documents sur un serveur en ligne, les entreprises ont toutes besoin de la technologie pour avancer quotidiennement. Lorsqu’il est question de ventes en ligne et de sites Web transactionnels, c’est encore plus vrai!

Que se passe-t-il lorsque cette technologie est paralysée à cause d’un incident de sécurité? Comment s’en relever?

Heureusement, il existe depuis quelques années des assurances en cyber-risques.  Ces assurances viennent compléter une saine gestion des incidents.

L’année dernière, nous avons eu la chance de rencontrer Anne Martel, gestionnaire de risque, courtière en assurance et coprésidente de Martel&Martel, cabinet spécialisé auprès des PME. Nous lui avions demandé ce qu’elle pensait des protections en cyber-risques, et comment elle envisageait l’avenir de ce domaine.

Cette année, nous avons eu envie d’aller plus loin sur le sujet, et de comprendre un peu mieux à quoi sert une assurance en cybersécurité, quels types d’entreprises sont visées ou encore, quelles sont les protections disponibles.

Cette fois-ci, nous avons échangé avec Marie-Andrée Labrecque, courtière en assurance commerciale chez Martel&Martel.

Assurances en cyber-risques courtière Marie-Andree-Labrecque

Voici donc les réponses à nos questions.

Que pensez-vous des assurances en cyber-risques? Pourquoi est-ce important pour une entreprise de nos jours?

Les assurances en cyber-risques sont un phénomène très nouveau. La technologie a tellement avancé, les assurances sont devenues essentielles de nos jours. Ça rejoint tout le monde. Personne n’est à l’abri des cyberattaques, car par exemple, tout le monde possède une page de média social comme Facebook ou LinkedIn ou encore une boîte de courriels, et c’est une porte ouverte aux attaquants.

Par contre, c’est aussi un risque intangible. Les gens n’en voient pas encore l’importance. C’est difficile de leur faire comprendre le danger. Ce n’est pas comme un dégât d’eau ou un incendie et ça ne saute pas aux yeux.

Jusqu’à présent, quel type d’entreprise a dit oui à ce genre d’assurances?

Une grande variété d’entreprises ont souscrit à cette assurance dans les derniers mois. Nous avons eu, par exemple, un concessionnaire automobile ou encore un herboriste-horticulteur. Un magasin de chaussures pour enfants a aussi eu besoin d’une assurance, car ils refont leur site Web en y ajoutant le cybercommerce (e-commerce).

Qu’est-ce qui est couvert exactement par les assurances?

Par exemple, lorsque votre site Web est indisponible pendant 48h suite à une attaque et que vos ventes sont paralysées (dans le cas d’un cybercommerce), l’assurance couvre ce que vous avez perdu en revenus pendant ce laps de temps.

Lors d’une réclamation, un expert en sinistre va déterminer le revenu que vous faites généralement pendant 48h et valider votre demande de remboursement.

De plus, les assurances peuvent couvrir plusieurs autres cas de figure :

  • Certains frais si l’entreprise est touchée par un rançongiciel
  • Frais juridiques pour d’éventuelles poursuites après le piratage
  • Frais liés à l’utilisation d’une firme de communication pour gérer les médias suite à un piratage informatique
  • Frais liés à la mise en place d’un programme de protection contre le vol d’identité

Quelles sont les raisons que vous donnent généralement les clients pour refuser une assurance cybersécurité?

La plupart vont nous répondre qu’ils sont à l’abri de tout danger, car leur système informatique est bien géré à l’interne. Ils estiment que tout est maîtrisé, car ils font confiance à leur technicien en informatique par exemple.

Cependant, en général, ce technicien n’est pas spécialisé en cybersécurité. Il ne connaît pas toujours l’ampleur des risques. Il mettra souvent en place que le minimum des protections informatiques.

De plus, ce n’est pas parce que tout est bien géré à l’interne que les risques externes ne sont pas bien présents! Les attaques sont de plus en plus complexes et déroutent des entreprises qui pensaient être bien protégées.

Les entrepreneurs ne sont pas toujours conscients du risque réel, pensant trop souvent que ça ne peut qu’arriver aux autres ou que c’est marginal. La réalité est que ça survient souvent, et que ça peut arriver à tout le monde. Personne n’est à l’abri des cyberattaques.

Quelles sont les assurances en cyber-risques proposées actuellement sur le marché?

Pour l’instant, notamment deux assureurs offrent un produit en cybersécurité au Québec : Encon et Intact. Intact commence avec une protection de 25 000$, visant surtout les commerces de détail. Encon propose une assurance plus spécialisée, appelée Cyberpro, qui va de 250 000$ à 5 millions $ de protection. Cette assurance est bonne pour les compagnies spécialisées en technologie de l’information et qui gèrent des données pour des clients par exemple.  La protection Cyberpro est également offerte aux PME, par exemple, les concessionnaires automobiles, magasins de détail, etc.  C’est une police qui peut être offerte seule sans avoir la police de responsabilité civile générale ou autre.

D’autres assurances en proposent également :  Aviva, La Souveraine, Beazley, Travelers ou Northbirdge.

Un bon gestionnaire de risque et courtier en assurance fera une évaluation spécifique à votre réalité d’entreprise et vous permettra d’opter pour le produit d’assurance le plus adéquat pour vous. Par ailleurs, afin de sélectionner une protection adaptée à votre réalité, il est important de calculer la valeur réelle de vos actifs.

Témoignage : La fois où je me suis fait pirater et que ma vie a basculé

témoignage je me suis fait pirater

Avez-vous déjà vécu un piratage informatique?  Est-ce que vous étiez personnellement visé ou bien est-ce que l’entreprise dans laquelle vous œuvriez était directement visée? Aujourd’hui, je me permets de vous partager une histoire qui a eu un grand impact sur la personne que je suis devenue aujourd’hui.

 

Le tout a commencé en septembre 2001. J’étais un jeune consultant fièrement sorti de l’école et je venais tout juste de quitter le Bas-St-Laurent pour m’installer dans la ville de Québec. Je travaillais alors dans un service de soutien téléphonique spécialisé dans les technologies de l’information. Il faut bien débuter quelque part! En commençant ce travail, je ne me doutais nullement que j’allais vivre une expérience autant désagréable que formatrice, mais qui avait le potentiel d’influencer le reste de ma carrière.

 

Ainsi, un soir d’hiver, en rentrant d’une grosse journée de travail, je regardai en direction de mon écran d’ordinateur situé dans le salon. C’est alors que je me suis aperçu, que le pointeur de ma souris d’ordinateur bougeait toute seule dans l’écran. Puis rapidement, les choses défilaient et les dossiers s’ouvraient!!

 

Sans réfléchir, j’ai tiré le fil réseau de l’ordinateur le plus rapidement possible.

J’étais carrément en panique.

 

Je ressentais toute une gamme d’émotions : peur, incompréhension, dégoût et angoisse.

Depuis combien de temps quelqu’un s’était-il infiltré dans mon ordinateur? Qu’est-ce que cette personne malveillante avait réussi à faire? Comment s’était-elle connectée? À quels renseignements cette personne avait-elle eu accès? Avait-elle récupéré mes mots de passe? Allait-elle profiter de la situation et me demander une rançon? Allais-je me faire voler mon identité?

Je ne comprenais pas ce qui se passait et cette perte de contrôle de mon environnement informatique m’obsédait.

 

Encore aujourd’hui, je repense à ce moment fatidique et je suis dégoûté.

 

 

Se faire pirater : une expérience douloureuse qui laisse des traces

Imaginez quelqu’un qui entre par effraction chez vous.

Vous avez l’impression qu’il aura touché vos vêtements, vos oreillers, vos effets personnels. Vous penserez qu’il se sera peut-être assis dans votre canapé ou sur votre fauteuil préféré. Il a peut-être même fouillé dans vos documents personnels et il en a profité pour repartir avec votre journal intime – quoique pour le journal intime, on appelle maintenant cela un blogue!

La plupart des gens qui se sont fait cambrioler dans la vie ressentent un choc par la suite. C’est terrible d’apprendre que des inconnus ont accédé à votre vie privée.

Évidemment, un ordinateur, ce n’est pas une brosse à dent ou autre objet très personnel.

Mais depuis des années, on accumule tant de choses dans nos appareils informatiques, que oui, s’y infiltrer, c’est comme accéder à notre vie privée.

 

 

Le besoin de savoir pour tenter de passer à autre chose

Suite à mon piratage, j’ai tout fait pour découvrir qui était le malfaiteur. J’avais besoin de savoir.

 

J’ai mené ma petite enquête avec les connaissances que j’avais à l’époque. Ainsi, j’ai commencé par fouiller dans mes logs et j’ai notamment remarqué que depuis quelques semaines, une personne tentait de rentrer par mon serveur FTP de l’époque sans y parvenir. Puis, j’ai finalement compris que la personne avait accédé à mon ordinateur grâce à une faille contenue dans mon logiciel de prise de contrôle à distance. Je n’avais pas mis à jour mon logiciel…

Bien que je ne me sois jamais rendu à la police, j’ai fini par découvrir de qui il s’agissait à l’aide de collègues de travail qui m’ont épaulé et aidé à enquêter. C’était finalement une personne que je connaissais depuis un bon moment et avec qui j’avais déjà eu quelques conflits. Il semble que cette personne m’en voulait assez pour venir « tester » mes systèmes informatiques. Malgré tout cela, je n’ai jamais pris la peine de confronter en face à face cette personne à propos de ces évènements.

 

Cette situation vient confirmer la statistique que les vols sont souvent menée par des proches tels qu’anciens employés ou associés, et ce, souvent par désir de vengeance. Ainsi, selon le rapport 2017 Insider Threat, les incidents de cause interne sont plus coûteux que ceux de cause externe. 53 % des compagnies ont estimé que le coût de retour à la normale après incident était de 100 000$ et plus!

Et vous, avez-vous déjà eu une mésentente avec une connaissance, un employé ou encore un associé? Pensez-vous que celui-ci pourrait tenter d’accéder, sans autorisation, à vos informations personnelles ou à des informations confidentielles qui appartiennent à l’entreprise?

 

Lancer mon entreprise en cybersécurité pour éviter que les autres subissent le même sort que moi!

Cependant, même si je savais maintenant à qui j’avais affaire, le mal était fait. J’avais souffert d’un piratage informatique et la sensation avait été si désagréable que j’ai décidé d’en apprendre davantage dans le domaine de la cybersécurité pour éviter que cela se reproduise. En fait, j’en ai même fait ma spécialité avec les années et cela m’aura permis d’orienter le reste de ma carrière à une seule fin : éviter que les autres subissent le même sort!

 

Afin d’atteindre mon objectif de protéger les autres contre ce fléau, j’ai dû parfaire mes connaissances en suivant de nombreuses formations et certifications (CISA, CISSP, CCSK). J’ai également travaillé à titre de consultant pour de grandes organisations dans les domaines des services financiers, de l’assurance et des services gouvernementaux. J’ai alors pu contribuer à protéger les informations de millions de Québécois et de Canadiens.

 

Avec le temps, j’ai constaté qu’il y avait une disparité de moyens entre les PME et la grande entreprise. C’est pour cela qu’aujourd’hui, je consacre également beaucoup d’efforts à conscientiser les petites entreprises qui se retrouvent au dépourvu lorsqu’elles se font attaquer. Pour les entrepreneurs du Québec, l’entreprise qu’ils détiennent est bien souvent leur création et il en retire une grande fierté. S’y sentir attaqué, que ce soit par le vol de leur liste de clients, ou encore le piratage de leur site Web, cela revient au même que se faire cambrioler à la maison.

C’est pour cela qu’on a défini plusieurs offres de service qui s’adaptent bien à cette clientèle, tel que le diagnostic de sécurité ou encore les ateliers de sensibilisation pour vous et votre équipe.

 

Et vous, avez-vous déjà vécu ce type d’expérience? Je sais qu’il n’est pas toujours évident d’en parler… car avouer qu’on s’est déjà fait pirater démontre sa vulnérabilité. En même temps, en discuter et partager son expérience permet d’en apprendre davantage sur les solutions tout en allant vers l’avant! N’hésitez pas à nous écrire pour raconter votre expérience.

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.