SANS FRAIS 1 877-777-6412

SéQCure 2019 : entrevue avec le chef d’orchestre de l’événement, Nicolas-Loïc Fortin

Le printemps est officiellement là (ou presque si vous aussi avez encore une belle vue sur la neige) et avec lui arrive la Semaine du numériQC 2019 qui se tiendra du 4 au 14 avril prochain!

Pour ceux qui ne connaissent pas, la Semaine numériQC, c’est LE rendez-vous annuel des professionnels du numérique à Québec! En effet,cette semaine a notamment pour vocation d’éduquer ses participants, les aider à élargir leur réseau, à leur faire tisser des liens, à se faire connaître et à recruter.

Se déroulant maintenant sur plus de 10 jours et abritant plusieurs événements, nous nous intéresserons aujourd’hui tout particulièrement au SéQCure, dont Cyberswat est un l’un des fiers partenaires! Le SéQCure, vous l’aurez deviné, est axé sur la cybersécurité et se tiendra le 8 avril prochain. Vous pourrez venir nous visiter à notre kiosque pendant toute la durée de l’événement!

Pour vous donner une bonne idée de ce à quoi vous attendre avec cet événement, nous avons reçu en entrevue Nicolas-Loïc Fortin, véritable chef d’orchestre de l’événement.

Voici nos questions et ainsi que ses réponses.

1.     Nicolas-Loïc, peux-tu tout d’abord te présenter un peu? Quel est ton parcours?

Bien sûr! Ayant maintenant près de 20 ans dans le domaine des TI et de la sécurité de l’information, j’ai tout d’abord fait mes premières armes en sécurité chez Deloitte au début des années 2000. De fil en aiguille, j’ai fini par fonder ma propre entreprise et je travaille donc à mon compte désormais. Dans les dernières années, j’ai principalement œuvré à titre de consultant en cybersécurité chez des clients dans un contexte gouvernemental.

2.      Peux-tu nous en dire plus concernant ta collaboration avec la Semaine numériQC et le SéQCure?

J’ai d’abord décidé de faire équipe avec Québec Numérique afin de rallier les spécialistes dans le domaine de la sécurité et les aider à maintenir leurs connaissances à jour. Mon rôle est donc non seulement d’informer les spécialistes, mais aussi d’autres participants et de les amener à bien comprendre l’importance de protéger leurs informations. Le tout nous a menés à la création du SéQCure avec qui je collabore à titre de chef d’orchestre avec les autres membres du comité organisateur de l’événement.

3.     Qu’est-ce que l’événement SéQCure et en quoi se démarque-t-il des autres événements en cybersécurité?

Ce qui est particulier avec le SéQCure, c’est qu’il est bâti sur le concept de « sécurité défensive » contrairement à d’autres événements comme le Hackfest, qui lui est orienté « sécurité offensive ». En fait, ces deux événements sont très complémentaires. Ce qu’il faut savoir également est que le SéQCure est le fruit d’une collaboration de plusieurs organisations du domaine, dont ISACA-Québec et l’ASIQ, ce qui en fait un événement incontournable pour toute personne voulant en apprendre davantage dans le domaine de la cybersécurité.

Et cette année, nous avons en plus la collaboration de « In Sec M »,  qui est un regroupement de manufacturiers dans le domaine de la cybersécurité et qui apportera un volet particulier à l’événement.

4.     Peux-tu rapidement nous rappeler la différence entre « sécurité défensive » et « sécurité offensive »?

Oui, c’est assez simple. La sécurité défensive englobe tout ce qui a trait aux moyens qui existent pour se prémunir contre les attaquants dans le but de corriger les faiblesses des systèmes informatiques.

La sécurité offensive, elle, amène à démontrer les faiblesses et failles d’un système, d’un logiciel, etc.  Ces deux concepts sont évidemment étroitement liés.

5.     À qui est adressé l’événement? Quelles sont les principales raisons pour lesquelles les entreprises et leurs employés y viennent?

Le SéQCure est tout d’abord destiné aux professionnels de la cybersécurité afin de les aider à se mettre à jour et à réseauter entre eux. Rien que pour ceci, les gens se déplacent, car ce sont des éléments auxquels ils attribuent beaucoup de valeur afin de favoriser la collaboration dans le marché. De plus, notre partenaire associatif avec In Sec M va attirer aussi beaucoup de monde, car il s’agit d’une organisation novatrice dont l’expertise est reconnue dans tout le Canada.

6.     À combien de personnes vous attendez-vous?

Si on se base sur les dernières années, on peut s’attendre à environ 300 personnes. D’autres événements connexes auront lieu dans le cadre de la Semaine numériQC, ce qui pourrait potentiellement augmenter le nombre de participants.

Par exemple, le 8 avril, en même temps que SéQCure, auront lieu les événements Insurtech QC, Réalité Augmentée Québec ainsi que le Rendez-vous IA Québec spécialisé en intelligence artificielle.

7.     Et enfin, quelles sont les conférences à ne pas manquer cette année?

Je recommande vivement aux gens de participer à la conférence d’Éric Caire, Ministre délégué à la Transformation numérique gouvernementale, qui présentera en à peu près 30 minutes l’espace que la sécurité de l’information prendra dans le projet de transformation numérique du gouvernement. Il y a bien sur de nombreuses autres conférences et conférenciers à aller voir. Vous pouvez suivre les plus récents ajouts le site de l’événement.

 

 

Vous souhaitez assister à l’événement?

Si vous comptez participer à SéQCure, les organisateurs de l’événement vous offrent un rabais de 100$ pour y accéder, valide jusqu’au 28 mars 2019 à 23h45! Vous n’aurez qu’à ajouter le code promotionnel « SeQCure-Cyberswat-article-6574 » au moment de l’inscription.

Pour avoir tous les détails de cette journée, nous vous invitons à aller visiter le site de l’événement ou encore sa page Facebook.

Nous espérons que vous avez aimé cette entrevue et n’hésitez pas à nous contacter  si vous avez des questions, ou encore mieux, venez nous visiter à notre kiosque pendant l’événement !

On espère vous voir le 8 avril prochain!

L’importance de la gestion des vulnérabilités et comment établir un processus bien défini

processus gestion des vulnérabilités scans

 

Ces derniers temps, sur notre blogue, nous avons surtout écrit au sujet de la gouvernance de la sécurité, en parlant de stratégie, sensibilisation, planification, choix d’assurance…

Nous avons voulu commencer une série d’articles plus tournée vers la sécurité opérationnelle et qui abordera la cybersécurité d’un point de vue plus pratique, avec une touche technique.

En effet, si par exemple, vous êtes responsable de serveurs et d’équipements informatiques, il est indispensable que vous en sachiez plus sur la sécurité opérationnelle.

Pour amorcer cette série, nous avons laissé la parole à Yannick Vollenberg, conseiller en sécurité en mandat pour CyberSwat et diplômé de Polytechnique Montréal en cybersécurité des réseaux informatiques.

Il a voulu nous parler de la gestion des vulnérabilités dans les opérations informatiques.

Yannick Vollenberg processus de gestion des vulnérabilités

 

 

Les vulnérabilités, ainsi que leur exploitation, sont encore aujourd’hui la cause profonde de la plupart des atteintes à la sécurité des données personnelles.  Dans la plupart des cas, la majorité des hackers n’ont pas recours à des méthodes très complexes pour arriver à leurs fins. Ils misent plutôt sur des vulnérabilités connues. Or, le nombre des vulnérabilités découvertes mensuellement est en général de plus de 30 failles par logiciel!

D’emblée, Yannick a d’ailleurs rappelé cette citation de Bruce Schneier : « La sécurité est un processus, pas un produit ».

En effet, pour bien gérer ces vulnérabilités, il ne faut pas les traiter ponctuellement; il faut mettre en place un véritable processus.  Voici donc ce que Yannick vous conseille à ce sujet.

 

Tout d’abord, qu’est-ce qu’une vulnérabilité?

Dans le domaine de la sécurité de l’information, une vulnérabilité est une faille dans un système qui permet à une personne malveillante (menace) de l’exploiter et ainsi porter atteinte à la confidentialité, l’intégrité ou encore la disponibilité d’un système informatique (aussi appelé actif).

Quel est l’objectif de l’analyse des vulnérabilités?

L’objectif de l’analyse des vulnérabilités est de les limiter l’exposition aux risques afin de mieux les maîtriser. Nous pouvons représenter le processus d’analyse à l’aide du diagramme ci-dessous.

 

diagramme analyse processus gestion des vulnérabilités

Comment est-il possible de gérer une vulnérabilité?

Certaines bonnes pratiques peuvent être appliquées pour gérer ses vulnérabilités. Avant toute chose, il faut mener une analyse constante.

La mise en place d’un processus dédié à la gestion des vulnérabilités est importante et celui-ci repose principalement sur :

  1. la veille des vulnérabilités;
  2. les scans de vulnérabilités;
  3. les campagnes de mises à jour.

 

De plus, il est important de suivre ces différentes phases:

  • La mise en place d’un processus d’analyse basé sur les besoins d’affaires de l’entreprise.
  • L’identification des actifs ainsi que les différentes applications utilisées (inventaire).
  • La classification de vos actifs par ordre d’importance, du plus critique au moins critique.
  • Valider si notre entreprise doit se conformer à des réglementations particulières pouvant avoir un impact sur la façon et la fréquence d’analyse des vulnérabilités (ex. : PCI DSS, RGPD, etc.).
  • Bien sûr, il faut également avoir en place des mesures de sécurité comme Pare-feu, IDS, IPS, WAF, SoC, politiques, etc.

 

La veille des vulnérabilités

Une veille des vulnérabilités repose sur les différents bulletins des éditeurs et solutions centralisées de gestion des vulnérabilités. Certaines plateformes publiques centralisent ces bulletins. Par exemple :

  • La Sécurité publique du Canada
  • Le CERT-Fr (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques)
  • Le CERT-US (United state computer emergency readiness team)
  • Le ZDI ( Zero Day Initative)
  • Le CERT/AQ (Équipe de réponse aux incidents de sécurité de l’information de l’administration québécoise.)

 

Une autre approche est celle de la CAPEC (Common Attack Pattern Enumeration and Classification) qui énumère :

  • Les mécanismes de cyber attaques possibles
  • Les domaines de cyber attaques possibles

 

Suite à la publication d’un bulletin de sécurité, il est nécessaire de :

  • valider si la vulnérabilité concerne une solution utilisée par l’organisation.
  • valider si l’actif touché par cette vulnérabilité est exposé sur Internet, depuis l’intranet, etc.
  • valider la sévérité de cette vulnérabilité, c’est-à-dire de déterminer si celle-ci est exploitable à distance ou s’il est nécessaire d’être physiquement devant l’ordinateur par exemple.
  • rédiger une fiche de vulnérabilité telle que définie dans le processus interne de l’organisation.
  • planifier la mise en place du correctif. Si la mise à jour n’est pas possible dans un délai raisonnable en fonction de sa sévérité, il faudra mettre en place des solutions de contournement afin de réduire la surface d’attaque en attendant de pouvoir appliquer le correctif.

 

Les scans de vulnérabilités

En plus de faire la veille des vulnérabilités, il est recommandé d’avoir une solution de détection des vulnérabilités en entreprise. Il en existe plusieurs telles que Qualys, Nessus, Nexpose, QRadar, etc. Ce sont en règle générale des solutions de détection qui reposent sur un outil capable de balayer/scanner tout type d’application et d’équipement possédant une adresse IP et d’en énumérer les vulnérabilités si celles-ci sont connues. Si vous n’avez pas ce type d’outil, des entreprises comme CyberSwat peuvent vous aider à réaliser des tests de ce genre sur votre infrastructure périodiquement.

Contrairement au service de veille qui vous communique tout type de vulnérabilité, le scanneur détermine qu’elles sont les vulnérabilités réellement présentes dans votre environnement.

Idéalement, il faut procéder à un scan de vulnérabilité sur chaque nouvel actif informatique installé sur le réseau de l’entreprise avant sa mise en production. Il coûte généralement moins cher de procéder à la correction des systèmes  avant la mise en production.

 

Les campagnes de mises à jour

Avant de parler des campagnes de mises à jour plus en détail, il importe de s’entretenir d’abord sur les enjeux liés à la disponibilité et des périodes de maintenance des environnements informatiques. Logiquement, toute organisation utilise la notion d’un taux de disponibilité qui est souvent mesuré en pourcentage; par exemple 99 %.

Dans notre exemple, ce pourcentage indique que l’entreprise est en mesure de tolérer une indisponibilité non planifiée du système informatique de 3.65 jours par année. En plus de l’identification de ce besoin de disponibilité, il est habituel de réserver des périodes de maintenance à des moments moins achalandés, notamment pour réaliser les mises à jour des systèmes et la mise en place des correctifs. Avoir des périodes de maintenances bien établies et en cohérence avec les besoins d’affaires de l’organisation aidera grandement un déploiement efficace des correctifs de sécurité.

Lors du déploiement d’un correctif, il faut également que l’organisation ait des lignes directrices et les principes à respecter en fonction de la sensibilité de l’actif et de la criticité de la vulnérabilité.

Ainsi, une vulnérabilité critique pouvant être exploitée à distance par une personne sur Internet devrait être corrigée dans de très court délai, amenant souvent à réaliser une maintenance d’urgence. D’un autre côté, une vulnérabilité de criticité « moyenne » et pouvant être exploité uniquement dans les bureaux de l’organisation pourrait être traitée uniquement lors d’une plage de maintenance planifiée, par exemple, tous les troisièmes mardis soir du mois.

 

Mot de la fin : être accompagné pour réussir son analyse de vulnérabilités

Au quotidien, le mandat que j’occupe actuellement au sein d’un organisme gouvernemental m’amène régulièrement à traiter différentes vulnérabilités telles que présentées dans cet article.

 

Mon expertise ainsi que mon expérience me permettent  de traiter ces vulnérabilités dans un temps raisonnable. Ce traitement est efficace grâce à un processus de gestion des risques bien défini et efficace. Toute organisation détenant des systèmes informatiques doit réaliser l’analyse et la gestion de ses vulnérabilités, que celle-ci soit réalisée en interne, ou bien donnée à un tiers.

 

Si vous avez des questions sur le sujet ou si vous avez d’autres méthodes que vous utilisez et que vous désireriez partager avec nous, n’hésitez pas à nous contacter!

Vous trouvez ça compliqué? N’ayez crainte! CyberSwat peut vous accompagner à évaluer la criticité de vos vulnérabilités et à mettre en place des méthodes/processus pour les gérer dans votre entreprise.

 

SANS FRAIS 1 877-777-6412

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Vous cherchez à mieux comprendre les enjeux de sécurité de vos clients afin de mieux les conseiller? Nous pouvons :

Si vous avez une entente avec nous :

Gestion d'incidents de sécurité

Vous voulez être prêt en cas d’incident de sécurité dans votre entreprise? Vous cherchez un accompagnement dans la mise en place d’un plan de gestion d’incident afin d’en minimiser au maximum les conséquences? Nous pouvons :

Pour nos clients avec contrat de service:

Assurance en cyberrisque

Vous êtes courtier en assurance et la cybersécurité est l’une de vos préoccupations? Nous vous aidons à comprendre tous les enjeux de sécurité chez vos clients pour que vous puissiez leur offrir le meilleur service possible.

Client :

Courtier :

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Gouvernance de la sécurité

La sécurité informatique doit faire partie des préoccupations de la direction de votre entreprise. La mise en place d’une politique de sécurité et de la catégorisation des actifs sont notamment des éléments importants d’une stratégie efficace en cybersécurité.

Sensibilisation à la sécurité

Saviez-vous que l’hameçonnage est le vecteur n°1 pour réaliser des fraudes dans les entreprises? Diminuez les risques d’être victime d’incidents de cybersécurité grâce à nos ateliers de sensibilisation spécialement conçus pour vos employés.

Nous mettons toujours l’accent sur la vulgarisation des concepts et des enjeux de sécurité

Service-conseil en cybersécurité

Votre entreprise recherche un accompagnement à plein temps pour la gestion de la cybersécurité? Faites appel à nous! L’un de nos précieux talents se fera un plaisir de venir travailler dans votre entreprise au quotidien.

Notre équipe est composée de conseillers en architecture de sécurité, d’analystes en sécurité, de conseillers en gouvernance, de spécialiste en Gestion des Identités et des Accès, de spécialiste en test d’intrusions, etc.

Sécurité des services infonuagiques

Ne prenez pas à la légère les enjeux de sécurité du Cloud! Avec nous, vous bénéficierez de la souplesse du Cloud tout en diminuant les risques. Vous et vos clients serez rassurés de savoir vos données en sécurité.

Évaluez les risques de votre entreprise

Protégez vos données les plus importantes et épargnez les coûts d’un incident de sécurité. Cyberswat vous aide à identifier les situations à risque et vous donne des recommandations concrètes et faciles à mettre en place.