Cyberattaques : Comment prévenir une intrusion ?

Que doivent faire rapidement les organisations afin d’assurer qu’elles ne sont pas vulnérables en cas de cyberattaque ? Deux spécialistes de l’industrie de la sécurité formulent des suggestions.

La cyberattaque informatique qui a affecté deux ministères et une agence du gouvernement canadien il y a quelques semaines (Lire : Cyberattaque au gouvernement fédéral) aura peut-être suscité des interrogations au sein des départements des TIC des organisations québécoises. Que faut-il faire sans tarder afin de prévenir un incident de la sorte ?

Daniel Boteanu est consultant en sécurité chez OKIOK, un prestataire de produits et services en sécurité informatique de Laval. À lumière des événements qui ont affecté récemment le gouvernement fédéral, il affirme que la leçon à retenir est qu’il est nécessaire d’établir des mesures de protection informatique pour contrer les menaces qui émaneraient de l’interne.

Si l’idéal est d’avoir un programme de sécurité organisationnel qui aide à monter le niveau global de protection, M. Boteanu croit qu’une entreprise aurait intérêt, à court terme, à faire mesurer son niveau de vulnérabilité à l’aide de tests d’intrusions. En clair, des conseillers en sécurité de l’information jouent le rôle de « pirates éthiques » pour effectuer envers des systèmes informatiques des attaques qui ressemblent à celles que des voyous pourraient perpétrer.

« Une entente de vérification de vulnérabilité qui est établie entre une entreprise et des conseillers en sécurité doit inclure un protocole d’intervention, une définition de ce qu’on attaque et de ce qu’on exclut, la sélection de l’approche qui évitera une interruption de service, etc. », recommande-t-il.

M. Boteanu précise que des certifications attestent que des conseillers ont les connaissances techniques nécessaires pour effectuer des tests de vulnérabilité. « Il est préférable de recourir aux services de firmes reconnues. On peut demander à ce que les employés d’une firme passent un contrôle de sécurité auprès de la police ou du gouvernement », ajoute-t-il.

Sensibiliser

David Poellhuber est le président et chef de la direction de Zerospam, une entreprise de Montréal qui offre des services de filtrage du courriel et de redondance des services DNS. À son avis, une organisation doit avant tout faire de la sensibilisation auprès de ses employés, qui constituent le dernier maillon de la chaîne de protection.

« On a beau avoir les systèmes les plus sophistiqués et inimaginables, mais lorsqu’il y a de l’hameçonnage ciblé (spear fishing) et que des mots de passe sont compromis, c’est qu’il y a eu de l’ingénierie sociale, indique-t-il. Il faut demander aux employés, a fortiori aux premiers dirigeants, d’être vigilants et suspicieux envers tout ce qui sort des normes en termes de demande ou de comportement des systèmes. »

M. Poellhuber relate que des organisations réalisent de temps à autre de fausses campagnes d’hameçonnage en interne. Systématiquement, de 15 % à 20 % des employés y répondent, souligne-t-il.

« Il faut apprendre à nos gens à reconnaître une menace, à discerner ce qui est légitime de ce qu’il ne l’est pas, à faire des vérifications…  On ne peut pas seulement se concentrer sur la technologie. Certes, il existe plusieurs mécanismes technologiques, mais c’est d’abord et avant tout une question de mentalité et d’attitude envers la sécurité. »

M. Poellhuber affirme que le courrier électronique constitue souvent « le gros trou à boucher » dans le bateau de la réseautique organisationnelle. « Des événements [comme la cyberattaque au gouvernement fédéral] font prôner l’application d’une sécurité étendue à l’extérieur du périmètre d’un réseau informatique, à l’aide de solutions fondées sur l’informatique en nuage. Si en filtrant le courriel en amont on détecte la menace loin de chez soi, on a le temps de l’arrêter. »

Jean-François Ferland est rédacteur en chef adjoint au magazine Direction informatique.

Jean-François Ferland
Jean-François Ferland
Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.

Articles connexes

Un gang de rançongiciel commence à divulguer des données volées dans une université québécoise

Le gang de rançongiciel LockBit a commencé à divulguer des données qui, selon lui, auraient été volées le mois dernier dans une université québécoise. Les données proviennent de l'Université de Sherbrooke, qui compte environ 31 000 étudiants et 8 200 professeurs et employés.

Une commission scolaire du sud de l’Ontario reconnaît un « cyberincident »

L'une des plus grandes commissions scolaires publiques du sud de l'Ontario a reconnu publiquement une cyberattaque, plus d'un mois après sa détection.

Un groupe d’assurance dentaire avise près de 7 millions d’Américains d’un vol de données lié à MOVEit

Près de 7 millions de résidents américains ont été informés par un fournisseur d’assurance dentaire que leurs informations personnelles ont été volées lors de l'une des plus grandes attaques impliquant l'application de transfert de fichiers MOVEit.

L’Université de Sherbrooke victime d’une attaque de rançongiciel

L’université de Sherbrooke (UdeS) aurait été victime du gang de rançongiciel LockBit. C’est ce que rapportait Brett Callow, analyste des menaces chez Emsisoft, sur X (anciennement Twitter) jeudi dernier, avec capture d’écran à l’appui.

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.