Que doivent faire rapidement les organisations afin d’assurer qu’elles ne sont pas vulnérables en cas de cyberattaque ? Deux spécialistes de l’industrie de la sécurité formulent des suggestions.
La cyberattaque informatique qui a affecté deux ministères et une agence du gouvernement canadien il y a quelques semaines (Lire : Cyberattaque au gouvernement fédéral) aura peut-être suscité des interrogations au sein des départements des TIC des organisations québécoises. Que faut-il faire sans tarder afin de prévenir un incident de la sorte ?
Daniel Boteanu est consultant en sécurité chez OKIOK, un prestataire de produits et services en sécurité informatique de Laval. À lumière des événements qui ont affecté récemment le gouvernement fédéral, il affirme que la leçon à retenir est qu’il est nécessaire d’établir des mesures de protection informatique pour contrer les menaces qui émaneraient de l’interne.
Si l’idéal est d’avoir un programme de sécurité organisationnel qui aide à monter le niveau global de protection, M. Boteanu croit qu’une entreprise aurait intérêt, à court terme, à faire mesurer son niveau de vulnérabilité à l’aide de tests d’intrusions. En clair, des conseillers en sécurité de l’information jouent le rôle de « pirates éthiques » pour effectuer envers des systèmes informatiques des attaques qui ressemblent à celles que des voyous pourraient perpétrer.
« Une entente de vérification de vulnérabilité qui est établie entre une entreprise et des conseillers en sécurité doit inclure un protocole d’intervention, une définition de ce qu’on attaque et de ce qu’on exclut, la sélection de l’approche qui évitera une interruption de service, etc. », recommande-t-il.
M. Boteanu précise que des certifications attestent que des conseillers ont les connaissances techniques nécessaires pour effectuer des tests de vulnérabilité. « Il est préférable de recourir aux services de firmes reconnues. On peut demander à ce que les employés d’une firme passent un contrôle de sécurité auprès de la police ou du gouvernement », ajoute-t-il.
Sensibiliser
David Poellhuber est le président et chef de la direction de Zerospam, une entreprise de Montréal qui offre des services de filtrage du courriel et de redondance des services DNS. À son avis, une organisation doit avant tout faire de la sensibilisation auprès de ses employés, qui constituent le dernier maillon de la chaîne de protection.
« On a beau avoir les systèmes les plus sophistiqués et inimaginables, mais lorsqu’il y a de l’hameçonnage ciblé (spear fishing) et que des mots de passe sont compromis, c’est qu’il y a eu de l’ingénierie sociale, indique-t-il. Il faut demander aux employés, a fortiori aux premiers dirigeants, d’être vigilants et suspicieux envers tout ce qui sort des normes en termes de demande ou de comportement des systèmes. »
M. Poellhuber relate que des organisations réalisent de temps à autre de fausses campagnes d’hameçonnage en interne. Systématiquement, de 15 % à 20 % des employés y répondent, souligne-t-il.
« Il faut apprendre à nos gens à reconnaître une menace, à discerner ce qui est légitime de ce qu’il ne l’est pas, à faire des vérifications… On ne peut pas seulement se concentrer sur la technologie. Certes, il existe plusieurs mécanismes technologiques, mais c’est d’abord et avant tout une question de mentalité et d’attitude envers la sécurité. »
M. Poellhuber affirme que le courrier électronique constitue souvent « le gros trou à boucher » dans le bateau de la réseautique organisationnelle. « Des événements [comme la cyberattaque au gouvernement fédéral] font prôner l’application d’une sécurité étendue à l’extérieur du périmètre d’un réseau informatique, à l’aide de solutions fondées sur l’informatique en nuage. Si en filtrant le courriel en amont on détecte la menace loin de chez soi, on a le temps de l’arrêter. »
Jean-François Ferland est rédacteur en chef adjoint au magazine Direction informatique.
