André Cormier est gestionnaire des équipes de gestion des incidents et d’intervention au Centre de la Sécurité des télécommunications (CST) du Gouvernement du Canada.
Même si le Gouvernement fédéral est son principal client, d’autres organisations considérées comme des infrastructures critiques peuvent aussi bénéficier de l’intervention du CST.
Ses équipes interviennent en cas de cyberattaque, mais elles prennent également en note les incidents qui se déroulent au Canada, et les documentent. Elles ont aussi un rôle de conseil pour guider toutes les autres organisations qui seraient victimes d’un cyberincident en les orientant vers les bonnes ressources.
C’est d’ailleurs à ce titre, qu’André Cormier nous a fait l’honneur d’intervenir lors de la Conférence Forensik 2020. Il a présenté les bonnes pratiques de sécurité que devraient adopter les dirigeants d’entreprise et les gestionnaires pour soutenir leurs équipes TI dans la prévention des menaces et les réponses aux cyberattaques.
Nous avons voulu en savoir plus et l’avons invité à passer au micro pour notre podcast INTRASEC, la chaîne cybersécurité d’In Fidem.
Les organisations dites « non critiques » peuvent-elle faire appel au CST ?
Oui, on l’encourage, même. Cela nous permet d’avoir une meilleure visibilité sur les attaques auxquelles font face les firmes canadiennes.
Et même si on ne peut pas s’attaquer au problème directement, on peut leur offrir un soutien « générique » sur comment elles devraient répondre à ces attaques, les diriger vers de la documentation ou d’autres ressources, etc.
Est-ce que cela signifie que le CST est aussi un observatoire?
Une des missions du centre canadien pour la cybersécurité, c’est d’être l’autorité en matière de cybersécurité au Canada. Et donc on a besoin d’avoir une bonne connaissance des incidents qui ont lieu au Canada afin d’ajuster les autres services qui sont offerts à l’ensemble de la population.
Par exemple : des publications sur comment sécuriser ses réseaux, les tendances des cybermenaces, etc.
Ces publications dépendent de ce que l’on voit comme menaces au Canada.
Votre présentation était sur « Comment soutenir vos équipes en cas de crise », c’est-à-dire comment… se préparer? Quelle était l’intention derrière cette conférence?
Quand on a été approché pour faire une intervention, j’ai vu qu’il y avait une section pour les gestionnaires. Alors on s’est dit que ce serait utile de faire une présentation pour aider les gestionnaires à soutenir leurs équipes techniques.
Car les gestionnaires doivent être capables de les aider à prioriser certains changements dans leurs organisations. Par exemple, on voit souvent que des équipes techniques sont débordées et sont incapables de justifier des changements majeurs dans l’organisation.
Autrement dit, cette conférence avait pour but d’aider à faire le lien entre le monde technique et le monde des affaires.
J’ai ciblé trois sujets importants qui sont des sources de risques. Et l’un d’entre eux est l’authentification multifacteur car on voit beaucoup d’incidents qui auraient pu être évités si on l’avait utilisée.
En lien avec l’authentification multifacteur, un élément qu’on sous-estime ou auquel on ne pense pas, c’est que certaines personnes vont réutiliser des mots de passe personnels dans un contexte professionnel. Par exemple, mon mot de passe Yahoo ou LinkedIn dans certains systèmes de l’entreprise pour laquelle je travaille. Alors une brèche de services « publics » peut constituer une menace pour des entreprises privées.
Effectivement. C’est surtout lorsqu’on utilise le courriel corporatif pour s’inscrire à des services publics comme LinkedIn, etc. et que ce même mot de passe est utilisé aussi en interne. Cela est un vrai problème.
Dernièrement, on a vu des brèches de services en ligne accompagnées de gros dépôts d’identifiants dans le dark web. [Ces identifiants] vont être utilisés pour essayer de compromettre des services corporatifs d’accès à distance.
Et on a vu des intrusions où les malfaiteurs n’ont pas eu à essayer différents identifiants. Ils avaient le courriel et le mot de passe. Ils sont entrés dans les systèmes sans avoir à faire trop de tentatives….
Le phishing est aussi une autre source potentielle de menace. On voit d’ailleurs que le phishing est encore un très gros problème. Énormément de personnes peuvent tomber dans le panneau. Les pratiques d’ingénierie sociale sont en hausse et sont de plus en plus sophistiquées au point qu’il est difficile à distinguer le vrai du faux.
L’adoption de l’authentification multifacteur est selon vous pas suffisante au sein des entreprises?
Non, pas assez. C’est sûr qu’il y a un coût associé à ça, mais on a vu ces dernières années que le coût a décru substantiellement. Alors c’est certain que ce ne sont pas toutes les organisations qui auraient des budgets sur ça, mais la plupart des solutions d’accès à distance offrent des solutions d’authentification multifacteur.
Un autre élément que je voulais souligner, c’est qu’une question secrète, ce n’est pas un facteur additionnel parce que c’est la même chose qu’un mot de passe.
En tout cas, ce qu’on a vu c’est qu’une proportion des incidents aurait pu être évitée si l’authentification multifacteur avait été implémentée.
Une des diapositives portait sur le type de vulnérabilités. Notamment les vulnérabilités systèmes qui sont des menaces face auxquelles on ne peut pas vraiment se préparer. Mais lorsque le fournisseur partage un « patch » pour une nouvelle vulnérabilité identifiée, le temps d’installation de ce patch est quand même très long… 37 jours. Comment expliquer ce délai?
Le délai de 37 jours, c’est le délai moyen entre la publication d’un correctif logiciel et la publication d’une exploitation.
Le message que je voulais envoyer, c’est que la gestion des correctifs est critique, surtout pour les systèmes connectés à Internet.
Quand il y a une vulnérabilité majeure et qu’un correctif est disponible, il est crucial que les entreprises appliquent ce correctif le plus vite possible. En moins d’une semaine, on commence à voir des exploitations de ces vulnérabilités…
Ces chiffres datent d’une étude très récente, août 2020, faite par l’équipe 42 de Palo Alto Networks. Et dans cette étude, l’équipe a analysé 500 vulnérabilités majeures depuis 2015. C’est de là que viennent les 37 jours.
Et les organisations tardent à appliquer ces patchs parce que souvent si elles les appliquent, cela peut briser certains de leurs processus d’affaires?
Oui, souvent c’est ça qui freine les entreprises à appliquer des correctifs ou bien qu’elles les retardent. Souvent les administrateurs de systèmes sont sensibles à ça parce que leur responsabilité, c’est de s’assurer qu’un service est disponible.
Aussi un correctif peut introduire un bug, alors quand on applique le correctif, un service qui fonctionnait peut arrêter de fonctionner. Et ça, ça peut dépendre de l’utilisation du logiciel. Alors même si le manufacturier fait des tests, il ne peut pas anticiper tous les cas d’utilisation.
C’est donc ce sur quoi j’essayais de sensibiliser les gestionnaires. Lorsqu’on a un service qui est exposé à Internet. Il faut être prêt à accepter une perte de service parce que c’est pas mal moins dommageable qu’une intrusion.
En effet, on a vu que le crime organisé s’est réorienté vers la cybercriminalité et qu’ils vont chercher à exploiter des cibles faciles tels que les sites qui n’auraient pas réglé ces failles de sécurité.
Souvent ces gestionnaires ont la pression pour garder les services fonctionnels. Mais il faut que les entreprises réfléchissent à cette gestion du risque compte tenu des rançongiciels qui n’épargnent personne aujourd’hui.
Avant on se disait, je n’ai pas d’informations importantes, je ne suis pas une cible intéressante, etc., mais le rançongiciel ne fonctionne pas en fonction de l’importance des données pour le criminel, mais c’est sur l’importance des données pour l’entreprise; toute donnée est importante pour l’entreprise.
Une entreprise ne peut pas vivre sans ses systèmes comptables, sa propriété intellectuelle, etc. alors quand on bloque l’accès à ces données et services, c’est pas mal plus dommageable pour l’entreprise.
Bref, le but de la présentation, c’était de dire que les attaques de rançongiciels sont à la hausse et que c’est vraiment une attaque dévastatrice pour les organisations.
Pourquoi est-ce que les personnes ne semblent pas être sensibilisées aux risques que posent les rançongiciels? C’est parce que lorsqu’on pense aux cyberattaques, on pense à une fuite comme chez Desjardins?
C’est une bonne question.
C’est sûr que lorsqu’on entend parler de ces attaques, les victimes sont souvent les grosses entreprises, les municipalités, etc.
Alors c’est certain que quand on est une PME, même une grosse PME, et qu’on n’est pas le type d’entreprise qu’on retrouve dans les nouvelles, on se sent sûrement moins concerné.
Et c’est pour ça que je tenais à dire que ce n’était pas vrai et que tout le monde était concerné. Les criminels ne se préoccupent pas de ça. Ils veulent juste pénétrer dans des systèmes pour réclamer une rançon.
Dans votre présentation, vous expliquez que ces attaques ne sont pas nécessairement « personnelles ». Lorsqu’un fournisseur publie un correctif, il annonce au monde l’existence d’une faille que des malfaiteurs pourraient exploiter. Autrement dit, je ne me fais pas attaquer parce que je suis une cible particulièrement intéressante, mais plutôt parce que j’utilise un système avec une faille. D’une certaine manière, c’est comme si les malfaiteurs partaient à la pêche…
Oui, c’est vrai que certaines attaques deviennent plus faciles à automatiser, mais attention les failles de sécurité ne sont pas les seules sources de vulnérabilité. On pense par exemple aux identifiants [du dark web] que les malfaiteurs peuvent utiliser pour accéder aux systèmes.
Par ce biais, les cybercriminels entrent dans le réseau et vont chercher à élever leurs privilèges grâce à des failles ou des erreurs de configuration.
Bref, la sécurité, ce n’est pas juste un élément. C’est une combinaison d’actions à différents endroits comme s’assurer d’appliquer des correctifs rapidement et mettre en place l’authentification multifacteur, qui va réduire de beaucoup les risques d’intrusion, même s’il reste beaucoup d’autres facteurs bien sûr. La sensibilisation entre aussi en jeu…
Si on revient à l’objectif de la présentation. Que doivent retenir les gestionnaires? À quoi devraient-ils faire attention?
Les principaux éléments de ma présentation à retenir:
- appliquer dès que possible les correctifs en cas faille;
- mettre en place l’authentification multifacteur;
- avoir un système de surveillance;
- avoir des copies de sauvegarde.
Parce que c’est ça qui va faire en sorte qu’on va être capable de remettre ses systèmes en ligne sans avoir à payer la rançon.
Qu’entendez-vous par « surveillance »?
Je parlais des journaux d’événements. On a eu à soutenir certaines organisations et une des lacunes flagrantes, c’était le peu de journalisation d’événement des systèmes d’accès à distance.
On a vu que des intrusions avaient eu lieu beaucoup plus tôt, plusieurs semaines auparavant par exemple. Mais les entreprises ont des journaux d’événements qui collectent peu d’informations ou ne remontent pas assez… Donc elles n’ont pas pu détecter les intrusions plus tôt.
Il faut donc s’assurer que les journaux d’événements contiennent la bonne information. Donc ce n’est pas juste d’activer la journalisation, mais aussi qu’on s’assure d’avoir le bon niveau d’information et d’avoir de bons outils pour faire des recherches et reconstituer les événements. Ce qu’on ne sait pas, c’est si la faiblesse est due à un manque d’investissement, un manque de formation ou un manque de temps…
En abordant ce sujet, j’espère leur permettre d’avoir une réflexion avec leur équipe de sécurité. Parce qu’on ne peut pas se contenter d’acheter et d’activer un produit, surtout lorsqu’on a des systèmes d’accès à distance. Il faut un contrôle des accès et une surveillance de ces accès pour détecter toute anomalie.
Un autre thème qui est revenu souvent dans votre présentation et d’autres – c’est l’idée de playbook et de bonnes pratiques à mettre en place.
Oui, c’est de s’assurer qu’une fois qu’on a ces playbooks, ils sont révisés et mis à jour régulièrement. Souvent ces documents vont avoir des contacts associés, et ces personnes ont peut-être quitté l’entreprise… Le risque c’est d’essayer de contacter une personne qui n’est plus là…
« Qui doit être contacté? Quand implique-t-on le département juridique? Le département des communications? Qui a l’autorité pour décider de fermer un service? Que doit-on regarder en premier lieu? »
Toutes ces choses doivent être documentées parce que lorsqu’on est dans le feu de l’action, on doit agir rapidement, et les longs délais de réponses aux incidents peuvent aggraver la situation.
Ça peut paraître fastidieux, mais c’est très utile. Et ça n’a pas besoin de faire 300 pages. Il faut avoir une liste de noms, savoir qui contacter, en fonction de quelle situation. Quand c’est un pare-feu, qui doit-on contacter? Quelle est la procédure d’escalade en dehors des heures de travail.
Les rançongiciels sont assez importants pour avoir une section spécifique dans ces plans.
Dernière question, en deux parties. En tant que personne qui observe un peu la situation au Canada, selon vous quelles sont les tendances pour l’année à venir et qu’aimeriez-vous que les entreprises fassent pour se protéger?
Je ne sais pas si je suis très bon à faire des prédictions et on n’a pas fait une analyse des tendances. Néanmoins, on s’attend à ce que les attaques de rançongiciels continuent. Le vol de données va rester un problème majeur. Ça ne disparaîtra pas tout de suite parce que ça semble être une trop bonne source de revenus pour les criminels.
Ce que je souhaiterais, ce serait une plus grande adoption de l’authentification multifacteur, à la fois pour les services exposés à l’internet, mais aussi à l’intérieur de l’organisation pour la gestion des accès à hauts privilèges.
Enfin, j’espère que dans la prochaine année, il va y avoir une plus grande sensibilisation à ces problématiques et une meilleure adoption des bonnes pratiques à adopter pour se protéger des cybermenaces et être capable d’y répondre efficacement.
L’intégralité de l’entrevue est disponible (en français) sur Ausha, Spotify, Apple Podcasts, Google Podcasts, Podcast Addict.
Besoin d’aide pour vous aider à élaborer vos plans de réponse aux incidents de cybersécurité? Contactez dès maintenant nos experts!