Conseils, nouvelles et événements

Certifications dans le domaine de la cybersécurité

2026-05-12T20:13:16Z

Format de rechange : Certifications dans le domaine de la cybersécurité - 2026 (PDF, 918 Ko)

Avant-propos

La publication Certifications dans le domaine de la cybersécurité est un document non classifié. Ce document se veut un guide qui fournit de l’information sur plusieurs des certifications offertes aux étudiants potentiels et aux professionnels de la cybersécurité. Son objectif n’est pas de recommander un organisme de certification ou une certification en particulier, mais plutôt d’offrir une liste de différentes certifications pouvant aider des employés à progresser sur le plan professionnel dans le domaine de la cybersécurité.

L’information est tirée des sites Web des organismes de certification mentionnés dans le présent guide.

Avis de non-responsabilité : Le Centre de la sécurité des télécommunications n’approuve ni ne recommande aucune des certifications ou aucun des organismes de certification proposés dans le présent document. L’information fournie se veut un résumé général de renseignements accessibles au public et elle est offerte à titre d’information seulement.

Historique des révisions

Première version : Novembre 2020
Ajout de nouvelles certifications et retrait de fournisseurs de formation : Juillet 2022
Mise à jour de l’information relative à Rogers Cybersecure Catalyst : Avril 2023
Changement du nom d’une équipe et ajout de nouvelles certifications : Novembre 2023
Certifications mises à jour et OSDA ajouté : Juin 2024
Renseignements de Rogers Cybersecure Catalyst retirés : Mars 2026

Table de matières

Configurations de sécurité et pratiques exemplaires pour protéger vos appareils mobiles (ITSM.80.002)

2026-05-07T15:18:00Z

Mai 2026

Série gestionnaires

ITSM.80.002

Mai 2026 | Série gestionnaires

Avant-propos

Dans le contexte numérique actuel, les appareils mobiles jouent un rôle crucial dans notre quotidien. Ils permettent d’améliorer la productivité et de faciliter la communication et les transactions. Leur importance ne se limite pas qu’à l’usage personnel, ils contribuent à l’efficacité et au succès des entreprises. Malgré les nombreux avantages des appareils mobiles, l’augmentation de leur utilisation a aussi accru le risque de menaces pour la sécurité et souligne le besoin de les protéger.

Sur le plan personnel, les gens dépendent fortement des appareils mobiles, comme les téléphones intelligents, les tablettes et les ordinateurs portables, pour stocker des renseignements importants, comme des contacts, des mots de passe, des courriels et des données personnelles. Par conséquent, il faut protéger ces appareils contre les accès non autorisés. De même, dans les organisations, les appareils mobiles sont des outils essentiels pour communiquer, collaborer et accéder à des données organisationnelles. Toutefois, la vulnérabilité inhérente de ces appareils en fait des cibles intéressantes pour les auteurs de menace. Une violation de sécurité met à risque les données personnelles des membres du personnel et de la clientèle, en plus d’entraîner des conséquences importantes pour l’organisation. Un accès non autorisé pourrait amplifier la gravité d’une violation de données et potentiellement compromettre des renseignements organisationnels confidentiels, des données du personnel et de la clientèle, et d’autres renseignements exclusifs.

Cette publication souligne les pratiques exemplaires fondamentales pour sécuriser les appareils mobiles dans le but de préserver l’intégrité de l’information sensible et de protéger les utilisatrices et utilisateurs, et les organisations contre de potentielles violations de données.

Table des matières

Sécurisation de l’entreprise et des technologies mobiles (ITSM.80.001)

2026-05-07T14:07:08Z

Mai 2026

Série Gestionnaires

ITSM.80.001

Février 2023 | Série Gestionnaires

La présente publication donne un aperçu de la sécurité de gestion de la mobilité d’entreprise et répertorie certaines des menaces et certains des risques que peuvent poser les appareils mobiles à votre organisation. Elle décrit des stratégies d’atténuation et des mesures de protection que votre organisation peut mettre en œuvre. Enfin, elle détaille les avantages et les fonctionnalités des outils de solution de gestion destinés aux organisations possédant des infrastructures technologiques (TI) plus complexes.

Il est important de noter que ces recommandations ne sont pas exhaustives. De plus, même si toutes les stratégies d’atténuation possibles ont été correctement mises en œuvre, il subsiste un risque résiduel pour le réseau et les biens informationnels de votre organisation.

Table des matières

Protégez vos appareils contre les dispositifs SMS Blaster (ITSAP.00.104)

2026-05-01T19:02:22Z

Mai 2026

Série sensibilisation

ITSAP.00.104

Mai 2026 | Série sensibilisation

Les messages texte (SMS) sont devenus l’un des vecteurs les plus couramment utilisés par les auteurs de menace pour tenter de frauder des victimes. Les dispositifs SMS Blaster font partie de la catégorie des simulateurs de sites cellulaires, soit des dispositifs portables qui se font passer pour des réseaux mobiles légitimes afin d’inciter les appareils à proximité à s’y connecter. Les auteurs de menace se servent de fausses antennes-relais, communément appelées SMS Blaster en anglais, pour mener des attaques d’hameçonnage par message texte ainsi que d’autres activités malveillantes conçues pour voler de l’information sensible ou financière, ou propager de la désinformation. La présente publication fournit de l’information sur les menaces posées par ces dispositifs ainsi que sur les mesures de protection les plus efficaces à adopter.

Sur cette page

Fonctionnement des dispositifs SMS Blaster
Menaces posées par les dispositifs SMS Blaster
Se protéger contre les dispositifs SMS Blaster
Pour en savoir plus

Fonctionnement des dispositifs SMS Blaster

Les dispositifs SMS Blaster sont capables d’imiter des tours cellulaires afin d’exploiter des vulnérabilités intrinsèques ou non corrigées présentes dans les anciennes normes de réseaux de deuxième génération (2G), encore prises en charge par les appareils modernes. Les normes des réseaux 2G n’appliquent pas l’authentification ou le chiffrement entre l’appareil mobile et le réseau.

Les dispositifs SMS Blaster peuvent émettre des signaux de plus forte puissance, notamment des signaux de réseaux de quatrième génération (4G) et de cinquième génération (5G), pour forcer les appareils à proximité à se connecter en émettant un signal plus fort que la connexion actuelle. Une fois la connexion établie, la fausse antenne-relais tentera de déclasser l’appareil à un réseau 2G. Les auteurs de menace peuvent ainsi contourner les protections et les filtres mis en œuvre par les opérateurs de réseau mobile (ORM) pour protéger leur clientèle.

Menaces posées par les dispositifs SMS Blaster

Les dispositifs SMS Blaster présentent de nombreuses menaces pour les appareils situés à portée d’un appareil compromis. Ces menaces comprennent notamment :

Hameçonnage par message texte et fraude

L’hameçonnage par message texte désigne une forme d’arnaque dans laquelle des auteurs de menace envoient des messages frauduleux qui semblent légitimes afin d’inciter les victimes à cliquer sur des liens ou des pièces jointes, ou à divulguer de l’information sensible. Les dispositifs SMS Blaster permettent aux auteurs de menace d’envoyer rapidement des milliers de messages d’hameçonnage par message texte à des appareils mobiles à l’intérieur de la zone de couverture de l’appareil. Les messages peuvent être génériques ou adaptés à un contexte spécifique — tels que des événements sportifs ou des conférences — ou à une source donnée, comme les NIP utilisés pour l’authentification bancaire.

Lors du contournement du mécanisme de sécurité réseau des ORM, les liens contenus dans les messages texte ne sont pas analysés et ne peuvent pas être évalués quant à leur légitimité. Les auteurs de menace peuvent ainsi plus facilement se faire passer pour des entreprises légitimes et leurs sites Web. Les attaques d’hameçonnage par message texte contournent les mécanismes de sécurité réseau, ce qui les rend — ainsi que les liens qu’elles contiennent — plus dangereuses.

Ces attaques peuvent mener à des fraudes impliquant des justificatifs d’identité compromis, des transactions non autorisées et le vol d’identité. Pour en savoir plus sur l’hameçonnage par SMS, veuillez de consulter la publication du Centre pour la cybersécurité intitulée Hameçonnage par message texte : Se protéger contre les attaques par message texte (ITSAP.00.103).

Mésinformation, désinformation et malinformation

En faisant appel au dispositif SMS Blaster pour mener des attaques d’hameçonnage par message texte et de la fraude, les auteurs de menace peuvent propager de la mésinformation, de la désinformation et de la malinformation (MDM). La menace peut cibler l’ensemble des appareils situés dans la zone de couverture du SMS Blaster et propager des messages MDM liés à une source ou à un événement précis. La propagation de MDM constitue une préoccupation majeure dans ce contexte. Cela peut causer des préjudices en amenant des personnes ou des organisations à croire qu’il y a un conflit ou une urgence.

Perturbations dans les services

Les dispositifs SMS Blaster sont susceptibles d’entraîner des coupures d’appels, des ralentissements des vitesses des données et une surcharge sur l’infrastructure mobile en forçant le déclassement des appareils connectés vers le réseau 2G. Une telle situation peut toucher les appels d’urgence et la connexion aux appareils de l’Internet des objets (IdO).

Atteinte à la vie privée et perte de données

Les dispositifs SMS Blaster peuvent recueillir des données sensibles, notamment de l’information nominative, comme :

l’identification unique de l’abonnée ou abonné (identité internationale d’abonnement mobile [IMSI pour International Mobile Subscriber Identity]);
l’identification unique d’appareil (identité internationale d’équipement mobile [IMEI pour International Mobile Equipment Identity]);
les emplacements des utilisatrices et utilisateurs.

Les auteurs de menace peuvent ensuite utiliser cette information comme point d’entrée pour des cybercampagnes plus sophistiquées.

Haut de la page

Se protéger contre les dispositifs SMS Blaster

Les ORM, les fabricants d’appareils et les utilisatrices ou utilisateurs finaux devraient envisager les stratégies d’atténuation suivantes pour protéger les appareils mobiles contre les dispositifs SMS Blaster.

Stratégies d’atténuation pour les opérateurs de réseau mobile

Détecter et intervenir rapidement :
- Employez des outils permettant de détecter de fausses tours cellulaires et de surveiller les journaux réseau afin d’identifier des activités inhabituelles, comme la présence de tours cellulaires voisines inconnues, des échecs inattendus de transfert et des déconnexions et reconnexions rapides.
- Mettez en œuvre des solutions autonomes visant à surveiller la couche de signalisation pour détecter des augmentations brusques du volume de signalisation ou des tendances d’inscription anormales révélant l’activité d’une station de base non autorisée.
- Exploitez l’analytique en intégrant le signalement de pourriels pour repérer des tendances inhabituelles associées aux messages texte ou des mécanismes d’identification d’appareils suspects.
Mettre en œuvre des services de communication enrichis : Passez des messages texte standards aux services de communication enrichis (RCS pour Rich Communication Services) afin d’offrir un protocole de messagerie plus sécurisé, avec des identifiants d’expéditeur vérifiés et du chiffrement
Partager du renseignement :
- Intégrez des données réseau en temps réel dans des systèmes de gestion de la fraude, mettez à jour les listes de blocage ou les adresses URL et partagez le renseignement sur les menaces avec d’autres opérateurs et autorités gouvernementales.
- Utilisez de l’équipement spécialisé de localisation par direction afin de déterminer avec précision l’emplacement des dispositifs SMS Blaster actifs, facilitant ainsi la saisie du matériel par les forces policières.
Coordonner dans l’ensemble de l’industrie : Travaillez en collaboration avec les fabricants d’appareils et les organismes de réglementation afin d’améliorer les fonctionnalités de protection de la vie privée et de renforcer les mécanismes de défense.

Stratégies d’atténuation pour les fabricants d’appareils

Offrir aux utilisatrices utilisateurs plus de contrôles de sécurité :
- Offrez des options aux utilisatrices et utilisateurs pour désactiver les connexions du réseau 2G.
- Imposez l’utilisation du chiffrement avec le réseau mobile.
Améliorer les fonctionnalités de sécurité :
- Offrez des options clairement définies permettant aux utilisatrices et utilisateurs de sélectionner et de restreindre les connexions réseau.
- Désactivez l’utilisation du réseau 2G par défaut.
- Utilisez les applications de messagerie de façon sécuritaire (par exemple, en permettant aux utilisatrices et utilisateurs d’accepter le risque avant d’activer la messagerie texte).

Stratégies d’atténuation pour les utilisatrices ou utilisateurs finaux

Utiliser l’authentification multifacteur résistante à l’hameçonnage : Utilisez des applications d’authentification ou des clés de sécurité matérielles plutôt que des codes par message texte et des mots de passe à usage unique.
Arrêter, vérifier et signaler :
- Arrêter : Évitez de cliquer sur des liens ou des pièces jointes contenus dans des messages texte non sollicités et ne répondez pas aux messages suspects ou inattendus.
- Vérifier : Communiquez directement avec l’organisation ou la personne concernée par ses canaux officiels, comme les coordonnées figurant sur son site Web officiel.
- Signaler :
  - Transférez le message texte suspect au numéro 7-7-2-6 (« SPAM ») ou utilisez la fonction de signalement des messages texte indésirables de l’application de messagerie.
  - Signalez l’incident à la Gendarmerie royale du Canada (GRC) par l’entremise du portail Signaler la cybercriminalité et la fraude. Ainsi, les organisations concernées seront avisées de lancer une enquête et de prendre les mesures pertinentes.
- Désactiver la technologie 2G :
  - Désactivez les connexions du réseau 2G dans les paramètres de votre téléphone, si l’option est disponible.
  - Communiquez avec votre fournisseur de services mobiles si cette option ne vous est pas offerte.
- Utiliser des applications de chiffrement de bout en bout : Protégez le contenu des communications de messagerie et des transferts de données au moyen d’applications qui prennent en charge le chiffrement de bout en bout.
- Faire preuve de scepticisme : Rappelez-vous que les organisations légitimes ne demandent jamais de renseignements personnels, de mots de passe ou de renseignements bancaires par message.
- Installer les applications de façon sécuritaire :
  - Ne téléchargez que des applications provenant de magasins d’application officiels ou de développeuses et développeurs ayant une réputation validée.
  - Utilisez des logiciels antivirus pour analyser les applications nouvellement téléchargées ainsi que les applications existantes sur votre appareil pour détecter des maliciels.

Alors que l’authentification et les notifications par messages texte demeurent le mécanisme par défaut pour de nombreuses applications, les auteurs de menace continueront d’exploiter les vulnérabilités inhérentes à ce moyen. Pour faire face à ces enjeux, la collaboration au sein de l’industrie est essentielle afin de sensibiliser et de mettre en œuvre des mesures de sécurité robustes.

Pour en savoir plus

Bulletin conjoint sur l’adoption prudente des services d’intelligence artificielle agentive

2026-05-01T17:02:51Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s'est joint à l'Australian Cyber Security Centre (ACSC) de l'Australian Signals Directorate (ASD) et aux partenaires internationaux suivants pour publier des conseils en matière de cybersécurité sur l'adoption prudente des services d'intelligence artificielle (IA) agentive :

la Cybersecurity and Infrastructure Security Agency (CISA), États-Unis;
la National Security Agency (NSA) des États-Unis;
le National Cyber Security Centre de la Nouvelle-Zélande (NCSC-NZ);
le National Cyber Security Centre du Royaume-Uni (NCSC-UK).

Les systèmes d'IA agentive sont composés d'agents qui se fondent sur de grands modèles de langage (GML) pour raisonner, planifier, prendre des décisions et prendre des mesures de façon autonome sans intervention humaine. Si ces systèmes proposent d'excellents avantages en fait d'automatisation et améliorent l'efficacité opérationnelle, leur capacité à agir de façon autonome entre les outils, les données et les environnements interconnectés présente des risques considérables à la sécurité.

Au fil de la croissance du rôle des systèmes d'IA agentive, il est essentiel pour les organisations de mettre en place des mesures de contrôle de sécurité pour protéger la sécurité nationale et les systèmes d'infrastructures essentielles contre les risques que ces systèmes précis présentent.

Le présent bulletin est destiné aux organisations qui envisagent de développer ou de déployer des systèmes d'IA agentive. Il souligne les considérations de sécurité liées aux GML et à l'IA et décrit les principaux risques associés à l'IA agentive.

Le bulletin présente également des pratiques exemplaires qui permettent aux développeuses et développeurs, aux fournisseurs et aux exploitants de sécuriser les systèmes d'IA agentive. Ces pratiques comprennent notamment d'ajouter une couche de défense et des contrôles d'accès afin de diminuer la probabilité qu'une compromission survienne. Les organismes ayant rédigé la présente ont également fourni des conseils adaptés sur les sujets suivants :

concevoir et développer des agents sécurisés;
déployer l'IA agentive de façon sécurisée;
exploiter l'IA agentive de façon sécurisée;
se protéger contre les risques futurs.

Consultez la version intégrale du bulletin : Careful adoption of agentic AI services (en anglais seulement).

Le Centre pour la cybersécurité avise les Canadiennes et Canadiens des activités d’hameçonnage sophistiquées par message texte les ciblant

2026-04-24T20:13:58Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité), en collaboration avec la Gendarmerie royale du Canada, avise les Canadiennes et Canadiens ainsi que les entreprises d’attaques par hameçonnage sophistiquées, soit des tentatives d’hameçonnage transmises au moyen de messages texte.

Les cybercriminelles et cybercriminels ciblent activement les utilisatrices et utilisateurs mobiles partout au Canada. Ces messages frauduleux semblent souvent provenir d’organisations de confiance, comme les banques, et peuvent même apparaître dans des fils de discussion légitimes, ce qui les rend difficiles à détecter.

Pourquoi est-ce important maintenant?

Les attaques par hameçonnage par message texte sont de plus en plus sophistiquées. Elles utilisent des numéros usurpés et des formulations démontrant un sentiment d’urgence pour inciter les victimes à cliquer sur des liens malveillants ou à transmettre des renseignements sensibles. Ces arnaques peuvent mener à une fraude financière, à un vol d’identité ou à des infections par maliciel.

Pour aider les Canadiennes et Canadiens à se protéger, le Centre pour la cybersécurité a publié de nouveaux conseils sur la façon de se protéger contre l’hameçonnage par message texte qui décrivent ce qu’il faut rechercher et les mesures à prendre si l’on reçoit un message suspect. Cette ressource est opportune et essentielle pour être en sécurité dans le contexte actuel de cybermenaces en constante évolution.

Signaler une attaque par hameçonnage par message texte

Faites preuve de vigilance et signalez les messages suspects au numéro 7726 (SPAM). Si vous croyez avoir été victime d’une attaque par hameçonnage par message texte et que vous avez transmis des renseignements sensibles ou subi des pertes financières, signalez l’incident au Centre antifraude du Canada et au service de police local.

Le signalement d’incidents de même que votre collaboration aideront les forces policières à enquêter sur les activités de cybercriminalité qui touchent la sécurité des Canadiennes et Canadiens et à perturber ces activités.

Lecture complémentaire

Hameçonnage par message texte : Se protéger contre les attaques par message texte (ITSAP.00.103)

2026-04-24T20:12:30Z

Avril 2026

Séries sensibilisation

ITSAP.00.103

Avril 2026 | Séries sensibilisation

Format de rechange : Hameçonnage par message texte : Se protéger contre les attaques par message texte - ITSAP.00.103 (PDF, 782 Ko)

L’hameçonnage par message texte est un type d’hameçonnage. Les auteurs de menace recourent au piratage psychologique pour envoyer des messages texte frauduleux conçus pour vous inciter à révéler de l’information sensible, comme des justificatifs d’ouverture de session ou des renseignements bancaires. Les messages texte utilisent un langage qui crée un sentiment d’urgence pour vous forcer à agir rapidement. Ces messages peuvent être liés à des maliciels ou à de faux sites Web, ce qui permet aux auteurs de menace de voler vos données, votre argent ou votre identité.

La présente publication a été rédigée en collaboration avec la Gendarmerie royale du Canada afin de sensibiliser les gens au repérage, au signalement et à la réduction des arnaques d’hameçonnage par message texte.

Sur cette page

Comment les auteurs de menace exploitent l’hameçonnage par message texte
Comment reconnaître un message d’hameçonnage par message texte
Se protéger contre l’hameçonnage par message texte
Pour en savoir plus

Comment les auteurs de menace exploitent l’hameçonnage par message texte

Les techniques modernes d’hameçonnage par message texte permettent aux auteurs de menace d’usurper le numéro de téléphone de l’expéditeur, ce qui fait en sorte que le message semble provenir directement d’une organisation bien connue à laquelle vous faites confiance. Par exemple, si des auteurs de menace usurpent le code abrégé légitime de votre banque, les messages frauduleux apparaîtront dans le même fil de clavardage où se trouvent toutes les communications légitimes que vous auriez eues avec votre banque par le passé. La poursuite de la conversation fait qu’il est très difficile de distinguer les messages frauduleux des messages valides.

Comment reconnaître un message d’hameçonnage par message texte

Bien que le nom et le numéro de l’expéditeur d’un message d’hameçonnage par message texte puissent sembler légitimes, voici des signes précurseurs dont vous devez vous méfier :

des messages urgents concernant des comptes « bloqués » ou « compromis »;
des liens suspects créés au moyen de raccourcisseurs d’URL ou d’adresses Web légèrement modifiées;
des demandes de renseignements sensibles, comme des mots de passe, des numéros d’identification personnels ou des numéros d’assurance sociale.

Ce sont tous des renseignements que les organisations légitimes ne solliciteraient pas par message texte.

Description détaillée - Figure 1 : Exemple d’un message d’hameçonnage par message texte

Bulletin conjoint sur la défense contre des réseaux clandestins liés à la République populaire de Chine

2026-04-23T18:15:00Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’est joint aux membres de l’industrie du National Cyber Security Centre du Royaume-Uni (NCSC) et aux partenaires internationaux suivants pour publier des conseils en matière de cybersécurité sur la défense contre des réseaux clandestins liés à la République populaire de Chine :

l’Australian Cyber Security Centre (ACSC) de l’Australian Signals Directorate (ASD);
le Federal Office for the Protection of the Constitution (BfV) de l’Allemagne;
le Federal Intelligence Service (BND) de l’Allemagne;
le Federal Office for Information Security (BSI) de l’Allemagne;
le National Cybersecurity Office (NCO) du Japon;
le General Intelligence and Security Service (AIVD) des Pays-Bas;
le Military Intelligence and Security Service (MIVD) des Pays-Bas;
le National Cyber Security Centre (NCSC-NZ) de la Nouvelle-Zélande;
le National Cryptologic Centre (CCN) de l’Espagne;
le National Cyber Security Centre (NCSC-SE) de Suède;
la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis;
le Department of Defense Cyber Crime Center (DC3) des États-Unis;
le Federal Bureau of Investigation (FBI) des États-Unis;
la National Security Agency (NSA) des États-Unis.

Les réseaux clandestins se composent souvent d’appareils périphériques courants connectés à Internet présentant des vulnérabilités et qui ont été compromis. Les auteurs de menace liés à la République populaire de Chine ont changé leurs tactiques, techniques et procédures (TTP) en tirant parti de réseaux étendus de dispositifs compromis fournis par des sources externes pour s’attaquer à des secteurs essentiels, voler des données sensibles et maintenir un accès permanent à leurs cibles.

Ce bulletin conjoint explique comment les réseaux clandestins utilisés par des auteurs de menace liés à la République populaire de Chine sont mis en place et maintenus depuis l’extérieur par des entreprises spécialisées dans la sécurité de l’information. Il communique de l’information sur les TTP qu’utilisent les auteurs de menace, et il fournit des recommandations détaillées pour assurer la protection des systèmes contre des activités malveillantes émanant de réseaux clandestins.

Le bulletin conjoint met également en garde contre un important problème pour les responsables de la défense des réseaux : la suppression des indicateurs de compromission (IC). Ce problème survient lorsque les IC sont supprimés presque immédiatement après leur détection, ce qui oblige les responsables de la défense des réseaux à déployer davantage de mesures adaptatives axées sur le renseignement afin d’atténuer les risques.

Consultez la version intégrale du guide : International cyber agencies share fresh advice to defend against China-linked covert networks (en anglais seulement)

Avis connexes

Diversification des fournisseurs (ITSAP.10.006)

2026-04-22T18:09:56Z

Avril 2026

Série sensibilisation

ITSAP.10.006

Avril 2026 | Série sensibilisation

Les systèmes d'entreprise modernes dépendent souvent de diverses architectures et technologies complexes pour atteindre la mission et les objectifs de l'organisation. Ces systèmes s'appuient sur des chaînes d'approvisionnement directes et indirectes ainsi que sur les relations avec les fournisseurs, ce qui peut exposer les activités de l'organisation à des risques essentiels à la mission.

Votre organisation peut intégrer des stratégies de diversification à ses processus de gestion des risques liés à la chaîne d'approvisionnement (GRCA). Cela contribuera à atténuer les risques relatifs aux objectifs essentiels à la mission et à réduire les vulnérabilités associées à une trop grande dépendance par rapport à un fournisseur en particulier ou à une pile technologique dominante. Tous les contrôles de sécurité dont il est question dans ce guide sont consignés dans notre publication Gestion des risques liés à la cybersécurité et à la vie privée : Une méthode axée sur le cycle de vie -- contrôles de sécurité et de protection de la vie privée (ITSP.10.033).

Sur cette page

Diversification des fournisseurs
Équilibrer la diversité et la complexité
Pourquoi la diversification des fournisseurs est-elle essentielle?
Stratégies clés pour la mise en œuvre
Pour en savoir plus

Diversification des fournisseurs

La diversification des fournisseurs fait référence à la stratégie visant à faire appel à une vaste gamme de fournisseurs et de solutions complémentaires. L’objectif de cette stratégie est d’atténuer les risques associés à une trop grande dépendance par rapport à un fournisseur en particulier ou à une pile technologique. Cette approche, aussi appelée « diversité des fournisseurs », exige que les organisations fassent ce qui suit :

évaluer les forces et les faiblesses des solutions;
évaluer les risques liés à la confiance des fournisseurs;
déterminer la criticité pour les fonctions opérationnelles (par exemple, le point de défaillance unique [PDU] ou l'analyse du chemin de criticité);
identifier les fonctions essentielles exposées à des fournisseurs à haut risque;
mettre en œuvre des mesures pour atténuer les risques connexes.

Dans ce contexte, un fournisseur à haut risque comprend tout fournisseur ou fournisseur de services dont l'évaluation a déterminé qu'il posait un risque important pour votre organisation. La compromission d'un fournisseur à haut risque aura une incidence sur la sécurité des systèmes d'information et les fonctions opérationnelles essentielles de votre organisation.

L'objectif de la diversification des fournisseurs est de développer des architectures résilientes et d'optimiser les décisions en matière d'approvisionnement afin de favoriser une posture de cybersécurité robuste. Cela contribuera à protéger votre organisation contre certains risques, notamment :

des échecs inattendus sur le plan des activités;
des perturbations géopolitiques;
un blocage de fournisseur;
des zones de vulnérabilité dans les outils de détection des menaces.

Un autre avantage de la diversification de vos fournisseurs est que votre organisation aura accès à un large éventail de solutions en fonction des forces du fournisseur, tout en profitant également d'une couche additionnelle de protection contre des vulnérabilités émanant d'un seul écosystème.

Équilibrer la diversité et la complexité

Bien que la diversification soit essentielle pour le développement d'architectures résilientes, la gestion de multiples fournisseurs, de contrats, d'infrastructures de réseau et d'équipes opérationnelles pourrait se compliquer davantage. Maintenir de nombreux produits et relations peut également amener des défis sur le plan de l'interopérabilité. Si la diversification n'est pas mise en œuvre et gérée adéquatement, cela peut se traduire par des problèmes opérationnels et des coûts plus élevés.

Par conséquent, nous recommandons une approche qui évalue en permanence les résultats en matière de conception par rapport aux objectifs de la mission. L'objectif est d'établir et d'exploiter une architecture sécurisée, résiliente et robuste tout en évitant les risques associés à une collecte ingérable de solutions de sécurité d'entreprise disparates.

Haut de la page

Pourquoi la diversification des fournisseurs est-elle essentielle?

La diversification des fournisseurs est importante parce qu'elle :

évite le PDU
- particulièrement lorsque le fait de s'en remettre à un seul fournisseur ou à une seule pile technologique entraîne un PDU
- si une seule solution prend en charge plusieurs biens essentiels à la mission, une vulnérabilité ou une compromission dans le système peut avoir de graves répercussions et créer des réactions en chaîne dans l'ensemble de l'environnement de votre organisation
- la diversification, ainsi que la défense en profondeur et l’hétérogénéité, peut aider à atténuer les risques connexes
empêche beaucoup d'attaques automatisées
- le rançongiciel-service et d'autres types d'attaques par script ou automatisées exploitent un ensemble limité et spécifique de vulnérabilités
- trouver des vulnérabilités dans l'ensemble des piles technologiques et les intégrer en tant qu'événements imprévus dans un maliciel automatisé peut s'avérer être un investissement trop important pour de nombreux auteurs de menace opérant avec un niveau de sophistication faible
réduit un blocage de fournisseurs
- votre organisation pourrait avoir un pouvoir de négociation moindre avec les fournisseurs si elle dépend de manière excessive d'un seul fournisseur
- la diversification vous permet de choisir des solutions optimales pour des couches de sécurité précises et elle offre une souplesse quant au choix des fournisseurs requis
fournit des capacités spécialisées et améliorées
- différents fournisseurs possèdent des secteurs particuliers de spécialisation et de capacités techniques
- en faisant appel à un ensemble varié de fournisseurs, votre organisation peut profiter d'une vaste gamme de capacités spécialisées pouvant atténuer un éventail plus large de menaces
- en optant pour différentes solutions de fournisseur, votre organisation peut profiter des différences entre les cycles de mise à jour des menaces pour intervenir et se défendre contre les menaces du jour zéro ou les menaces émergentes (par exemple, votre solution de défense en matière de protection des frontières [pare-feu ou système de prévention d'intrusion] peut accélérer le processus des mises à jour relatives aux menaces pour résoudre une vulnérabilité du jour zéro par rapport à ce qu'offre votre fournisseur de solutions d'antivirus de terminaux ou de prévention des menaces aux terminaux)
renforce la résilience de l'écosystème contre les attaques
- un écosystème de fournisseurs diversifié ajoute une couche additionnelle d'imprévisibilité, ce qui fait en sorte qu'il est plus difficile pour les auteurs de menace de cibler votre environnement
- les activités de gestion d'entreprise peuvent apporter des charges additionnelles, mais elles peuvent aussi agir comme couche de défense pour améliorer la redondance du réseau et renforcer les capacités de détection des cybermenaces
augmente les occasions de détection des menaces
- la diversification permet non seulement d'accroître le facteur de travail pour que les auteurs de menace puissent découvrir les biens d'une organisation, mais elle augmente aussi la probabilité qu'un auteur de menace ait à utiliser des techniques additionnelles pour atteindre ses objectifs. Cela peut être très efficace contre les auteurs de menace opérant avec un niveau de sophistication faible et ayant une flexibilité limitée, tout en ralentissant de manière significative les auteurs de menace dotés de moyens sophistiqués et en accordant plus de temps pour la détection

Haut de la page

Stratégies clés pour la mise en œuvre

La section suivante présente les meilleures stratégies pour mettre en œuvre la diversification des fournisseurs au bénéfice de votre organisation.

Déterminer la catégorisation de la criticité et de la sécurité des biens

Avant de mettre en place des stratégies de diversification, votre organisation devra effectuer une catégorisation de la sécurité pour déterminer les fonctions ou les biens essentiels en fonction de leur incidence ou de leur degré de préjudice à l'égard des objectifs essentiels de l'organisation. Cela aidera à cibler vos mesures de protection et d'atténuation en fonction des éléments qui pourraient mener à l'échec de la mission en cas de compromission. Certains éléments ou services critiques peuvent ne pas être faciles à détecter à l'aide de mécanismes de découverte de réseau types; d'autres facteurs peuvent devoir être pris en considération pour les identifier et les prendre en charge.

Identifier les exigences en matière de désagrégation

Certaines organisations peuvent être soumises à un degré de préjudice plus élevé lorsque leurs biens sont regroupés. La mise en œuvre de stratégies de désagrégation peut réduire l'exposition aux risques. La désagrégation peut suivre des limites naturelles, notamment pour ce qui est d'une opération répartie dans d'autres régions géographiques, d'une voie hiérarchique décentralisée ou d'une indépendance de sous-division (comme pour une unité de combat), ou de la désagrégation de données ou de propriété intellectuelle générée par des équipes. Ces limites peuvent constituer une composante clé des programmes des fournisseurs ou des technologies.

Mettre en œuvre un programme d'évaluation des risques liés aux fournisseurs

Votre organisation devrait mettre en œuvre un programme de gestion permanente des risques liés aux fournisseurs. L'organisation pourra ainsi identifier, évaluer et surveiller les dépendances opérationnelles critiques à l'égard de ses fournisseurs et les relations avec les tiers. Votre organisation devrait aussi identifier les fournisseurs représentant un risque élevé et les services connexes pour recourir à des mesures d'atténuation additionnelles. Les organisations peuvent également songer à demander un outil de suivi des composants logiciels détaillé pour faire le suivi et la surveillance des dépendances liées aux risques dans l'ensemble des applications logicielles exécutées dans leur environnement.

Associer les fournisseurs actuels aux fonctions essentielles

L'organisation doit identifier tous les fournisseurs, entrepreneures et entrepreneurs qui prennent en charge les fonctions essentielles. Elle doit les classer par catégorie en fonction de la criticité du service qu'ils offrent et du niveau d'accès aux activités de l'organisation. Cette façon de procéder révèle les secteurs touchés par une dépendance excessive des fournisseurs et qui pourraient avoir à être diversifiés.

Concevoir et mettre en œuvre une stratégie multifournisseur

L’organisation doit concevoir et reconcevoir de manière stratégique des architectures de système tenant compte de la diversité tout en évitant une trop grande dépendance par rapport à une architecte de solutions en particulier. Il est donc nécessaire d’intégrer des architectures de conception polyvalentes qui peuvent facilement s’adapter à différentes menaces et sont prises en charge par une base diversifiée de fournisseurs. Des scénarios ou des exemples où une diversification peut s’avérer nécessaire comprennent ce qui suit :

protection des frontières : intégrer une diversité dans des dispositifs qui négocient ou autorisent des flux réseau dans des réseaux internes et externes
- parmi les exemples, citons les routeurs, les pare-feu de réseau, les pare-feu d'applications Web, les systèmes de détection et de prévention des intrusions et les protections des services Web
- envisager des solutions provenant d'un éventail varié de fournisseurs qui offrent des capacités de détection dans différents domaines (logiciel, matériel, micrologiciel) et des types de contenu (par exemple, données, fichiers, messages, inspection des paquets et analyse du flux de protocole)
sécurité de terminaux : s'assurer que les protections de sécurité sur des terminaux permettent d'obtenir des capacités de protection variées contre un code malveillant et des attaques basées sur le système
- les composants des solutions comprennent, entre autres, des antivirus, des solutions de détection et d'intervention sur les terminaux, la prévention de la perte de données
- mettre en œuvre des capacités variées (par exemple, détection par heuristique et analyse statique pour identifier un maliciel ou un code malveillant) dans plusieurs couches du système, y compris
  - la plateforme matérielle,
  - les programmes d'amorçage de systèmes d'exploitation (SE),
  - les SE de base,
  - les hyperviseurs,
  - la couche application.
diversité de l'infrastructure du centre de données : assurer que les services et les dépendances du centre de données sont diversifiés et contractuellement indépendants afin d'apporter des mesures d'atténuation pour contrer les risques sous-jacents liés à la convergence de services
- assurer que les risques associés à la source principale d'alimentation, à l'alimentation de secours, à la climatisation, à l'approvisionnement en eau, aux infrastructures de communication et au suivi contractuel sont suffisamment isolés
- de plus, utiliser au moins deux fournisseurs d'accès Internet indépendants qui offrent des boucles fermées avec une infrastructure dorsale isolée

Tenir compte de normes ouvertes et de l'interopérabilité

Pour gérer efficacement un environnement multifournisseur, lorsque la situation le permet, l'organisation doit concevoir des systèmes qui sont indépendants des fournisseurs et basés sur des normes ouvertes pour faciliter l'interopérabilité. Elle doit compléter les outils commerciaux à l'aide de solutions basées sur des normes indépendantes ou de source ouverte pour assurer une meilleure visibilité et résilience. Elle doit également évaluer des solutions de rechange basées sur la capacité de fournir des chemins de livraison multiples, l'accès au code source et à une portabilité des données, entre autres considérations.

Intégrer la diversité aux plans de résilience et d'urgence opérationnels

L'organisation doit adopter une stratégie qui intègre la diversité dans ses architectures de redondance et de reprise liées à la cybersécurité. Elle doit déterminer des plans d'urgence ou d'autres plans pour les contrôles de sécurité les plus essentiels. Les protocoles de basculement et de reprise devraient déterminer les fournisseurs essentiels ainsi que d'autres fournisseurs. Les efforts de diversification doivent s'intégrer aux activités de planification de la résilience pour empêcher que de nouveaux risques imprévus émergent.

Pour en savoir plus

Haut de la page

Considérations liées à la sécurité pour les clés d’accès (ITSAP.30.033)

2026-04-21T18:11:37Z

Avril 2026

Série sensibilisation

ITSAP.30.033

Avril 2026 | Série sensibilisation

Comme solution de rechange aux mots de passe, les clés d’accès offrent une approche moderne permettant aux utilisatrices et utilisateurs de se connecter à des comptes. Les clés d’accès sont généralement déverrouillées à l’aide de méthodes biométriques (par exemple, les empreintes digitales ou la reconnaissance faciale) ou d’un numéro d’identification personnel (NIP) comme un moyen plus rapide et plus sécuritaire de vérifier l’identité de l’utilisatrice ou utilisateur et la preuve de possession.

Sur cette page

Fonctionnement des clés d'accès en lien à la cybersécurité
Avantages des clés d'accès
Considérations liées à la sécurité pour les clés d'accès
Pour en savoir plus

Fonctionnement des clés d'accès en lien à la cybersécurité

L'utilisation de clés d'accès est comparable à l'usage d'un ensemble de deux clés distinctes pour déverrouiller une porte; la seule différence est qu'ici les clés (et la porte) sont numériques. Lorsque vous vous inscrivez à un service et créez un compte, une paire de clés numériques est créée. Une clé vous appartient (clé privée) et l'autre est conservée par le fournisseur de services (clé publique). Il est possible de stocker votre clé sur un périphérique tels un téléphone intelligent, une tablette ou un ordinateur portable. Elle peut aussi être stockée sur un jeton matériel spécial conçu pour conserver les clés. Selon le cas, il est possible de copier votre clé sur plusieurs appareils, ce qui vous permet d'accéder au service à partir de chacun d'eux.

Votre clé sert à prouver au fournisseur de services votre identité lorsque vous vous connectez. Cette clé est unique et vous devriez être la seule personne à y avoir accès. Le fournisseur de services se sert de sa clé pour confirmer que vous êtes bien la personne que vous prétendez être. Si quelqu'un obtient illicitement votre clé, cette personne peut l'utiliser pour se faire passer pour vous; c'est la raison pour laquelle votre clé est stockée dans un emplacement sécurisé sur votre appareil. Pour utiliser votre appareil, vous devez le déverrouiller. Cela se fait habituellement à l'aide d'un NIP ou de la biométrie, ce qui est en principe plus facile à utiliser qu'un mot de passe.

Les clés d'accès reposent sur la spécification d'authentification Web, la norme technique qui rend possible l'authentification sans mot de passe. L'authentification Web permet un processus d'enregistrement sécurisé ainsi que l'utilisation de justificatifs d'identité à clé publique, et elle définit la façon dont les navigateurs et les sites Web communiquent avec des authentifiants.

Avantages des clés d'accès

Une clé d'accès est une clé numérique qui est entreposée de façon sécuritaire sur vote appareil ou ordinateur. Elle peut être déverrouillée à l'aide d'un NIP ou de la biométrie, ce qui rend son utilisation plus pratique qu'un mot de passe. Bien que les clés d'accès s'inscrivent dans une stratégie de défense par couches, elles peuvent réduire les attaques par hameçonnage, car aucun mot de passe n'est transmis au fournisseur de services. Les clés sont plutôt utilisées pour établir un canal sécurisé.

De plus, la compromission d'un site Web public ou d'une application n'entraîne pas nécessairement une compromission des justificatifs d'identité. Advenant la compromission d'un site Web public ou d'une application, un auteur de menace n'obtiendrait que la clé publique associée au compte. Par leur conception, les clés publiques ne peuvent pas être utilisées pour authentifier ou obtenir un accès sans la clé privée correspondante. Toutefois, il est recommandé de remplacer la paire de clés si une compromission est confirmée afin de se protéger contre les risques secondaires.

Certaines clés d'accès sont synchronisées, comme celles qui se trouvent dans les gestionnaires de mots de passe, alors que d'autres sont liées à un appareil, comme une YubiKey. Dans la plupart des cas, les clés d'accès peuvent être utilisées pour accéder à un seul compte à partir de plusieurs appareils d'utilisatrices et utilisateurs de confiance. Dans un tel cas, des paires de clés publique-privée distinctes sont établies pour chaque appareil.

En général, les clés d'accès offrent une sécurité accrue par rapport aux méthodes d'authentification traditionnelles, comme les mots de passe.

Considérations liées à la sécurité pour les clés d'accès

Bien que les clés d'accès offrent un mécanisme d'authentification résistante à l'hameçonnage, plusieurs considérations de sécurité doivent être prises en compte par votre organisation. Une action en matière de sécurité fondamentale touchant les clés d'accès est d'assurer la sécurité des clés privées.

Votre organisation devrait tenir compte des facteurs de sécurité suivants en mettant en œuvre des clés d'accès :

des enjeux d'accessibilité à du soutien sur les sites Web et applications publics, en raison du fait que la prise en charge n'est pas encore universelle;
des enjeux d'utilisabilité en raison de l'authentification entre plusieurs appareils dans différents environnements, comme des systèmes d'exploitation mixtes, qui peuvent mener à une expérience utilisateur contradictoire;
un manque de capacités pour soutenir les appareils plus anciens ou qui ne sont pas pris en charge, car ces appareils peuvent ne pas être en mesure de stocker adéquatement des clés privées;
une protection continue des appareils par l'application régulière de correctifs et de mises à jour pour protéger les vulnérabilités;
des considérations de sécurité post-quantiques dans le cadre de leur mise en œuvre.

Lorsque des organisations transitionnent vers des clés d'accès, il est essentiel d'évaluer le nouveau contexte des risques qu'elles présentent. Cela comprend les vulnérabilités de mise en œuvre, les tactiques des auteurs de menace en constante évolution et les répercussions liées aux autres méthodes d'authentification.

Vulnérabilités de mise en œuvre

Les clés d'accès s'appuient sur plusieurs composants cryptographiques et d'authentification. Comme c'est le cas pour tout contrôle de sécurité, une conception, une configuration et une mise en œuvre incorrectes peuvent introduire des vulnérabilités. Bien qu'elle soit indépendante du contrôle de l'utilisatrice ou utilisateur, la sécurité générale des clés d'accès est tributaire de la mise en œuvre adéquate, de l'intégration sécurisée et de la maintenance continue des algorithmes et technologies sous-jacents.

Chaque demande d'authentification comporte ce qui suit :

des données signées par une clé privée;
des indicateurs pour signaler la « présence d'utilisatrices et utilisateurs » et la « vérification de l'utilisatrice ou utilisateur »;
un compteur de signatures incrémentiel visant à empêcher le clonage des authentifiants.

Il est essentiel que des vérifications soient effectuées par des parties de confiance (notamment les propriétaires des sites Web et des applications) afin de confirmer la présence de ces composants en se servant du logiciel de gestion correspondant.

Les parties de confiance ne peuvent pas facilement faire la distinction entre une clé d'accès stockée sur un module de plateforme fiable (liée à un appareil) et une clé d'accès stockée dans un compte infonuagique personnel. Si un compte infonuagique dispose d'une sécurité inadéquate ou s'appuie sur un mécanisme d'authentification faible, la clé d'accès peut être plus facile à obtenir.

Tactiques des auteurs de menace en constante évolution

Avec la généralisation des clés d'accès, les auteurs de menace adaptent leurs tactiques. Certaines des principales tactiques utilisées par les auteurs de menace, plus particulièrement pour voler les clés d'accès, comprennent :

l'exploitation de vulnérabilités de mise en œuvre;
le détournement de sessions, une attaque au cours de laquelle les auteurs de menace prennent le contrôle de la session en ligne de l'utilisatrice ou utilisateur après qu'il a authentifié ses justificatifs d'identité;
l'utilisation d'un maliciel pour déclencher discrètement l'interface API d'authentification Web si l'utilisatrice ou utilisateur n'effectue pas une vérification active de la demande d'authentification;
l'élaboration de méthodes pour contourner les systèmes d'authentification sans mot de passe;
l'exécution d'une falsification de requête intersites, une attaque consistant à profiter du navigateur de la victime pour déclencher, à son insu, une authentification ou un enregistrement au profit de l'attaquant.

Autres options de connexion

Bien que l'option de faire appel à des clés d'accès est désormais largement répandue, beaucoup de systèmes conservent quand même les mots de passe ou autres méthodes traditionnelles. Les clés d'accès vous permettent de vous connecter rapidement et en toute sécurité, mais en cas d'échec de la clé d'accès, une utilisatrice ou un utilisateur (ou auteur de menace) peut avoir recours à des mots de passe ou à d'autres facteurs d'authentification comme autre façon de se connecter. La disponibilité continue des méthodes d'authentification de rechange présente un risque accru de compromission et peut limiter votre posture de sécurité globale.

En l'absence de clés d'accès, il est fortement recommandé à votre organisation et à vous d'avoir recours à l'authentification multifacteur (AMF), dans la mesure du possible, pour protéger vos données et vos services opérationnels à valeur élevée contre les auteurs de menace. L'AMF exige au moins deux facteurs d'authentification différents pour vérifier l'identité de l'utilisatrice ou utilisateur pendant le processus de connexion. Les facteurs d'authentification en question peuvent être une combinaison :

de ce que les utilisatrices et utilisateurs connaissent (par exemple, un mot de passe ou un NIP),
de ce qu'ils ont (par exemple, une carte à puce ou une clé de sécurité),
d'une caractéristique physique (par exemple la biométrie, comme l'empreinte digitale ou la reconnaissance faciale).

Bien qu'elle ne soit pas une mesure de protection infaillible, l'AMF renforce considérablement la sécurité en augmentant l'effort requis de la part des auteurs de menace.

Pour en savoir plus

Évaluation des exigences visant la sécurité de l’information désignée (ITSP.10.171-01)

2026-04-20T18:47:47Z

Avril 2026

Séries praticiennes et praticiens

ITSP.10.171-01

Avril 2026 | Séries praticiennes et praticiens

Avant-propos

La présente publication est un document NON CLASSIFIÉ publié avec l’autorisation du dirigeant principal du Centre canadien pour la cybersécurité (Centre pour la cybersécurité). Pour obtenir plus d’information ou suggérer des modifications, veuillez communiquer avec le Centre pour la cybersécurité :

par courriel : contact@cyber.gc.ca
par téléphone : (613) 949-7048 ou 1-833-CYBER-88

Date d’entrée en vigueur

Le présent document entre en vigueur le 20 avril 2026.

Historique des révisions

Première version : 20 avril 2026

Vue d’ensemble

Le présent document est une version canadienne de la publication du National Institute of Standards and Technology (NIST) intitulée SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information (en anglais seulement). Il fournit un ensemble complet de procédures visant à évaluer les exigences de sécurité et se veut une ligne directrice complémentaire au document Protection de l’information désignée dans les organisations et les systèmes ne relevant pas du gouvernement du Canada (ITSP.10.171).

La protection de l’information désignée revêt une importance capitale pour les ministères et organismes du gouvernement du Canada (GC). Elle peut avoir une incidence directe sur la capacité du GC de mener à bien ses missions et ses fonctions essentielles. Cette publication offre aux ministères et aux organismes du GC des procédures d’évaluation des exigences de sécurité recommandées visant à protéger la confidentialité de l’information désignée lorsqu’elle se trouve dans des organisations et des systèmes ne relevant pas du GC. Ces procédures d’évaluation s’appliquent aux exigences de sécurité établies par les organismes et organismes du GC dans les mécanismes de passation de marchés ou les autres ententes mises en place entre les organisations ne relevant pas du GC et ces ministères et organismes. Les organisations peuvent utiliser les procédures d’évaluation pour produire la preuve que les exigences de sécurité indiquées dans les ententes et les contrats ont bien été respectées.

Mentions

Le Centre pour la cybersécurité souhaite remercier Victoria Pillitteri et Ron Ross (PhD) de la division de sécurité informatique du NIST d’avoir permis à l’équipe des Conseils en matière de cybersécurité (CSG pour Cyber Security Guidance) d’utiliser leurs conseils et de les modifier afin de les adapter au contexte canadien.

Table des matières

1 Introduction
2 Principes de base
- 2.1 Procédures d’évaluation
- 2.2 Cas d’assurance
3 Procédures
Annex A Paramètres définis par l’organisation

Haut de la page

1 Introduction

Le présent document est une version canadienne de la publication NIST SP 800-171A Rev. 3 Assessing Security Requirements for Controlled Unclassified Information (en anglais seulement). Il n’y a pas de changements techniques importants entre la publication canadienne et le document SP 800-171A Rev. 3. Les principales modifications concernent les différences entre les lois, les politiques, les directives, les normes et les lignes directrices. Autrement dit, les changements tiennent compte du contexte réglementaire et de conformité propre au Canada; aucun changement n’a été apporté au contexte technique sous-jacent.

Le processus d’évaluation de sécurité vise à rassembler l’information et à fournir des preuves pour déterminer l’efficacité des exigences de sécurité en faisant ce qui suit :

cerner les problèmes ou les lacunes dans les programmes de gestion des risques et de la sécurité;
définir les faiblesses et les lacunes en matière de sécurité dans les systèmes et les environnements où s’exécutent ces systèmes;
établir les priorités liées aux décisions et aux activités d’atténuation des risques;
confirmer que les faiblesses et les lacunes relevées par rapport à la sécurité dans le système et l’environnement d’exploitation ont bien été corrigées;
soutenir les activités de surveillance continue et assurer une connaissance de la situation concernant la sécurité de l’information.

1.1 Objet

Cette publication fournit un ensemble complet de procédures visant à évaluer l’efficacité des exigences de sécurité pour protéger la confidentialité de l’information désignée lorsqu’elle réside dans des systèmes et des organisations qui ne relèvent pas du GC. Les lignes directrices s’appliquent aux exigences de sécurité définies dans le document Protection de l’information désignée dans les organisations et les systèmes ne relevant pas du gouvernement du Canada (ITSP.10.171).

L’objectif principal de l’évaluation est de s’assurer que les contrôles de sécurité sont mis en œuvre avec une robustesse et une ampleur suffisantes pour contrer les auteurs de menaces identifiés.

1.2 Public cible

Cette publication est destinée aux personnes et aux organisations des secteurs publics et privés, y compris :

les responsables du cycle de développement des systèmes, par exemple :
- les gestionnaires de programme;
- les responsables de la mission ou des activités;
- les gardiennes et gardiens de l’information;
- les conceptrices et concepteurs de systèmes;
- les ingénieures et ingénieurs en sécurité des systèmes;
- les intégratrices et intégrateurs de systèmes;
les responsables des acquisitions et de l’approvisionnement (par exemple, les agentes et agents de négociation des marchés);
les responsables de la gestion et de la surveillance des systèmes, de la sécurité, de la protection de la vie privée ou des risques, par exemple :
- les responsables de l’autorisation;
- les dirigeantes principales et dirigeants principaux de l’information;
- les dirigeantes principales et dirigeants principaux de la sécurité de l’information;
- les chefs de la protection des renseignements personnels;
- les propriétaires de systèmes;
- les gestionnaires de la sécurité de l’information;
les responsables de l’évaluation et de la surveillance de la sécurité ou de la protection de la vie privée, par exemple :
- les vérificatrices et vérificateurs;
- les évaluatrices et évaluateurs de systèmes;
- les contrôleuses et contrôleurs;
- les vérificatrices indépendantes, les vérificateurs indépendants et les responsables de la validation;
- les analystes.

On peut aborder les rôles et les responsabilités ci-dessus selon deux perspectives :

celle du GC où l’entité définit et applique les exigences relatives à l’évaluation de sécurité dans des mécanismes de passation de marchés ou d’autres types d’ententes;
celle adoptée à l’extérieur du GC où les exigences relatives à l’évaluation de sécurité sont établies dans les contrats ou les ententes par l’entité responsable d’y répondre et de s’y conformer.

1.3 Structure de la publication

La suite de cette publication sera structurée comme suit :

Section 2 : Principes de base : décrit les concepts fondamentaux associés aux évaluations des exigences de sécurité, ce qui comprend les procédures, les méthodes et les objets d’évaluation, ainsi que les cas d’assurance, qu’il est possible de créer à partir des preuves produites au cours de l’évaluation;
Section 3 : Procédures : fournit les procédures d’évaluation relatives aux exigences de sécurité de Protection de l’information désignée dans les organisations et les systèmes ne relevant pas du gouvernement du Canada (ITSP.10.171), dont les objectifs de l’évaluation et les objectifs et les objets d’évaluation potentiels pour chaque procédure;
Annexe A : Paramètres définis par l'organisation : fournit des renseignements supplémentaires pour appuyer la protection de l’information désignée.

Haut de la page

2 Principes de base

Le processus utilisé par les organisations et les contrôleuses et contrôleurs pour évaluer les exigences de sécurité mentionnées dans l’ITSP.10.171-01 comprend les étapes suivantes :

la préparation de l’évaluation;
l’élaboration d’un plan d’évaluation de la sécurité et de la protection de la vie privée;
la réalisation de l’évaluation;
la documentation, l’analyse et la présentation des résultats de l’évaluation.

Le document Évaluation des contrôles et des activités d’assurance de la sécurité et de la protection de la vie privée (ITSP.10.033-02) fournit de l’information additionnelle sur le processus d’évaluation et chacune des étapes mentionnées ci-dessus.

Cette section décrit la structure et le contenu des procédures d’évaluation, ainsi que l’importance de faire appel à des cas d’assurance afin de fournir les preuves nécessaires pour établir la conformité avec les exigences.

2.1 Procédures d’évaluation

Les exigences de sécurité de l’ITSP.10.171 représentent un sous-ensemble des contrôles nécessaires à la protection de la confidentialité de l’information désignée. Les exigences de sécurité sont organisées en 17 familles. Chaque famille contient les exigences associées au sujet de sécurité d’ordre général qu’elle aborde. Les procédures d’évaluation mentionnées à la Section 3 sont regroupées en fonction des désignations de leurs familles pour assurer le caractère exhaustif et l’uniformité des évaluations. Les procédures sont tirées des procédures d’évaluation de l’ITSP.10.033-02.

La liste qui suit donne les familles d’exigences de sécurité :

Contrôle d’accès
Sensibilisation et formation
Vérification et responsabilisation
Gestion des configurations
Identification et authentification
Intervention en cas d’incident
Maintenance
Protection des supports
Sécurité du personnel
Protection matérielle
Évaluation des risques
Évaluation de sécurité et surveillance
Protection des systèmes et des communications
Intégrité de l’information et des systèmes
Planification
Acquisition des systèmes et des services
Gestion des risques liés à la chaîne d’approvisionnement

La procédure d’évaluation consiste en un ensemble d’objectifs d’évaluation comportant chacun un ensemble connexe des méthodes et des objets d’évaluation potentiels. Les procédures d’évaluation mentionnées à la Section 3 sont tirées de l’ITSP.10.033-02. Les évaluations des exigences de sécurité comprennent plusieurs éléments clés :

les objets d’évaluation définissent les éléments particuliers qui sont évalués dans le cadre d’une activité ou d’un contrôle donné et font mention des spécifications, des mécanismes, des procédures et des individus;
les spécifications sont les artéfacts basés sur le document, qui sont associés à une activité ou à un contrôle courant ou propre au système. Ces artéfacts comprennent ce qui suit :
- les stratégies;
- les procédures;
- les plans;
- les exigences de sécurité et de protection de la vie privée du système;
- les spécifications fonctionnelles;
- les conceptions fonctionnelles;
les mécanismes correspondent au matériel, aux logiciels ou aux micrologiciels particuliers, dont les dispositifs de protection physique, qui composent les protections et les contremesures employées dans un système ou dans une activité ou un contrôle courant;
les procédures sont des mesures de protection particulières qui prennent en charge un système ou une activité ou un contrôle commun exigeant l’intervention d’individus, par exemple :
- effectuer les étapes nécessaires pour sauvegarder un système;
- surveiller le trafic d’un réseau;
- exécuter un plan d’urgence;
les méthodes d’évaluation définissent la nature des actions menées par les contrôleuses et contrôleurs et comprennent ce qui suit :
- examen : processus qui consiste à vérifier, à inspecter, à observer, à étudier ou à analyser un objet d’évaluation ou plus (à savoir, les spécifications, les mécanismes ou les procédures) afin de faciliter la compréhension de la contrôleuse ou du contrôleur, d’obtenir plus de clarifications ou de rassembler des preuves;
- entrevue : processus qui consiste à tenir des discussions avec les personnes ou les groupes de personnes d’une organisation afin de faciliter la compréhension de la contrôleuse ou du contrôleur, d’obtenir plus de clarifications ou de rassembler des preuves;
- test : processus qui consiste à réaliser un objet d’évaluation ou plus (à savoir, des procédures ou des mécanismes) conformément aux conditions définies pour comparer l’état actuel de l’objet à l’état voulu ou au comportement attendu de l’objet;
les méthodes d’évaluation ont un ensemble d’attributs connexes – portée et profondeur – qui aident à définir le niveau d’efforts nécessaire à l’évaluation. Les attributs sont de nature hiérarchique et fournissent les moyens pour définir la portée, la profondeur et la rigueur de l’évaluation pour les assurances accrues dont certains systèmes pourraient avoir besoin :
- l’attribut de la profondeur traite de la rigueur et du niveau de détail exigés par les efforts d’évaluation;
- l’attribut de la portée traite de l’ampleur des efforts d’évaluation, comme le nombre et les types de spécifications, de mécanismes et de procédures à examiner ou à tester, ainsi que les personnes qui prendront part à une entrevue;
le niveau d’effort de l’évaluation est principalement déterminé par l’évaluation des risques d’atteinte à la vie privée ou la catégorisation de la sécurité du système ou de l’activité ou du contrôle commun à évaluer conformément à ce qui est mentionné dans le document Activités organisationnelles de gestion des risques pour la cybersécurité et la vie privée (ITSP.10.036). Les valeurs de ces attributs vont d’un niveau d’assurance de la sécurité (NAS) 1 à un NAS 5 (les NAS sont définis dans l’ITSP.10.037, Activités de gestion des risques pour la cybersécurité et la vie privée tout au long du cycle de vie des systèmes);
les valeurs d’attribut appropriées pour une méthode d’évaluation particulière sont basées sur les exigences relatives à l’assurance précisées par l’organisation et sont une composante importante de la protection de l’information en fonction du risque – ce qu’on appelle la gestion des risques.

Figure 1 : Structure et contenu d’une procédure d’évaluation

03.01.06 Droit d’accès minimal − Comptes privilégiésNom de l'exigence de sécurité

ODP :ODP de l'exigence de sécurité

A.03.01.06.ODP : définir le personnel ou les rôles dont les comptes privilégiés devraient être restreints sur le système

Confirmer l’exécution des actions suivantes : Énoncé de détermination multipartite

A.03.01.06.A : limiter les comptes privilégiés sur le système à

A.03.01.06.B : exiger que les utilisatrices et utilisateurs (ou rôles) de comptes privilégiés qui ont accès aux fonctions ou à l’information non liées à la sécurité utilisent des comptes non privilégiés

A.03.01.06.C : exiger que les opérations administratives ou de superutilisatrices ou superutilisateurs soient réalisées à partir d’une station de travail physique dédiée à ces tâches précises et isolée des autres fonctions et réseau

Méthodes et objets d’évaluation potentiels :

Examen

[Sélection parmi les options suivantes : politique et procédures liées au contrôle d’accès; procédures liées au droit d’accès minimal; liste des comptes privilégiés générés par le système; liste des membres du personnel d’administration du système; enregistrements de vérification du système; paramètres de configuration du système; plan de sécurité du système; liste des fonctions de sécurité générées par le système ou de l’information relative à la sécurité attribuée aux comptes ou aux rôles du système; documents sur l’architecture de gestion du système; paramètres de configuration des stations de travail administratives dédiées (STAD); autres documents ou enregistrements pertinents]

Entrevue

[Sélection parmi les options suivantes : personnel responsable de la définition du droit d’accès minimal; personnel responsable de la sécurité de l’information; personnel responsable de l’ingénierie de la sécurité du système; architectes de la sécurité; administratrices et administrateurs de système]

Test

[Sélection parmi les options suivantes : mécanismes de mise en œuvre des fonctions de droit d’accès minimal; tests d’intrusion sur la STAD]

Références :

Procédures d’évaluation tirées de la source : AC-06(02), AC-06(05) et SI-400

Description longue : Figure 1 - Structure et contenu d’une procédure d’évaluation

Le Centre pour la cybersécurité lance une nouvelle initiative visant à aider les responsables des infrastructures essentielles du Canada à se préparer à faire face à des cybermenaces graves

2026-04-17T15:19:44Z

Initiative Résilience des infrastructures essentielles face à l’intensification des menaces

2026-04-17T14:08:40Z

Alors que l’instabilité géopolitique accélère l’intensification des cybermenaces visant les infrastructures essentielles (IE), le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) a élaboré l’initiative Résilience des infrastructures essentielles face à l’intensification des menaces (RIEFIM) destinée à accélérer immédiatement l’état de préparation des organisations afin de renforcer et de protéger la souveraineté du Canada et ses services essentiels.

Le contexte des menaces en constante évolution est accentué par des risques découlant de l’intelligence artificielle (IA). Avec les progrès rapides de l’IA, la capacité d’automatiser la découverte et l’exploitation de vulnérabilités augmente également et peut permettre d’accroître l’ampleur, la rapidité et les répercussions des cyberincidents.

Les auteurs de cybermenace parrainés par un État ciblent fort probablement les réseaux d’infrastructures essentielles au Canada et dans les pays alliés afin de se préparer à d’éventuelles cyberopérations perturbatrices ou destructrices. Les auteurs de cybermenace non étatiques peuvent également mener des activités de cybercriminalité pour réaliser des gains financiers. Indépendamment de la source de la menace, les organisations des infrastructures essentielles doivent être en mesure de déconnecter et d’isoler rapidement les systèmes touchés face à des menaces graves. À partir de cet état isolé ou déconnecté, le secteur des infrastructures essentielles doit également avoir la capacité nécessaire pour reconstruire et rétablir les services à partir de ressources hors ligne.

Des attaquants déterminés et dotés de moyens sophistiqués pouvant compter sur d’importantes ressources peuvent accéder aux réseaux et aux systèmes, même si ceux-ci sont très bien protégés. Les organisations du secteur des infrastructures essentielles doivent planifier et préparer leurs environnements en prévision d’un avenir où les cybermenaces dépasseront largement les seuils observés à ce jour.

Se préparer à faire face aux menaces

Les infrastructures essentielles modernes présentent un haut niveau d’interconnexion avec des partenaires internationaux et reposent sur une synchronisation assurée par plusieurs chemins de communications, ce qui signifie qu’elles s’appuient sur des réseaux de communications, des services Internet et des flux de données pour fonctionner. Bien que cela soit essentiel pour de nombreuses organisations, puisqu’il en résulte des avantages opérationnels importants, cela présente également une vulnérabilité.

Étant donné que des perturbations aux infrastructures essentielles du Canada peuvent comporter des risques importants, tous les exploitants de services essentiels devraient, à tout le moins :

être prêts à isoler les systèmes pour une durée pouvant aller jusqu'à trois mois;
élaborer et tester des plans d'intervention pour leur permettre de fonctionner de manière indépendante;
concevoir des plans de reconstruction des systèmes pour intervenir en cas de cyberincidents graves.

Dans un contexte où les cybermenaces envers les infrastructures critiques sont exacerbées par l’instabilité géopolitique et l’utilisation croissante de l’intelligence artificielle à des fins malveillantes, l'initiative RIEFIM donne des conseils sur la manière dont les organisations peuvent comprendre les cyberincidents à grande échelle à venir, s’y préparer et s’exercer à y répondre, en s’assurant qu’elles peuvent maintenir les fonctions et les services essentiels, même dans le pire des scénarios.

Cette initiative facilite le travail des propriétaires et des exploitants des secteurs des infrastructures essentielles qui protègent la sécurité et le bien-être économique des Canadiennes et Canadiens.

Les propriétaires et les exploitants des infrastructures essentielles devraient avoir recours à des plans de continuité des activités (PCA) extensibles qui permettront à leurs organisations d'être en mesure de procéder à l'isolation et à la reprise des systèmes.

Haut de la page

Fonctionnement de l'isolation

L'isolation consiste à séparer délibérément les réseaux de votre organisation ou des segments spécifiques de réseau de tous les réseaux externes et de l'Internet public. Cette isolation limite l'exposition à des menaces externes et assure la protection et le fonctionnement continus des systèmes et des services essentiels.

L’isolation peut réduire la probabilité qu’un auteur de menace établisse un accès initial. Elle peut également contribuer à contenir une cyberattaque en cours et à assurer le maintien des opérations essentielles. L’isolation vous permet de gagner du temps en attendant que l’infrastructure externe se stabilise et soit sécurisée. Lorsqu’elle est mise en œuvre de manière appropriée, l’isolation permet de réduire considérablement l’exposition à de nouvelles attaques à distance, et elle peut perturber de manière substantielle les capacités de commande et de contrôle de l’adversaire. Elle peut également réduire la capacité de l’auteur de menace à exploiter les vulnérabilités du jour zéro.

Les organisations du secteur des infrastructures essentielles devraient être en mesure de recourir à l'isolation en dernier ressort si tous les autres mécanismes de défense échouent. Il est primordial pour les organisations du secteur des infrastructures essentielles de définir leurs propres mécanismes déclencheurs d'isolation dans un plan d'intervention en cas d'incident (PICI), en sachant que ces déclencheurs varieront d'un secteur d'activité à l'autre.

Afin de mettre en œuvre un plan d’isolation efficace, les organisations doivent bien connaître leurs :

biens de technologies opérationnelles (TO) et de technologies de l'information (TI),
limites de TO,
chemins d’accès distant utilisés par des tiers et des fournisseurs (y compris les services hébergés dans le nuage et intégrés à la boucle de contrôle),
connectivité externe.

Les organisations pourraient avoir à collaborer avec des fournisseurs et des intégrateurs, et à évaluer les implications réglementaires possibles dans le cadre de leur planification. Sans défenses robustes et sans déclencheurs d'isolation clairement définis, une compromission ciblant une installation peut se propager à travers des réseaux interconnectés, entraînant des interruptions généralisées qui auraient autrement pu être évitées. Les alertes, conseils et bulletins sur les menaces du Centre pour la cybersécurité peuvent aider les organisations dans le cadre de la prise de décision opérationnelle.

Fonctionner de manière indépendante

Les plans de continuité des activités (PCA) traditionnels supposent que les perturbations seront de courte durée. Les organisations du secteur des infrastructures essentielles devraient élaborer des PCA qui tiennent compte de perturbations prolongées, au-delà des scénarios existants, pour s'assurer qu'elles soient en mesure de fonctionner malgré des interruptions de service prolongées, des contraintes liées à la chaîne d'approvisionnement et des contraintes opérationnelles multisite, et ce, en se préparant adéquatement. Ce type de PCA définit une capacité de survivance délibérée, prolongée et multisite en prévision d'une crise généralisée. Ce changement d'approche aidera l'équipe de direction à déterminer combien de temps les opérations peuvent se poursuivre en toute sécurité sans aide externe. Il contribue également à la mise en place d'une capacité pouvant être opérationnelle de façon autonome au fil du temps.

Afin de déterminer les paramètres nécessaires pour des opérations indépendantes pendant l'isolation, les organisations du secteur des infrastructures essentielles doivent :

comprendre pendant combien de temps les services essentiels peuvent être maintenus et comment les risques de défaillance opérationnelle s'intensifient au fil du temps;
identifier les seuils de rupture au niveau des opérations;
déterminer les fonctions jugées essentielles ainsi que celles pouvant être réduites ou interrompues temporairement;
déterminer comment atténuer les vulnérabilités découlant des dépendances à des facteurs tels que le personnel, l'électricité, le carburant, l'eau, les fournisseurs et les communications;
déterminer la rapidité avec laquelle les capacités peuvent se détériorer selon les circonstances;
déterminer comment étendre la survivance en transférant les activités entre les différentes installations;
prendre en compte la manière d'éviter des décisions qui protègent un site, mais qui pourraient avoir de plus grandes répercussions sur d'autres emplacements.

Au bout du compte, votre organisation doit élaborer un PCA axé sur l'isolation qui englobe ces éléments dans l'éventualité d'une situation de crise. Vous devez vous assurer que votre PICI comprend des déclencheurs d'isolation clairs, des pouvoirs préautorisés et des voies de communication lorsque le recours à l'isolation semble être la seule option.

Le Centre pour la cybersécurité recommande au conseil d'administration ou à la haute direction de votre organisation de discuter de cyberrésilience et de prendre les décisions appropriées en conséquence. Comprendre les paramètres opérationnels de votre organisation pendant une crise potentielle vous informe et vous prépare à réagir rapidement et de façon réfléchie. Cette approche, quant à elle, peut réduire les répercussions sur la sécurité publique, minimiser l'exposition aux risques juridiques et atténuer les risques à la réputation. L'élaboration de ce plan de continuité des activités ciblé devrait être traitée comme une priorité au niveau de la gouvernance, appuyée par des mécanismes de production de rapports transparents et des objectifs clairement définis.

Haut de la page

Reprise et restauration

Une restauration complète des opérations pour l'ensemble des systèmes, des services et des fonctions ne devrait avoir lieu qu'après la réalisation des vérifications requises en matière de performance, de sécurité et d'interopérabilité, conformément aux normes applicables dans l'industrie.

Pour soutenir une restauration résiliente, les organisations doivent être en mesure de faire ce qui suit :

conserver des copies hors ligne des micrologiciels, des configurations et de la documentation pour s’assurer que les systèmes peuvent être récupérés, même si d’autres services sont touchés;
identifier les principales composantes TI et TO présentant des délais d’approvisionnement longs ou une dépendance à une source unique (par exemple, des pièces de rechange matérielles ainsi que des images de micrologiciel) et maintenir un niveau de redondance approprié;
- tenir compte d’autres stratégies d’approvisionnement pour ces composantes;
- évaluer les situations où une cybercompromission pourrait causer des dommages physiques à des composantes difficiles ou impossibles à remplacer;
- accorder la priorité à une surveillance accrue, à des contrôles d’intégrité et des mesures de protection supplémentaires pour ces biens;
prévoir une reconstruction complète des systèmes au moyen de copies et de sauvegardes immuables hors ligne de confiance, conformément aux conseils en matière de cybersécurité sur la préparation en cas d'urgence applicables aux perturbations graves et prolongées;
confirmer l’intégrité des systèmes avant de les reconnecter, en effectuant des vérifications approfondies comme la chasse aux cybermenaces (y compris l’identification d’une activité d’exploitation des ressources locales), la vérification des correctifs et de la configuration, et en s’appuyant sur des directives supplémentaires, au besoin;
vérifier périodiquement les procédures de restauration par le biais de PICI établis.

Points saillants

Dans un contexte de cybermenaces en pleine expansion, exacerbé par l’instabilité géopolitique et les technologies émergentes comme l’intelligence artificielle, les perturbations prolongées touchant plusieurs secteurs des infrastructures essentielles ne sont plus seulement hypothétiques. L’isolation repose sur des capacités préétablies, pas sur l’improvisation. Les organisations du secteur des infrastructures essentielles doivent mettre en œuvre des mesures de cybersécurité robustes, notamment :

le renforcement des systèmes
la surveillance des réseaux
la revue et la mise à l'essai de PICI et de PCA axés sur l'isolation
l'application d'autres mesures de cybersécurité de base décrites dans les Objectifs relatifs à l'état de préparation en matière de cybersécurité (OEPC)

La préparation ne peut pas attendre. Le moment d'agir, c'est maintenant. Les organisations qui adoptent une planification proactive et structurée de leurs systèmes sont les mieux positionnées pour soutenir la continuité des services essentiels en contexte de cyberperturbations prolongées.

Pour en savoir plus

Haut de la page

L’intelligence artificielle de pointe

2026-04-12T16:54:02Z

Avril 2026

Série gestionnaires

ITSAP.10.050

Avril 2026 | Série sensibilisation

L’intelligence artificielle (IA) de pointe regroupe les modèles les plus récents, les plus performants et les plus avancés disponibles. Ces modèles possèdent des capacités accélérées, et leur performance a dépassé les attentes dans le domaine de la cybersécurité.

Les capacités des modèles de pointe continueront de se développer rapidement et dépasseront vraisemblablement les attentes de l’industrie. Un exemple de cela s’est d’ailleurs produit récemment lorsque Anthropic's Claude Mythos (en anglais seulement) a démontré des capacités sans précédent qui lui permettaient de découvrir des vulnérabilités, de générer des exploits ciblant des vulnérabilités du jour zéro et de coordonner des cyberattaques en plusieurs étapes, et ce, en toute autonomie.

Les organisations peuvent voir l’IA de pointe sous deux angles :

un risque pour les technologies de l’information (TI) nécessitant des mesures d’atténuation robustes;
un outil pouvant servir à atténuer les cybermenaces.

La présente publication offre aux organisations des précisions additionnelles sur l’IA de pointe, les risques connexes et des mesures d’atténuation proposées afin de renforcer leur posture de cybersécurité.

Sur cette page

L'IA de pointe expliquée
Risques liés à l'IA de pointe
Mesures d'atténuation recommandées
Considérations liées aux infrastructures essentielles
Pour en savoir plus

L’IA de pointe expliquée

Les modèles de pointe sont de plus en plus accessibles et disponibles à grande échelle, ce qui accroît les menaces pour les organisations. Des auteurs de menace dont l’expertise technique est limitée peuvent utiliser à des fins malveillantes des modèles d’IA de pointe mis à la disposition du public. Les organisations devraient supposer que l’exploitation propulsée par l’IA est susceptible de contourner les contrôles préventifs, de devancer largement la capacité des fournisseurs de publier des correctifs et de mettre à l’épreuve la capacité des organisations de déployer ceux-ci. Par conséquent, un grand nombre d’organisations, en particulier celles du secteur des infrastructures essentielles (IE), devront se préparer à fonctionner en situation de compromission ou de perte de connectivité.

Bien que les risques soient évidents, les responsables de la cyberdéfense ont eux aussi l’occasion de tirer avantage des outils d’IA de pointe.

Risques liés à l’IA de pointe

Les organisations de tous les secteurs devraient se tenir au courant des risques liés à l’IA de pointe. La section suivante donne des précisions sur les risques qu’il convient de prendre en considération.

Découverte automatisée de vulnérabilités

Les modèles d’IA de pointe ont la capacité d’ingérer de grandes quantités de données, y compris du code. Ils sont capables d’identifier avec une précision croissante les failles dans le code, les mécanismes de contournement possibles ou les problèmes de corruption. À mesure que ces modèles évoluent, leur capacité de lire et de manipuler le code améliore leur capacité de découvrir et d’exploiter des vulnérabilités.

Cette capacité pose un risque considérable pour la chaîne d’approvisionnement numérique, car il est possible de cerner les vulnérabilités facilement et de les exploiter rapidement. Les attaques de la chaîne d’approvisionnement propulsées par l’IA peuvent entraîner de graves répercussions, car elles peuvent être maintenues plus longtemps sur des réseaux connectés et causer des dommages plus importants.

Cyberattaques

À mesure que les modèles de pointe évoluent, les méthodes et les capacités permettant de mener des cyberattaques progressent également. Ces modèles peuvent rapidement exécuter ou enchaîner des opérations. Les modèles d’IA de pointe peuvent apprendre à partir d’erreurs consignées et de résultats de tests afin d’évaluer et de relancer rapidement une attaque avec des charges utiles modifiées.

Le fait de pouvoir parcourir des sources d’information ouvertes largement utilisées et d’en extraire d’importants volumes de données leur permet également de lancer des tentatives d’hameçonnage et de harponnage personnalisées et hautement sophistiquées. Ces tentatives peuvent être exécutées rapidement et sur une longue période, contrairement aux arnaques d’hameçonnage conventionnelles de faible qualité et à usage unique.

Déséquilibre des capacités offensives et défensives

Les organisations devraient supposer que des auteurs de menace de tous les niveaux pourraient accéder à des outils d’IA dotés de capacités accrues. Les responsables de la cyberdéfense risquent d’avoir de la difficulté à suivre le rythme si ces modèles évoluent rapidement. Le Centre pour la cybersécurité encourage les responsables de la cyberdéfense à tirer parti de ces outils et capacités d’IA pour renforcer la sécurité et la protection de leurs réseaux et systèmes.

Haut de la page

Mesures d’atténuation recommandées

Les mesures d’atténuation ci-dessous peuvent permettre à votre organisation de renforcer sa posture de cybersécurité. Il est important de noter que votre organisation continuera de bénéficier de l’adoption de bonnes pratiques de cybersécurité.

Réduire la surface d’attaque

Bien que l’exposition des systèmes à des réseaux externes et à Internet puisse améliorer la connectivité et les fonctionnalités, il est fortement recommandé d’identifier et d’analyser les systèmes de votre organisation qui sont ainsi exposés. La connectivité n’est pas toujours nécessaire pour assurer la fonctionnalité, et le fait de limiter le nombre de systèmes exposés peut permettre de mieux protéger votre organisation.

Si vous devez absolument maintenir les connexions actuelles de vos systèmes, votre organisation devrait segmenter les réseaux internes afin de limiter la capacité d’un auteur de menace ou d’une attaque propulsée par l’IA de se propager aux parties les plus sensibles de votre réseau.

Il convient d’adopter une approche axée sur les « joyaux de la couronne », en protégeant les actifs les plus précieux au moyen de la segmentation et de la microsegmentation. Au moment d’appliquer cette approche à la segmentation, il est recommandé de prendre les mesures suivantes :

Restreindre le trafic;
Isoler les environnements de développement des environnements de production;
Vérifier si les fournisseurs disposent d’un accès à distance et couper cet accès si c’est le cas.

Il convient également d’examiner les produits de fournisseurs et de déterminer où ces produits devraient se trouver dans le réseau et quelles solutions ont accès aux données.

Pour en savoir plus sur la segmentation de réseau, consultez la publication Les 10 meilleures mesures de sécurité des TI : No 5, Segmenter et séparer l’information (ITSM.10.092).

Mettre en œuvre l’authentification renforcée

Pour renforcer la sécurité des systèmes, il est recommandé de mettre en œuvre l’authentification multifacteur (AMF) résistante à l’hameçonnage pour tous les comptes ainsi que la vérification cryptographique des communications internes. Ces mesures permettront à votre organisation de se défendre contre des attaques par piratage psychologique propulsées par l’IA.

Appliquer les correctifs fréquemment

Il faut s’attendre à ce que les fournisseurs augmentent la fréquence de leurs correctifs, car ils devront accélérer l’identification et la correction des vulnérabilités. Votre organisation devrait donc mettre à jour et corriger ses systèmes d’exploitation, ses applications, son matériel et ses micrologiciels plus fréquemment. Il est recommandé d’intégrer l’application des correctifs à des vérifications quotidiennes afin de demeurer à jour par rapport aux versions les plus récentes publiées par les fournisseurs.

Pour suivre l’accélération du rythme de la publication de correctifs, vous devriez prévoir des périodes d’application de correctifs et d’interruptions prévues plus fréquentes. Il est recommandé de rajuster votre tolérance au risque actuel dans le contexte de la mise à l’essai des correctifs et de réduire la durée de ces mises à l’essai avant le déploiement.

En plus d’appliquer les correctifs, votre organisation devrait mettre hors service les logiciels et les appareils qui ne sont plus pris en charge par les fournisseurs.

Surveiller l’environnement en continu

Votre organisation devrait assurer la surveillance continue de son environnement. Vous devriez déployer des systèmes de gestion de la posture de sécurité des données (DSPM pour data security posture management) et de prévention de la perte de données (DLP pour data loss prevention) afin de surveiller en continu vos référentiels en nuage. Cette mesure limitera le risque d’exposer involontairement des données.

Déployer la détection d’anomalies basée sur le comportement

Votre organisation devrait passer de la détection fondée sur des signatures à la détection basée sur le comportement. Cela vous permettra de mieux détecter toute anomalie par rapport aux tendances et aux comportements habituels et d’assurer une chasse aux cybermenaces en continu.

Mettre en œuvre l’architecture à vérification systématique

L’architecture à vérification systématique repose sur le principe selon lequel aucun élément (par exemple, une application, une utilisatrice ou un utilisateur, ou un appareil) d’un système d’information n’est digne de confiance par défaut. Il faut réévaluer et vérifier la confiance chaque fois qu’un élément demande l’accès à une nouvelle ressource.

Il convient de mettre en œuvre l’architecture à vérification systématique pour toutes les identités non humaines, y compris les agents d’IA. Il est également recommandé d’inclure l’échange dynamique de jetons Oauth et des limites de privilèges des scripts.

Pour en savoir plus sur la mise en œuvre d’une architecture à vérification systématique, consultez la publication Approche à vérification systématique pour l’architecture de sécurité (ITSM.10.008).

Intégrer les capacités défensives de l’IA

Il est recommandé aux organisations d’intégrer des capacités défensives propres à l’IA, comme des mécanismes de renforcement défensif et des agents de centres des opérations de sécurité (COS) conçus pour contrer l’hameçonnage. Ces outils sont mieux adaptés à la défense contre les menaces propulsées par l’IA, car ils peuvent suivre la cadence et présenter un niveau de sophistication équivalent.

S’inscrire à des services et à des abonnements

Votre organisation devrait explorer les services et les abonnements conçus pour vous tenir au courant des nouveautés et de l’évolution des modèles d’IA de pointe et des vulnérabilités.

Le Centre pour la cybersécurité offre aux organisations la possibilité de s’abonner à un service d’avertissement rapide appelé Système national de notification de cybermenace (SNNC). Ce système fournit des notifications opportunes sur les cybermenaces potentielles pour les systèmes, y compris des vulnérabilités techniques, la compromission de systèmes et des infections par maliciel.

Considérations liées aux infrastructures essentielles

Les organisations du secteur des IE représentent des cibles de premier plan pour les auteurs de menace. À mesure que les modèles de pointe évoluent et que les auteurs de menace améliorent leurs capacités, les propriétaires et exploitants d’IE devront renforcer leur posture de cybersécurité. Il faudra possiblement se préparer à composer avec de longues périodes d’isolation, sans connexion aux réseaux externes ou à Internet.

Comme l’indique le National Cyber Security Centre du Royaume-Uni dans son billet de blogue récent intitulé Why cyber defenders need to be ready for frontier AI(en anglais seulement), dans le cas du scénario d’une attaque plus complexe ciblant un système de contrôle industriel, les performances de l’IA se sont révélées nettement plus limitées. Toutefois, même dans ce contexte, des signes initiaux de progrès ont été constatés : les modèles les plus récents ont été les premiers à réaliser des avancées de manière cohérente et, dans certains cas, ont découvert des approches d’attaque que les personnes qui ont conçu le scénario n’avaient pas prévues.

Pour en savoir plus

Haut de la page

Bulletin conjoint sur la campagne d’exploitation de routeurs vulnérables menée par le GRU russe afin de voler de l’information sensible

2026-04-07T14:53:21Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’est joint au Federal Bureau of Investigation (FBI) et à la National Security Agency (NSA) des États-Unis, ainsi qu’à d’autres partenaires nationaux et étrangers, dans la publication d’un bulletin de cybersécurité sur la campagne menée par la Direction générale des renseignements (GRU) de l’État-major des Forces armées de la fédération de Russie en vue d’exploiter des routeurs vulnérables à travers le monde.

Ce bulletin conjoint vise à sonner l’alarme à propos des auteurs de menace du GRU russe qui exploitent des routeurs vulnérables pour intercepter et voler l’information sensible des forces militaires, des gouvernements et des infrastructures essentielles. Des partenaires étrangers d’application de la loi ont récemment mis fin à un réseau de routeurs de petites entreprises et de bureaux à domicile (SOHO pour Small Office Home Office) utilisés par le GRU pour faciliter les activités malveillantes de détournement du système de noms de domaine (DNS pour Domain Name System).

Ce bulletin conjoint vise à prévenir les responsables de la défense des réseaux et les propriétaires de dispositifs et à les inciter à prendre des mesures pour atténuer et réduire la surface d’attaque des dispositifs d’accès similaires. On encourage les utilisatrices et utilisateurs de routeurs SOHO à faire ce qui suit :

mettre à niveau les dispositifs qui ne sont plus pris en charge;
appliquer les plus récentes versions aux micrologiciels;
changer les noms d’utilisateur et les mots de passe par défaut;
désactiver les interfaces de gestion à distance d’Internet.

Veuillez de consulter la version intégrale du bulletin conjoint : Campagne d’exploitation de routeurs vulnérables menée par le GRU russe afin de voler de l’information sensible (en anglais seulement)

Document d’orientation connexe

Évaluations des risques liés à l’intégrité de la chaîne d’approvisionnement : Critères d’évaluation (ITSAP.10.071)

2026-04-07T12:46:12Z

Avril 2026

Série sensibilisation

ITSAP.10.071

Avril 2026 | Série sensibilisation

Les évaluations des risques liés à l'intégrité de la chaîne d'approvisionnement (ICA) sont menées sur les produits et les services des technologies de l'information et des communications qui sont déployés dans l'infrastructure du gouvernement du Canada (GC) dans le cadre d'un examen de l'ICA. L'examen permet de protéger la confidentialité, l'intégrité et la disponibilité des communications et des données du GC en favorisant la résilience par rapport aux vulnérabilités et aux compromissions associées à la chaîne d'approvisionnement numérique.

Les évaluations des risques liés à l'ICA considèrent les sources de menaces potentielles, relèvent les vulnérabilités des produits et déterminent les répercussions possibles des compromissions. Elles font partie intégrante du cadre organisationnel global de gestion des risques qui vise à tenir compte des risques vastes et de grande portée qui pèsent sur les systèmes^{Notes de bas de page 1}.

La présente publication fournit une vue d'ensemble générale des critères utilisés par le GC dans les évaluations des risques liés à l'ICA. Elle peut constituer une base de référence utile pour toute organisation qui veut évaluer les risques liés à la chaîne d'approvisionnement.

Sur cette page

Critères d'évaluation des risques liés à l'intégrité de la chaîne d'approvisionnement

Critères d'évaluation des risques liés à l'intégrité de la chaîne d'approvisionnement

Les sections ci-dessous fournissent des détails sur les critères associés à la réalisation d'une évaluation des risques liés à l'ICA. Vous devriez examiner soigneusement chaque facteur et peser les risques en fonction du cadre de gestion des risques de votre organisation.

Contexte géopolitique

Le lieu où une entreprise se situe ou mène ses activités est un facteur important. Les bureaux principaux d'une entreprise, ses filiales, ses installations de recherche, de développement et de fabrication et ses centres des opérations peuvent être situés dans des pays où les gouvernements et les cadres juridiques sont très différents de ceux du Canada. Ces pays pourraient ne pas défendre des valeurs et des principes démocratiques, ne pas se conformer à l'État de droit, ne pas maintenir une indépendance judiciaire, ne pas respecter les droits et libertés de leur population et posséder d'autres caractéristiques de pays partageant les mêmes valeurs. Par conséquent, les activités menées par une entreprise dans ces pays pourraient être exposées à des risques géopolitiques, juridiques et opérationnels susceptibles de mettre en péril les biens, la réputation et les activités commerciales de l'entreprise.

Votre organisation devrait tenir compte des facteurs ci-dessous lorsqu'elle évalue le contexte géopolitique d'un pays.

Climat politique : Le climat politique d'un pays (par exemple, instabilité, réglementation gouvernementale, politiques commerciales, relations diplomatiques, etc.) peut avoir une incidence considérable sur les fournisseurs et donner lieu à des interruptions opérationnelles et au non-respect des exigences juridiques et réglementaires. Dans le cas du GC, cela pourrait soulever de plus amples préoccupations en matière de sécurité nationale.
Lois en matière de données, de renseignement et de surveillance : Certains pays sont régis par de nombreuses lois en matière de données, de renseignement et de surveillance exigeant une coopération avec les services de renseignement du pays hôte.
- Dans certains cas, ces pays peuvent exiger la résidence des données.
- Les lois en matière de résidence des données peuvent soulever des préoccupations pour ce qui est de la confidentialité, de l'intégrité et de la disponibilité des données canadiennes.
Lieux de fabrication : Dans certains pays, les fournisseurs et leurs filiales (fabrication, recherche et développement [R et D], etc.) sont étroitement liés à l'appareil militaire et de renseignement, ou exposés aux pressions exercées par ces derniers. Dans certains cas, des installations commerciales pourraient être utilisées pour produire des biens à double usage susceptibles de servir à des fins militaires, à la collecte de données ou à un espionnage potentiel.
Institutions démocratiques : Travailler avec des fournisseurs dont les pays hôtes partagent les mêmes valeurs permet de renforcer la collaboration et d’inspirer une confiance mutuelle. Les valeurs communes pourraient comprendre les suivantes :
- la tenue d'élections libres et justes;
- la séparation des pouvoirs;
- l'indépendance de l'appareil judiciaire;
- la protection des droits de la personne;
- la protection de l'environnement;
- la protection de la vie privée et des données.

Pays adversaires : Les pays qui manifestent des intentions hostiles envers le Canada et sa population posent des risques accrus en matière de sécurité nationale, de sûreté et de bien-être économique. Les pays hostiles peuvent chercher à obtenir un avantage commercial ou technologique, à occuper une position dominante dans la chaîne d'approvisionnement, à imposer leurs idéologies politiques ou à se livrer à des activités d'espionnage. Ces objectifs peuvent être atteints par divers moyens, notamment en menant des activités d'ingérence et en faisant appel à la cyberexploitation. On estime que les programmes de cybersécurité parrainés par des pays figurant dans les évaluations des cybermenaces nationales du Centre canadien pour la cybersécurité posent la cybermenace la plus sophistiquée et active envers le Canada.

Propriété, contrôle et influence de l'étranger

Le facteur de propriété, de contrôle et d'influence de l'étranger (PCIE) entre en jeu lorsqu'un gouvernement ou un auteur de menace étranger peut influencer ou orienter la haute direction ou les activités d'une entreprise. Cela peut donner lieu à la compromission d'une technologie de l'entreprise ou à un accès non autorisé à ses systèmes ou à ses données.

On peut diviser la PCIE en trois parties :

Propriété - investissements étrangers et/ou parts dans une entreprise, ses filiales et ses sociétés affiliées (y compris le capital de risque);
Contrôle - sur le processus de prise de décisions par la nomination de membres clés du personnel ou de la haute direction, etc.;
Influence - avantage économique et financier, partenariats stratégiques, trop grande dépendance envers un petit nombre de partenaires de R et D, de clients, de fournisseurs, etc.

Votre organisation devrait tenir compte des facteurs ci-dessous, puisqu’ils peuvent contribuer à l’augmentation des risques liés à la PCIE.

Relations entre les membres de la haute direction et les cadres supérieures et supérieurs : Les membres de la haute direction et les cadres supérieures et supérieurs peuvent être des vecteurs d'influence et de contrôle pour une entreprise s'ils entretiennent des relations avec des forces militaires, des services de renseignement et des gouvernements étrangers dans des pays qui manifestent des intentions hostiles envers le Canada.
Propriété strong>: Les entreprises qui appartiennent (en totalité ou en partie) à des entreprises d'État ou qui sont financées par des entités de gouvernements étrangers peuvent être vulnérables au contrôle et à l'influence. Des structures de propriété inconnues ou opaques peuvent indiquer des efforts de cacher de telles relations.
Partenaires et investisseurs étrangers : Des partenaires étrangers peuvent exercer une influence indue sur les entreprises dans lesquelles ils ont investi ou avec lesquelles ils entretiennent des engagements stratégiques.

Pratiques commerciales

Par pratiques commerciales, on entend les méthodes, les procédures et les comportements adoptés par une entreprise dans le cadre de ses activités quotidiennes. Les pratiques commerciales passées et actuelles donnent une bonne idée des principes d’éthique qui régissent les activités commerciales d’une entreprise. Des pratiques commerciales contraires à l’éthique peuvent accroître les risques liés à la réputation et à la sécurité, ainsi que les risques d’ordre financier et juridique.

Votre organisation devrait tenir compte des facteurs ci-dessous, puisqu’ils peuvent indiquer des pratiques commerciales risquées ou contraires à l’éthique.

Sanctions : Partenariats ou engagements stratégiques avec des entités étrangères sujettes aux sanctions imposées par la collectivité des cinq ou l’Union européenne (UE).
Poursuites et violations : Entreprises qui ont été reconnues coupables dans le cadre de litiges judiciaires ou qui ont enfreint les règles et les règlements des pays de la collectivité des cinq et/ou de l'UE.
Corruption : Preuve de corruption, changement d'image trompeur (par exemple, masquer délibérément un changement d'identité) ou pratiques commerciales frauduleuses.
Pratiques commerciales : Recours à des pratiques commerciales déloyales comprenant, sans s'y limiter, le trafic d'influence, la fraude et le blanchiment d'argent.
Transparence : Manque de transparence ou d'ouverture par rapport à la propriété, aux activités, aux politiques et aux processus.

Maturité de la cybersécurité

Par maturité de la cybersécurité, on entend la mesure dans laquelle une organisation a développé et mis en œuvre des pratiques efficaces en matière de cybersécurité pour protéger ses systèmes d'information et ses données.

Votre organisation devrait tenir compte des facteurs ci-dessous, puisqu'ils permettent de mieux comprendre la maturité de la cybersécurité.

Normes et certifications : Le respect des normes technologiques et des certifications internationales lors de la conception, de la production et de la maintenance des produits et services permet d'établir un climat de confiance.
Intervention en cas d'incident et communications : Les organisations devraient mettre en place des politiques exhaustives en matière de cybersécurité et maintenir des plans d'intervention en cas d'incident appropriés afin de gérer efficacement les cyberincidents et de faciliter la reprise. Les risques sont plus grands si les organisations ne sont pas en mesure de gérer les problèmes et les événements de cybersécurité et de prendre les mesures nécessaires pour intervenir.
Protection des données : Les organisations devraient démontrer leur capacité à protéger les données contre l'accès non autorisé tout au long du cycle de vie des données.

Vulnérabilité des produits

Par vulnérabilité des produits, on entend une défectuosité ou une faiblesse dans la conception, la fabrication ou la mise en œuvre d'un produit ou d'un service, qui est susceptible d'être exploitée afin de nuire à la sécurité, à l'intégrité ou aux fonctionnalités de ce dernier.

Votre organisation devrait tenir compte des facteurs ci-dessous, puisqu'ils permettent de mieux comprendre les vulnérabilités des produits.

Historique des vulnérabilités : La recherche de l'historique d'une vulnérabilité consiste à déterminer comment et quand une vulnérabilité a été découverte, à faire le suivi du nombre d'occurrences au fil du temps et à évaluer dans quelle mesure elle nuit au bon fonctionnement d'un produit.
Volume, portée et gravité : Un nombre plus élevé d'incidents ou des vulnérabilités plus sérieuses peuvent indiquer de mauvaises pratiques de sécurité, l'absence d'un cycle de développement sécurisé ou l'utilisation d'un produit complexe comportant plusieurs lacunes potentielles.

Exploitation des vulnérabilités

L'exploitation des vulnérabilités est un acte qui consiste à tirer avantage des faiblesses d'un logiciel, du matériel ou des systèmes en vue d'obtenir un accès non autorisé, de perturber les activités ou de voler des données. Il s'agit d'une des principales tactiques employées par les auteurs de cybermenace, y compris les groupes cybercriminels, les États-nations et les hacktivistes.

L'historique des exploitations comprend l'évaluation visant à déterminer si un produit a été activement ciblé ou exploité par des auteurs de menace. L'évaluation aide à comprendre et à caractériser le risque qui pèse sur un produit dans le monde réel.

Sensibilité des produits

La sensibilité des produits permet de caractériser le produit ou le service en fonction de plusieurs facteurs, notamment sa fonctionnalité, son emplacement dans l'infrastructure réseau de l'organisation de même que le type et le volume des données qu'il devra traiter. Cette partie de l'évaluation aide à établir l'incidence potentielle sur les activités et l'infrastructure d'une organisation advenant la compromission d'une chaîne d'approvisionnement.

Votre organisation devrait tenir compte des facteurs ci-dessous, puisqu'ils permettent de mieux comprendre la sensibilité d'un produit.

Fonctionnalité : Il est important de considérer le rôle que joue un produit ou un service, et son incidence sur la confidentialité, la disponibilité et l'intégrité des données en cas de compromission ou d'interruption.
- Les produits qui effectuent des fonctions clés ou essentielles à la mission, comme l'authentification ou le contrôle des systèmes, sont considérés comme plus sensibles.
- Leur compromission pourrait avoir un effet domino dans tous les systèmes.
Emplacement : Où un produit est déployé dans un système ainsi que l'architecture avoisinante peut avoir une incidence sur le risque. Par exemple, les appareils périphériques et les dispositifs connectés à Internet sont plus exposés aux risques liés à la sécurité que les réseaux isolés, puisque leur connexion directe à Internet fait en sorte qu'on peut facilement les découvrir et y accéder.
Type et volume des données traitées : Le type de données traitées par un produit ou un service peut rendre un système plus intéressant pour les auteurs de cybermenace.La sensibilité d'un produit peut être, par nature, plus grande selon que les données sont classifiées ou non classifiées, ou qu'il s'agit du volume total ou de l'ensemble des données traitées.

Proposition de profil d’activités et de contrôles organisationnels de sécurité et de protection de la vie privée – Incidence moyenne (ITSP.10.033-01)

2026-04-02T12:35:17Z

Avril 2026

Série praticiennes et praticiens

ITSP.10.033-01

Avril 2026 | Série praticiennes et praticiens

Format de rechange: Gestion des risques liés à la cybersécurité et à la vie privée : Une méthode axée sur le cycle de vie - Proposition de profil d’activités et de contrôles organisationnels de sécurité et de protection de la vie privée – Incidence moyenne (ITSP.10.033-01) (PDF, 3,2 Mo)

Avant-propos

Le document Proposition de profil d’activités et de contrôles organisationnels de sécurité et de protection de la vie privée – Incidence moyenne (ITSP.10.033-01) est un document NON CLASSIFIÉ publié avec l’autorisation du dirigeant principal, Centre canadien pour la cybersécurité (Centre pour la cybersécurité). La présente publication remplace l’Annexe 4A – Profil 1 (PROTÉGÉ B/Intégrité moyenne/Disponibilité moyenne). Pour obtenir de plus amples renseignements ou suggérer des modifications, veuillez communiquer par téléphone ou par courriel avec le Centre d’appel du Centre pour la cybersécurité : contact@cyber.gc.ca, (613) 949-7048 ou 1-833-CYBER-88.

Date d’entrée en vigueur

Le présent document entre en vigueur le 2 avril 2026.

Historique des révisions

Première version : 2 avril 2026

Vue d’ensemble

Le présent document fait partie d’une série de lignes directrices publiées par le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) dans le cadre de la publication du document Gestion des risques liés à la cybersécurité et à la vie privée : Une méthode axée sur le cycle de vie.

Il propose une sélection d’activités, de contrôles et d’améliorations de sécurité collectivement désignés sous le nom « profil d’activités et de contrôles de sécurité et de protection de la vie privée ». Les autorités responsables de la sécurité et de la protection de la vie privée au sein de l’organisation peuvent utiliser ce profil comme référence pour créer des profils propres à l’organisation qui permettent d’assurer la confidentialité, l’intégrité et la disponibilité des biens organisationnels de valeur moyenne contre les auteurs de menace non étatiques. Ce profil a été élaboré au moyen du Catalogue des activités d’assurance et des contrôles de sécurité et de protection de la vie privée (ITSP.10.033).

Les activités et les contrôles suggérés dans ce profil sont un point de départ et doivent être adaptés au contexte opérationnel, technique, de menace et de risque des activités opérationnelles de chaque organisation et des systèmes d’information qu’ils soutiennent. Les activités et les contrôles de sécurité et de protection de la vie privée sont basés sur les pratiques exemplaires de l’industrie et du gouvernement en matière de sécurité et de protection de la vie privée. Ils tiennent également compte de certaines hypothèses de menace dérivées de l’analyse que le Centre pour la cybersécurité a réalisée de l’environnement de menace avec lequel doivent composer les systèmes d’information dans le contexte opérationnel décrit dans le présent document. Ce profil n’aborde pas les capacités des auteurs de menace dotés de moyens sophistiqués, mais les hypothèses sont décrites de façon plus détaillée à la section 2.3, Contexte de menace.

Ce profil est un outil qui contribue aux efforts déployés par les praticiennes et praticiens de la sécurité et de la protection de la vie privée pour assurer la protection des systèmes d’information en conformité avec les lois du gouvernement du Canada (GC), ainsi que les politiques, les directives et les normes du Secrétariat du Conseil du Trésor du Canada (SCT).

Au moment d’élaborer les profils d’activités et de contrôle de sécurité et de protection de la vie privée de leur organisation, les autorités responsables de la sécurité et de la protection de la vie privée sont tenues de se conformer à toutes les exigences en matière de sécurité et de protection de la vie privée mentionnées dans les lois du GC et les instruments de politique du SCT qui s’appliquent à leurs activités opérationnelles, ainsi qu’à toute autre obligation contractuelle.

Table des matières

Catalogue des activités d’assurance et des contrôles de sécurité et de confidentialité (ITSP.10.033)

2026-03-31T18:22:36Z

Mars 2026

Séries praticiennes et praticiens

ITSP.10.033

Mars 2026 | Séries praticiennes et praticiens

Format de rechange : Catalogue des activités d’assurance et des contrôles de sécurité et de confidentialité (ITSP.10.033) (PDF, 8,3 Mo)

Liste des figures

Figure 1 : Structure de contrôle ou d’activité

La gestion des risques liés à la cybersécurité et des risques d’atteinte à la vie privée : Une méthode axée sur le cycle de vie

2026-03-31T18:22:36Z

La présente publication fait partie d’une série de lignes directrices publiées par le Centre pour la cybersécurité, conformément à La gestion des risques liés à la cybersécurité et à la vie privée : une méthode axée sur le cycle de vie. Elle comporte des activités d’assurance et des contrôles pour les systèmes et les organisations sur lesquels peuvent se fonder les praticiennes et praticiens pour adapter et attribuer des contrôles et des activités d’assurance pour gérer des risques liés à la cybersécurité et des risques d’atteinte à la vie privée. La mise en œuvre d’un ensemble complet de contrôles de sécurité et de confidentialité ainsi que d’activités d’assurance peut aider les organisations à réaliser leurs activités opérationnelles.

Catalogue des activités d’assurance et des contrôles de sécurité et de confidentialité (ITSP.10.033)

Proposition de profil d’activités et de contrôles organisationnels de sécurité et de protection de la vie privée – Incidence moyenne (ITSP.10.033-01)

Guide conjoint sur la sécurité spatiale et la cybersécurité des télécommunications par satellite en orbite terrestre basse

2026-03-25T14:40:43Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’est joint à l’Australian Cyber Security Centre (ACSC) de l’Australian Signals Directorate (ASD), à l’Agence spatiale australienne (ASA) et aux partenaires internationaux suivants pour publier des conseils sur la sécurité spatiale et la cybersécurité des communications par satellite en orbite terrestre basse (LEO pour low earth orbit) :

le National Cyber Security Centre de la Nouvelle-Zélande (NCSC-NZ);
la National Security Agency (NSA) des États-Unis.

L’expansion rapide et la dépendance accrue aux systèmes de télécommunications par satellite LEO ont introduit d’importants défis en matière de cybersécurité. Au fur et à mesure que les constellations de satellites LEO grandissent, la surface d’attaque des auteurs de menace augmente également. En raison de cette croissance, les réseaux essentiels qui dépendent de ces services de satellites sont plus à risque. Le fait de sécuriser cette infrastructure est essentiel pour assurer la résilience des communications commerciales, des systèmes de sécurité nationale et des capacités d’interventions en cas d’urgence.

Ce guide conjoint est destiné aux utilisatrices et utilisateurs de services de télécommunications par satellite LEO. On y retrouve les principaux risques en matière de cybersécurité et les stratégies d’atténuation pour soutenir une prise de décision éclairée. Ce guide fournit aussi aux organisations un ensemble de questions essentielles qu’elles peuvent poser lors de discussions abordant la sécurité avec les fournisseurs de services de télécommunications par satellite LEO.

Consultez la version intégrale du guide : Sécurité spatiale – Cybersécurité des télécommunications par satellite en orbite terrestre basse (en anglais seulement)

EtherHiding : Le Cheval de Troie dans votre chaîne d’outils

2026-03-16T20:02:38Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) suit activement une campagne visant à exploiter la technologie de la chaîne de blocs pour héberger et distribuer secrètement un maliciel. Cette campagne tire parti d’une technique appelée EtherHiding.

Le Centre pour la cybersécurité a compilé une analyse détaillée tirée d’une récente enquête pour aider les responsables de la défense à combattre les attaques tirant parti de cette technique. Cette analyse examine l’évolution et l’utilisation de la technique EtherHiding et elle fournit une caractérisation en profondeur des techniques de l’auteur de menace, ainsi que des conseils importants en matière de mesures d’atténuation et de détection.

Table des matières

Les 10 mesures de sécurité en matière d’intelligence artificielle : Introduction - ITSAP.10.049

2026-03-05T17:00:26Z

Mars 2026

Série sensibilisation

ITSAP.10.049

Mars 2026 | Série sensibilisation

À une époque où l’intelligence artificielle (IA) progresse rapidement, les organisations font face à des risques de sécurité accrus. Parmi ces risques, notons le vol de données, l’atteinte à la réputation et les pertes opérationnelles et financières qui découlent de l’utilisation adverse de l’IA, d’attaques sur des systèmes d’IA, ou du mauvais usage de l’IA par des utilisatrices et utilisateurs commerciaux.

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) joue un rôle essentiel pour protéger les organisations canadiennes contre ces menaces. Nos principales mesures de sécurité en matière d’IA visent à aider les secteurs et les organisations de toutes tailles à renforcer leur cyberrésilience. Les mesures de sécurité en matière d’IA que nous recommandons soutiennent les 10 mesures de sécurité des TI (ITSM.10.089) déjà en place, mais ne les remplacent pas.

En adoptant des mesures de sécurité propres à l’IA, les organisations peuvent établir des infrastructures et des processus fondés sur l’IA qui sont plus résilients, ce qui leur permettra de minimiser les risques d’intrusions liées à l’IA, de mauvaise utilisation de l’IA et de compromissions de systèmes découlant de l’IA, de même que les conséquences connexes.

Nos principales mesures de sécurité en matière d’IA sont classées selon les trois piliers suivants :

Pilier 1 : Protection contre l’utilisation adverse de l’IA
Pilier 2 : Protection des systèmes d’IA
Pilier 3 : Protection des utilisatrices et utilisateurs ainsi que des processus opérationnels

Compte tenu de la rapidité à laquelle les solutions d’IA sont développées et adoptées, nous prévoyons que les risques et les mesures évolueront au cours des dix prochaines années. Dans un avenir proche, les trois piliers devraient toutefois demeurer les mêmes, malgré l’évolution des méthodes et des modèles d’IA.

Haut de la page

Pilier 1 : Protection contre l’utilisation adverse de l’IA

Ce pilier présente des mesures que peut adopter votre organisation afin d’améliorer sa capacité à protéger son environnement contre l’utilisation adverse de l’IA.

1re mesure : Mettre en place des mesures d’atténuation contre le débridage et l’infiltration de requête

Nettoyer les données d’entrée.
Isoler les requêtes de système et protéger l’historique des requêtes.
Appliquer des filtres de sortie et des contrôles politiques.
Restreindre les agents et les outils à risque élevé en mettant en place des contrôles d’identité et d’accès basés sur les rôles.
Valider les actions en aval (fichiers, code et outils) avant toute exécution.
Mettre en quarantaine les données de sortie anormales.
Réduire l’accès aux données privées par les modèles d’IA.
Limiter l’exposition au contenu qui n’est pas fiable.
Limiter la capacité pour les systèmes d’IA de communiquer à l’externe (comme les données intégrées dans des URL d’images en Markdown).

Pourquoi cette mesure est-elle importante? Mesure 1

Imaginez que vous discutez avec un agent conversationnel intelligent, mais qu’une ou un pirate informatique trouve une façon d’insérer à votre insu des commandes sournoises dans vos questions. Ces commandes poussent alors l’IA à faire des choses qu’elle ne devrait pas faire, comme exécuter des commandes informatiques nuisibles.

Une telle situation s’est d’ailleurs produite en 2025 avec GitHub Copilot. Des auteurs de menace ont fait preuve d’ingéniosité en infiltrant une requête pour que du code dangereux soit exécuté à distance. Microsoft a rapidement apporté un correctif, ce qui démontre la grande importance de détecter rapidement ces compromissions dissimulées pour assurer la sécurité de l’IA.^{Notes de bas de page 1}

2e mesure : Lutter contre l’hypertrucage et l’usurpation d’identité

Déployer des mécanismes de vérification et de détection par rapport à l’authenticité des médias.
Appliquer des mécanismes rigoureux de vérification de l’identité et d’authentification multifacteur résistante à l’hameçonnage (y compris des NIP de rencontre) pour les conférences et la messagerie.
Former le personnel pour qu’il vérifie les demandes inhabituelles sur tous les canaux.
Mettre en place une vérification hors bande pour les actions sensibles.
Mettre en œuvre des mécanismes pour prévenir les mauvaises utilisations, comme les fraudes et le piratage psychologique à grande échelle.
Surveiller les mystifications vidéos et vocales et l’hameçonnage générés par l’IA.
Adopter nos 10 mesures de sécurité des TI (ITSM.10.089), y compris la sécurisation des comptes en ligne pour réduire le détournement et limiter l’incidence de la désinformation ou des fausses affirmations.
Indiquer par défaut que tous les signaux d’identification (comme les voix et les vidéos) ne sont pas fiables jusqu’à ce que votre organisation effectue une vérification.
Mettre en œuvre des processus robustes de liaison d’identité pour les fonctions opérationnelles à risque élevé, comme les finances, les privilèges administratifs et l’accès à de l’information de nature sensible.
Appliquer l’évaluation des risques liés à l’identité pour l’IA lorsqu’elle est utilisée afin d’amorcer ou d’accélérer des actions en particulier, de sorte à déterminer la probabilité qu’il y ait une compromission.

Pourquoi cette mesure est-elle importante? Mesure 2

Au début de 2024, une firme de design et d’ingénierie britannique a perdu des millions de dollars/livres lorsqu’un auteur de menace recourant à des technologies d’hypertrucage alimentées par l’IA a usurpé l’identité de la directrice financière ou du directeur financier de la société. Durant un appel vidéo, l’auteur de menace a réussi à berner une ou un employé travaillant à Hong Kong afin qu’il transfère des fonds dans de faux comptes. L’argent a rapidement disparu dans un compte à l’étranger.

En mai 2025, un incident distinct a mis en relief de quelle manière une grande société publicitaire mondiale a évité de justesse une fraude similaire. Dans cette situation, un auteur de menace s’est servi d’un hypertrucage (vidéo et voix) de la ou du PDG et de membres de la haute direction lors d’une rencontre sur Microsoft Teams pour essayer de pousser le personnel à fournir de l’information confidentielle et à procéder à des paiements.^{Notes de bas de page 2}

3e mesure : Renforcer les mécanismes de défense contre les fraudes et les cyberattaques générées par l’IA

Mettre à niveau les analyses de détection d’attaques par bourrage d’identifiants et de vérifications automatisées de volume élevé.
Appliquer la limitation de débit, la détection de robots logiciels et l’authentification adaptative.
Adopter des principes et des pratiques exemplaires axés sur la vérification systématique.
Établir des normes claires en ce qui a trait au code, à la documentation et à la qualité des données.
Réusiner régulièrement les modèles et le code à mesure que les systèmes évoluent.
Veiller à la maintenance continue, aux tests automatisés et à l’examen de code proactif.
Assurer une surveillance continue pour atténuer la « dette technique » et améliorer la fiabilité et l’adaptabilité à long terme d’un système d’IA.
Former le personnel concernant les menaces liées à l’IA et créer des programmes de sensibilisation sur mesure qui portent entre autres sur ce qui suit :
- la communication de rapports de renseignement;
- la résolution de problèmes connus pour améliorer la résilience en perfectionnant le personnel et en divulguant les vulnérabilités.

Pourquoi cette mesure est-elle importante? Mesure 3

Au début de 2025, le nombre d’attaques par rançongiciel a grimpé de près de 150 %. Une nouvelle tendance s’est dessinée où des auteurs de menace se servent de l’IA pour créer des courriels d’hameçonnage parfaits qui semblent provenir de la banque ou de sa patronne ou son patron. Certains maliciels propulsés par l’IA peuvent se transformer (ce que l’on appelle les maliciels polymorphes). Ils se comportent normalement sur votre ordinateur, ce qui vous empêche de les détecter avant qu’il ne soit trop tard.

Les rançons demandées sont passées de centaines de milliers de dollars à des millions de dollars, tandis que le niveau d’effort à déployer par les auteurs de menace a quant à lui diminué de façon importante.^{Notes de bas de page 3}

Haut de la page

Pilier 2 : Protection des systèmes d’IA

Ce pilier présente des mesures que peut prendre votre organisation pour améliorer sa capacité à protéger les systèmes d’IA.

4e mesure : Mener des tests et adopter l’approche de l’équipe rouge par rapport à l’IA pour cerner les modifications

Évaluer régulièrement les modèles, les pipelines et les interfaces pour contrer les attaques connues (comme les extractions, les infiltrations de requête et les empoisonnements).
Mettre à jour les mesures de protection selon l’évolution des exploits.
Prioriser les modèles vérifiés, signés et bien maintenus en se basant sur les évaluations des risques.
Appliquer rapidement les correctifs et les mises à jour à la configuration.
Élaborer des plans de reprise des activités pour offrir des options en cas de déploiements défaillants.
Mettre en place des plans d’intervention en cas d’incident et de reprise des activités en cas de désastre pour les systèmes d’IA.

Pourquoi cette mesure est-elle importante? Mesure 4

En juillet 2025, des chercheuses et chercheurs ont trouvé un exploit qui empoisonnait des données critiques dans Microsoft 365 Copilot et dans des systèmes d’IA de génération améliorée par récupération d’information similaires. Des auteurs de menace y injectaient des documents empoisonnés pour manipuler de façon persistante les données de sortie d’IA. Cet exploit a démontré le danger de ne pas mener suffisamment de tests en continu et de ne pas suffisamment mettre à jour les mesures de protection de l’IA contre des attaques qui ne cessent d’évoluer.^{Notes de bas de page 4}

5e mesure : Protection contre l’empoisonnement de données

Faire le suivi de la provenance des données.
Préparer des ensembles de données versionnés.
Renforcer les environnements d’entraînement ou utiliser des architectures dans des environnements de bac à sable.
Activer des mécanismes de détection d’anomalies et de biais pour les données ingérées (y compris les sources de contenu et les nouvelles manipulées ou reflétées).
Mettre en place un entraînement et un perfectionnement des contrôles à l’aide de modèles et de flux de travaux d’approbation et de plans de restauration des données.
S’assurer que des mesures rigoureuses pour contrôler l’accès et l’identité sont en place pour toutes les parties de la chaîne d’opérations et de données.

Pourquoi cette mesure est-elle importante? Mesure 5

En 2024, des chercheuses et chercheurs en sécurité qui travaillaient avec Wiz et Hugging Face ont découvert un risque : des auteurs de menace pouvaient téléverser des données empoisonnées dans les répertoires d’ensembles de données de Hugging Face. Cette vulnérabilité menaçait les pipelines d’IA de plusieurs organisations qui utilisaient leurs modèles et leurs données. Elle exposait le faible suivi des sources de données et l’absence de détection d’anomalies dans les données ingérées.^{Notes de bas de page 5}

6e mesure : Mettre en place des contrôles d’utilisation des données et des mesures de prévention contre le vol de modèles

Adopter par défaut une politique qui empêche l’utilisation des données pour entraîner un modèle et appliquer des contrôles de partage de données stricts.
Mettre en œuvre les clauses contractuelles des fournisseurs.
Consigner dans un journal et vérifier tous les modèles et l’accès aux données.
Surveiller les interfaces de programmation d’applications (API) pour les tendances relatives à l’extraction (comme les requêtes de masse ou la collecte d’étiquettes).
Empêcher les fuites de données sensibles en prévenant les pertes de données et en retirant les données secrètes.

Pourquoi cette mesure est-elle importante? Mesure 6

Des auteurs de menace mènent des attaques d’extraction de modèles en envoyant beaucoup de requêtes à un modèle d’apprentissage automatique et en se servant des réponses obtenues pour entraîner une copie du modèle ayant des fonctionnalités similaires. L’application de mesures de défense, comme la limitation de débit de l’API, l’authentification, la surveillance des requêtes, la technique de tatouage de modèle et les protections juridiques, peut empêcher la reproduction non autorisée de modèles et les fuites de données.

7e mesure : Sécuriser les processus liés aux chaînes d’approvisionnement et à l’ingénierie de l’IA

Mettre en place et maintenir une nomenclature d’IA.
Réduire la « dette technologique » lorsque les systèmes d’IA sont déployés ou développés très rapidement sans contrôle de déploiement sécurisé.
Veiller à la mise en place d’un système de base solide, conformément à la Série sur la gestion des risques liés à la cybersécurité et à la vie privée : Une méthode axée sur le cycle de vie (ITSP.10.033) avant de superposer des systèmes d’IA sur une infrastructure de TI.
Mettre à jour les applications d’IA.
Signer de manière cryptographique les modèles, le code et les artéfacts ou se servir comme point de départ de la validation basée sur le hachage.
Maintenir une nomenclature logicielle propre à l’IA pour les modèles, les ensembles de données et les dépendances.
Se conformer à des cadres de développement sécurisé (comme l’ITSP.10.033) et à des normes de gestion des risques liés à l’IA, dont les suivantes :
- National Institute of Standards and Technology’s (NIST) Artificial Intelligence Risk Management Framework (en anglais seulement)
- International Organization for Standardization/International Electrotechnical Commission (ISO/IEC) Standard 42001:2023 Information technology — Artificial intelligence — Management system (en anglais seulement)
Mettre en place des examens, des analyses des dépendances et un contrôle des changements.

Pourquoi cette mesure est-elle importante? Mesure 7

En 2024, le groupe NullBulge a mené des attaques visant des chaînes d’approvisionnement importantes dans des répertoires de source ouverte liés à l’IA qui se trouvaient sur GitHub et Hugging Face. En injectant des charges malveillantes de Python dans des outils d’IA largement utilisés et des dépendances, ils ont réussi à exfiltrer des données sensibles et à déployer des rançongiciels dans des systèmes en aval.

Cet incident a mis en évidence les dangers de la dette technologique lorsque des solutions d’IA sont rapidement adoptées sans contrôle de sécurité robuste. L’incident a aussi démontré le besoin urgent d’avoir une ingénierie sécurisée de base, des artéfacts signés de manière cryptographique et une nomenclature logicielle complète tout en respectant les cadres de sécurité reconnus.^{Notes de bas de page 6}

Haut de la page

Pilier 3 : Protection des utilisatrices et utilisateurs ainsi que des processus opérationnels

Ce pilier présente des mesures que peut prendre votre organisation pour améliorer sa capacité à protéger les utilisatrices et utilisateurs ainsi que les processus opérationnels.

8e mesure : Appliquer les contrôles des fournisseurs, les contrôles contractuels et les contrôles de confidentialité des données.

Classifier et minimiser les renseignements personnels dans les requêtes.
Chiffrer les données en transit et inactives.
Appliquer des mesures pour prévenir des pertes de données, des contrôles d’accès et des limites de conservation.
Exiger de la transparence, des droits de vérification, une responsabilité et des restrictions d’utilisation (pour des enjeux liés à la propriété intellectuelle et au droit d’auteur).
Soutenir l’étiquetage du contenu d’IA générative pour améliorer la transparence.
Définir et représenter les modèles approuvés et non approuvés qui sont sur un réseau.
Mettre en œuvre des politiques, des processus et des outils pour régir l’utilisation de l’« IA fantôme ».
Créer une politique opérationnelle interne pour l’utilisation acceptable d’outils d’IA.
Appliquer des listes d’autorisation et d’interdiction pour les solutions d’IA.
Élaborer des clauses relatives à l’approvisionnement pour les fournisseurs d’outils ou de solutions générés par l’IA pour éviter toute atteinte à la réputation.

Afin de répondre aux attentes en matière de réglementation et de gérer les risques liés aux fournisseurs, les contrats établis avec des fournisseurs d’IA doivent définir explicitement les clauses liées à l’utilisation des données, à la protection de la vie privée, à la vérification et à la responsabilité connexe. Ces clauses doivent :

Interdire l’utilisation non autorisée des données organisationnelles pour l’entraînement d’un modèle;
Garantir l’application du chiffrement et de contrôles d’accès pour les renseignements personnels;
Exiger des droits de vérification et la transparence des fournisseurs;
Intégrer des responsabilités et des restrictions d’utilisation pour se protéger contre les fuites de données, la réutilisation non autorisée, l’atteinte à la réputation ou des dommages juridiques.

Pourquoi cette mesure est-elle importante? Mesure 8

Des politiques internes, dont des listes d’outils d’IA approuvés et des contrôles liés à l’IA fantôme, font en sorte que les outils d’IA sont utilisés en toute sécurité, conformément aux lois régissant la protection de la vie privée ainsi qu’aux obligations contractuelles.

9e mesure : S’assurer qu’une surveillance humaine et des contrôles humains liés à l’exécution sont en place

Intégrer des vérifications humaines dans des flux de travaux multi-agents automatisés.
Offrir des outils d’explicabilité et des pistes de décision vérifiables.
Mettre en place des processus d’acheminement, de triage, de limitations de débit et d’interruption ou des procédures d’arrêt d’urgence pour les actions ayant une grande incidence.

Pourquoi cette mesure est-elle importante? Mesure 9

En 2025, une société de technologies de RH a retiré la vérification humaine de son processus de sélection de candidatures basé sur l’IA, ce qui a entaché sa réputation et a entraîné un examen juridique. L’absence de surveillance humaine a permis à des biais algorithmiques non vérifiés d’influencer les décisions d’embauche. À la suite de cette découverte, l’organisation a restauré les contrôles humains dans le processus, a ajouté des vérifications d’exécution et a établi des pistes de décision vérifiables pour garantir la surveillance de tous les résultats découlant de l’IA et leur correction par des humains, au besoin.^{Notes de bas de page 7}

10e mesure : Maintenir une résilience opérationnelle contre la dérive de modèle, les hallucinations, les biais et la dépendance excessive

Assurer une surveillance continue pour détecter les dérives et la dégradation de la performance.
Entraîner de nouveau les modèles qui dépassent les limites validées ou les retirer.
S’assurer continuellement de la transparence des décisions fondées sur l’IA pour mieux comprendre les décisions des modèles et les résultats connexes.
Ajouter des mécanismes d’évaluation de la vérité et un examen humain pour les résultats critiques.
Vérifier les biais et la mauvaise utilisation.
Maintenir des procédures de substitution et la formation des utilisatrices et utilisateurs pour éviter une dépendance excessive.
Exiger un examen humain pour éviter l’insertion de conteneurs et d’éléments inventés pour le code logiciel que pourraient s’approprier des auteurs de menace.
Mettre en place des mesures de détection et des seuils de ré-entraînement.

Pourquoi cette mesure est-elle importante? Mesure 10

Des organismes de réglementation financière, dont le Bureau du surintendant des institutions financières Canada (BSIF), jugent que le risque lié aux modèles d’IA représente une préoccupation grandissante en matière de supervision, particulièrement les risques découlant de données de mauvaise qualité, de la dérive de modèle, du manque de transparence, des biais et de la dépendance excessive aux résultats automatisés. Le BSIF a signalé que les systèmes d’IA mal régis peuvent produire des résultats non fiables ou inattendus, ce qui pourrait mener à une perturbation opérationnelle, à une perte financière, à un risque de responsabilité et à une atteinte à la réputation s’ils ne sont pas activement surveillés et contrôlés.

À mesure que les modèles évoluent et que les conditions changent, le maintien de la résilience exige une surveillance continue de la performance, une explicabilité, une supervision humaine pour les décisions critiques et des procédures de substitution claires pour faire en sorte que les systèmes d’IA respectent les limites validées et acceptables en ce qui a trait au risque.^{Notes de bas de page 8}

Haut de la page

Bulletin conjoint sur les risques liés à la chaîne d’approvisionnement pour l’intelligence artificielle et l’apprentissage automatique

2026-03-05T15:05:50Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’est joint à l’Australian Cyber Security Centre (ACSC) de l’Australian Signals Directorate (ASD) et aux partenaires internationaux suivants pour publier des conseils en matière de cybersécurité sur les risques liés à la chaîne d’approvisionnement et les mesures d’atténuation pour ce qui touche l’intelligence artificielle (IA) et l’apprentissage automatique (AA) :

le National Cybersecurity Office (NCO) du Japon;
le National Cyber Security Centre de la Nouvelle-Zélande (NCSC-NZ);
le Service national de renseignement (NIS) de la République de Corée;
la Cyber Security Agency (CSA) de Singapour;
le National Cyber Security Centre (NCSC), Royaume-Uni;
la National Security Agency (NSA) des États-Unis.

Les systèmes d’IA et d’AA permettent aux organisations d’améliorer leur efficacité de diverses manières, notamment en prenant des décisions éclairées, en simplifiant les processus et en améliorant l’expérience pour les clientes et clients.

Si elle n’est pas gérée de manière sécuritaire, l’adoption de systèmes d’IA et d’AA, et l’utilisation de modèles préentraînés et de jeux de données d’une tierce partie peuvent amener des risques liés à la chaîne d’approvisionnement; et exposer votre organisation à des vulnérabilités et à des compromissions existantes. Les organisations doivent savoir ce qu’elles doivent chercher lors de l’élaboration et de l’intégration de l’IA et de l’AA dans leurs systèmes.

Ce guide conjoint s’adresse aux organisations et au personnel qui déploient ou développent des composants et des systèmes d’IA et d’AA. Les risques et les mesures d’atténuation figurant dans ce guide conjoint doivent orienter les questions et les exigences des organisations relatives aux fournisseurs lors de la recherche de composants et de systèmes d’IA et d’AA d’une tierce partie. Le guide vise à faire ressortir l’importance de la sécurité de la chaîne d’approvisionnement d’IA et d’AA et à régler les principales questions relatives aux risques et aux mesures d’atténuation qui doivent être prises en compte lors du développement ou de la livraison d’un système d’IA.

Consultez la version intégrale du bulletin : Artificial intelligence and machine learning – Supply chain risks and mitigations (en anglais seulement)

Bulletin sur les cybermenaces : Intervention en cas de cybermenaces iraniennes émanant des frappes des États-Unis et d’Israël, février 2026

2026-03-02T15:29:45Z

Vue d’ensemble

Le 28 février 2026, les États-Unis (É.-U.) et l’État d’Israël (Israël) ont mené des frappes militaires contre la République islamique d’Iran (Iran) afin d’éliminer les menaces posées par le régime iranien^{Note de bas de page 1}. L’Iran a riposté par des attaques militaires contre Israël et des bases militaires américaines à travers le Moyen-Orient^{Note de bas de page 2}.

Le 28 février 2026, le gouvernement du Canada a publié une déclaration visant à appuyer les mesures prises par les États-Unis pour empêcher l’Iran d’obtenir l’arme nucléaire et de menacer davantage la paix et la sécurité à l’échelle internationale^{Note de bas de page 3}.

L’Iran aura fort probablement recours à son programme de cyberactivité pour répondre aux opérations de combat conjointes menées par les É.-U. et Israël à son égard. Les ripostes des auteurs de cybermenace iraniens pourraient comprendre :

des cyberattaques contre les infrastructures essentielles;
des cyberopérations d’information;
le harcèlement en ligne du personnel militaire;
le harcèlement et la répression de la diaspora et des communautés d’activistes.

Les exploitants d’infrastructures essentielles canadiennes et les autres entités possiblement ciblées devraient faire preuve de vigilance envers les menaces posées par les auteurs de menaces veillant aux intérêts de l’Iran.

L’Iran a recours à son programme de cyberactivité pour exercer des représailles et atteindre des objectifs géopolitiques

Des auteurs de cybermenace parrainés par l’Iran lancent des cyberopérations d’information destructrices motivées par des objectifs géopolitiques et les intérêts du régime. L’Iran a tissé un réseau d’hacktivistes composé de personas et de canaux de médias sociaux dans le but d’intimider les opposantes et opposants du régime et d’influencer l’opinion publique^{Note de bas de page 4}.
Les auteurs de cybermenace parrainés par l’Iran sélectionnent de façon opportuniste des réseaux d’infrastructures essentielles et des dispositifs connectés à Internet mal sécurisés partout dans le monde, y compris ceux associés aux secteurs de l’énergie et de la gestion de l’eau^{Note de bas de page 5}. Les auteurs de cybermenace iraniens ont mené des attaques par déni de service, ont tenté de manipuler des systèmes de contrôle industriels et ont accédé à des réseaux pour chiffrer, effacer et fuiter des données^{Note de bas de page 6}.
Des hacktivistes pro-iraniens mènent des activités de cybermenace contre des rivaux de l’Iran, mais ils exagèrent souvent les répercussions de ces activités. En réponse aux frappes aériennes des États-Unis sur des sites nucléaires iraniens en 2025, des groupes d’hacktivistes pro-iraniens ont déclaré avoir lancé des attaques par déni de service distribué (DDoS pour Distributed Denial-of-Service) contre des sites Web associés aux forces armées américaines, à des entreprises américaines de défense et à des institutions financières américaines^{Note de bas de page 7}. Les hacktivistes pro-iraniens cibleront probablement le Canada dans le cadre de cyberactivités perturbatrices peu sophistiquées en raison de l’appui que le Canada accorde publiquement à l’activité militaire des É.-U. et d’Israël.
Il est probable que des auteurs de cybermenace parrainés par l’Iran mènent des activités de cyberespionnage contre des personnes au Canada qui sont une menace aux yeux du régime iranien, comme des activistes politiques, des journalistes et des défenseuses et défenseurs des droits de la personne^{Note de bas de page 4}. Le Centre pour la cybersécurité estime que les auteurs de cybermenace iraniens cibleront probablement les opposantes et opposants du régime à l’étranger, plus particulièrement ceux qui plaident en faveur d’un changement de régime en Iran^{Note de bas de page 8}.

Haut de la page

Caractéristiques de l’activité de cybermenace iranienne

Piratage psychologique convaincant

Les groupes de cybermenace iraniens s’appuient sur des techniques particulièrement sophistiquées de piratage psychologique combinées à des capacités de harponnage pour cibler des fonctionnaires et accéder à des réseaux gouvernementaux et privés de partout dans le monde^{Note de bas de page 9}.

L’Iran axe ses efforts de piratage psychologique sur les relations professionnelles dans les plateformes de médias sociaux afin d’obtenir de l’information sur les organisations qui servent ses intérêts politiques, économiques et militaires, notamment dans les secteurs de l’aérospatiale, de l’énergie, de la défense, de la sécurité et des télécommunications^{Note de bas de page 9}.

Exploitation de vulnérabilités connues

Les auteurs de cybermenace iraniens exploitent des vulnérabilités connues en vue d’obtenir un accès initial aux systèmes, et ils profitent ensuite de cet accès pour mener des opérations subséquentes, comme l’exfiltration ou le chiffrement de données, le déploiement de rançongiciels et l’extorsion^{Note de bas de page 10}.

Les auteurs de cybermenace iraniens se servent d’outils de balayage publics pour repérer leurs cibles et chercher des systèmes exposés à Internet qui sont vulnérables en raison de leur configuration, par exemple des dispositifs qui emploient des mots de passe faibles ou par défaut ou qui ne sont pas protégés par l’authentification multifacteur^{Note de bas de page 11}.

Cyberattaques perturbatrices et destructrices

Les auteurs de cybermenace iraniens opèrent habituellement au moyen d’attaques par déni de service distribué (DDoS) et de défiguration de site Web ou de dispositifs pour perturber temporairement les réseaux ciblés. Ils déploient également des rançongiciels et des maliciels effaceurs destructeurs et mènent des opérations de piratage et de divulgation contre les cibles compromises^{Note de bas de page 12}.

Haut de la page

Ressources utiles

Consultez les ressources en ligne suivantes pour obtenir de plus amples renseignements, ainsi que des avis et conseils utiles :

Rapports et bulletins

Évaluations des menaces visant le Canada
- Évaluation des cybermenaces nationales 2025-2026
Bulletins et publications de partenaires

Avis et conseils

Haut de la page

À propos du présent document

Coordonnées

Prière de transmettre toute question ou tout enjeu relatif au présent document au Centre canadien pour la cybersécurité à contact@cyber.gc.ca.

Méthodologie et fondement de l’évaluation

Les jugements formulés dans la présente évaluation se basent sur de multiples sources classifiées et non classifiées. Ils sont fondés sur les connaissances et l’expertise en matière de cybersécurité du Centre canadien pour la cybersécurité (Centre pour la cybersécurité). Le rôle que joue le Centre pour la cybersécurité dans la protection des systèmes d’information du gouvernement du Canada lui confère une perspective unique pour observer les tendances dans le contexte de cybermenace, ce qui oriente aussi ses évaluations. Dans le cadre du volet du mandat du CST touchant le renseignement étranger, le Centre pour la cybersécurité tire parti d’informations précieuses sur les habitudes des adversaires dans le cyberespace. Bien que le Centre pour la cybersécurité soit toujours tenu de protéger les sources et méthodes classifiées, il fournit, dans la mesure du possible, les justifications qui ont motivé ses avis.

Les avis du Centre pour la cybersécurité sont basés sur un processus d’analyse qui comprend l’évaluation de la qualité de l’information disponible, l’étude de différentes explications, l’atténuation des biais et l’usage d’un langage probabiliste. Des formulations telles que « nous évaluons que » ou « nous jugeons que » sont employées pour communiquer le fait qu’il s’agit d’une évaluation analytique. On utilisera des qualificatifs comme « possiblement », « probable » et « très probable » pour exprimer les probabilités.

La présente évaluation des menaces est basée sur des renseignements disponibles en date du 28 février 2026.

Échelle du lexique des estimations

Description détaillée - Échelle du lexique des estimations

Bulletin conjoint sur les cybermenaces malveillantes contre les réseaux SD-WAN

2026-02-25T16:11:28Z

Les auteurs de cybermenaces malveillantes ciblent les réseaux SD-WAN (Software-Defined Wide Area Network) utilisés par des organisations partout dans le monde. Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité), qui fait partie du Centre de la sécurité des télécommunications Canada (CST), et ses partenaires internationaux encouragent fortement les organisations à agir immédiatement pour s’assurer que leurs réseaux SD-WAN reçoivent les correctifs nécessaires, qu’ils sont renforcés et qu’ils sont renforcés et qu’ils sont examinés afin d’y repérer toute compromission possible.

Veuillez consulter les documents suivants pour obtenir de plus amples renseignements et des recommandations :

Le Centre pour la cybersécurité surveille la situation et peut fournir de l’aide et des conseils au besoin. Si vous croyez que votre organisation a été touchée ou qu’elle a besoin d’aide, veuillez communiquer avec nous par courriel contact@cyber.gc.ca ou par téléphone (613-949-7048 ou 1‑833‑CYBER‑88).

Citation

Nous exhortons les organisations canadiennes et les responsables de la défense des réseaux à tenir compte de cet avertissement, à consulter le guide sur la chasse aux cybermenaces et à appliquer les correctifs nécessaires. Les auteurs de cybermenaces malveillantes ciblent des organisations à l’échelle mondiale. La vigilance et la prise de mesures immédiates nous permettront de renforcer nos défenses pour contrer cette menace.
Rajiv Gupta, dirigeant principal du Centre canadien pour la cybersécurité

Contexte

Le Centre pour la cybersécurité se joint à l’ACSC et aux partenaires internationaux suivants pour publier un bulletin signalant que des auteurs de cybermenaces malveillantes ciblent les réseaux SD-WAN utilisés par des organisations partout dans le monde :

le National Cyber Security Centre de la Nouvelle-Zélande (NCSC-NZ);
le National Cyber Security Centre du Royaume-Uni (NCSC-UK);
la National Security Agency (NSA) des États Unis;
la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis.

On a constaté que des auteurs de menace exploitaient la vulnérabilité CVE-2026-20127 pour ajouter un homologue non autorisé malveillant. Ils ont ensuite mené diverses activités pour obtenir un accès racine et maintenir un accès constant à long terme aux réseaux SD-WAN.

Le guide sur la chasse aux cybermenaces de l’ACSC (en anglais seulement) (PDF) a été préparé à partir des observations issues de diverses enquêtes. Il expose en détail les tactiques, techniques et procédures (TTP) utilisées par ces auteurs de menace. Le guide vise à aider les propriétaires de réseaux responsables de la défense à mener des activités de détection et de chasse aux cybermenaces et fournit des conseils en matière d’atténuation afin de réduire le risque des TTP observées.

Conseils en matière d’atténuation

Les organismes ayant rédigé la présente exhortent fortement les responsables de la défense des réseaux à s’assurer que les correctifs nécessaires ont été appliqués intégralement aux réseaux SD-WAN (y compris pour la vulnérabilité CVE-2026-20127) et à chercher des preuves de compromissions présentées dans le guide. Le bulletin exhorte également les organisations à revoir et à mettre en œuvre les directives sur le renforcement des réseaux SD-WAN de Cisco (en anglais seulement).

Afin de réduire les risques pour vos réseaux, il convient de revoir l’ensemble des directives sur le renforcement des réseaux SD-WANde Cisco. Elles contiennent des conseils sur ce qui suit :

Contrôles des périmètres de réseau : S’assurer que les composants de contrôle sont derrière un pare-feu, isoler les interfaces VPN 512, recourir au blocage d’adresses IP pour les adresses IP en périphérie fournies manuellement.
Accès pour les gestionnaires de réseaux SD-WAN : Remplacer le certificat autosigné pour l’interface utilisateur Web.
Contrôle et la sécurité du plan de données : Utiliser la saisie par paire.
Expiration de la session : Limiter à la période la plus courte possible.
Journalisation : Transférer à un serveur journal système à distance.

Ressources additionnelles

Pour en savoir plus sur les vulnérabilités, veuillez consulter la page Alertes et avis.

Pour vous renseigner sur les pratiques exemplaires, veuillez consulter la page Conseils sur la cybersécurité.

Le CST demande aux organisations canadiennes et aux fournisseurs d’infrastructures essentielles de renforcer leurs défenses à l’aube du quatrième anniversaire de l’invasion de l’Ukraine par la Russie

2026-02-20T19:07:22Z

Le Centre de la sécurité des télécommunications Canada (CST) et son Centre canadien pour la cybersécurité (Centre pour la cybersécurité) exhortent les organisations canadiennes à demeurer vigilantes et à renforcer leurs défenses contre les cybermenaces malveillantes à l'aube du quatrième anniversaire de l'invasion massive de l'Ukraine par la Russie.

Au cours des quatre dernières années, le Centre pour la cybersécurité a constaté que des auteurs de cybermenace pro-russes ont ciblé des pays, dont le Canada, qui fournissent une aide à l'Ukraine. Ces activités ont touché les organismes gouvernementaux et militaires, les organisations des secteurs public et privé et les réseaux d'infrastructures essentielles au Canada. Les auteurs de cybermenace russes ont également tenté de perturber les services offerts à la population canadienne en ciblant les plateformes en nuage, les chaînes d'approvisionnement et les systèmes connectés à Internet, notamment au moyen d'attaques par déni de service distribué (DDoS pour distributed denial of service).

Comme il a déjà été signalé, les groupes d'auteurs de cybermenace non étatiques pro-russes motivés par des considérations idéologiques continuent de mener des activités malveillantes contre des ennemis présumés. Ces groupes sont généralement dotés de moyens moins sophistiqués que les auteurs de menace parrainés par des États, mais agissent de façon indépendante, ce qui crée une certaine imprévisibilité et entraîne une plus grande tolérance au risque.

Les organisations canadiennes et les exploitants d'infrastructures essentielles doivent demeurer vigilants face à la menace que présentent les auteurs de cybermenace alignés sur les intérêts de la Russie et se préparer à de possibles interruptions de services et à une augmentation des activités de défiguration de site Web et d'attaques par rançongiciel. Les opératrices et opérateurs d'appareils de technologie opérationnelle branchés à Internet doivent demeurent à l'affût, car ces systèmes peuvent être facilement repérés et sont vulnérables aux cybermenaces.

On exhorte les organisations canadiennes à mettre en place dès maintenant de bonnes mesures pour se protéger des menaces que représentent les auteurs de cybermenace veillant aux intérêts russes.

Mesures recommandées

Adopter les objectifs intersectoriels relatifs à l'état de préparation en matière de cybersécurité du Centre pour la cybersécurité
Consulter et mettre en œuvre les mesures de prévention du Centre pour la cybersécurité sur les sujets suivants :
Consulter le document Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l'information du Centre pour la cybersécurité, en portant une attention particulière à :
- intégrer, surveiller et défendre les passerelles Internet
- segmenter l'information
- isoler les applications Web
Examiner les conseils conjoints suivants :
Consulter le document d'information sur les cyberactivités malveillantes qui ciblent les infrastructures essentielles canadiennes et le document sur les considérations en matière de sécurité pour les infrastructures essentielles, en portant une attention particulière aux éléments suivants :
- Isoler les composantes, les services et les systèmes
- Maintenir des sauvegardes hors ligne et les mettre à l'essai
- Élaborer un plan d'intervention en cas d'incident
- Surveiller les environnements de TI et de technologie opérationnelle et activer la journalisation
Prendre connaissance de l'alerte du Centre pour la cybersécurité sur les abus de systèmes de contrôle industriels accessible depuis Internet par des hacktivistes
Examiner les systèmes de réseau de périmètre pour repérer des signes d'activité suspecte
Signaler les cyberincidents au Centre pour la cybersécurité

Le Centre pour la cybersécurité continue de transmettre des informations sur les cybermenaces tout au long de l'année à ses partenaires des infrastructures essentielles et du gouvernement du Canada par l'intermédiaire de voies de communication protégées. Nous surveillons activement l'environnement des cybermenaces au Canada et dans le monde. Toute organisation canadienne qui croit avoir été la cible d'une activité de cybermenace devrait communiquer avec le Centre pour la cybersécurité par courriel à l'adresse contact@cyber.gc.ca ou en composant le 1-833-CYBER-88.

Ressources connexes

Facteurs relatifs à la sécurité à considérer pour les cartes SIM (ITSAP.10.021)

2026-02-16T18:59:28Z

Février 2025

Série sensibilisation

ITSAP.10.021

Février 2025 | Série sensibilisation

Une carte de module d’identification d’abonné (SIM pour subscriber identity module) est une puce électronique qui stocke l’information d’utilisateur du réseau mobile, comme le numéro de téléphone et la clé d’authentification utilisée pour donner accès au réseau cellulaire. Une carte SIM est également désignée par le terme Universal Integrated Circuit Card (UICC), qui est la version moderne de la carte SIM originale. Il s’agit du terme technique, mais on utilise encore couramment le terme carte SIM.

Étant donné l’information qu’elles stockent, les cartes SIM sont des cibles prisées par les auteures et auteurs de menace. Cette publication vise à vous aider à comprendre la principale menace, appelée l’usurpation de carte SIM, et vous donne des recommandations pour vous en protéger.

Sur cette page

Différence entre une carte SIM et une carte SIM intégrée
Usurpation de carte SIM
Déroulement de l’usurpation de carte SIM
Conséquences de l’usurpation de carte SIM
Les indices de l’usurpation de carte SIM
Comment protéger votre carte SIM
Pour en savoir plus

Différence entre une carte SIM et une carte SIM intégrée

Une carte SIM est une carte physique insérée dans un appareil. Elle utilise l’information stockée dans l’appareil pour identifier et authentifier l’utilisatrice ou utilisateur d’un réseau mobile. Une carte SIM intégrée (ou eSIM pour embedded SIM) est une puce électronique ne pouvant pas être retirée et qui est intégrée à l’appareil. Par sa nature, elle est facile à configurer et à activer à distance. Une carte eSIM peut stocker plusieurs profils SIM.

Facteurs à considérer pour les cartes eSIM

Les fournisseurs proposent de plus en plus l’option de cartes eSIM en raison de leur commodité. Des risques leur sont toutefois associés, car les auteures et auteurs de menace peuvent plus facilement

compromettre les comptes mobiles et y accéder;
mener des activités de piratage psychologique et des attaques à distance, étant donné qu’elles peuvent être produites et transférées numériquement;
compromettre plusieurs profils en même temps;
exploiter des maliciels au moyen de l’exécution de codes arbitraires.

Usurpation de carte SIM

L’usurpation de carte SIM est une attaque qui vise votre compte de téléphonie mobile et transfère votre numéro de téléphone sur la carte SIM ou eSIM d’une ou un auteur de menace à votre insu. Cette attaque est aussi connue sous le nom de détournement de carte SIM ou d’échange de carte SIM.

Si une ou un auteur de menace mène à bien une attaque d’usurpation de carte SIM, il peut utiliser son appareil pour contrôler les communications qui vous sont destinées et se faire passer pour vous. Cette fraude permet également d’accéder à d’autres comptes, comme votre compte bancaire, qui utilisent le numéro de téléphone comme méthode de vérification de l’identité.

Déroulement de l’usurpation de carte SIM

Les auteures et auteurs de menace emploient les méthodes suivantes pour mener une attaque d’usurpation de carte SIM.

Appeler votre fournisseur

Les auteures et auteurs de menace tentent d’usurper une carte SIM en passant par un processus semblable à celui que suivent les fournisseurs au moment de transférer un numéro de téléphone d’un ancien appareil à un nouvel appareil lors d’une mise à niveau. Les auteures et auteurs de menace peuvent tenter de transférer le numéro de téléphone de leur victime à leur propre appareil en appelant le fournisseur de réseau mobile et en se faisant passer frauduleusement pour leur victime. Ils peuvent outrepasser les questions de sécurité courantes de vérification de l’identité en effectuant des recherches pour trouver les renseignements personnels partagés en ligne.

Vol de justificatifs d’identité

Les auteures et auteurs de menace peuvent également tenter d’accéder aux renseignements du compte de téléphonie mobile sur le site Web du fournisseur pour déclencher et autoriser un processus d’échange de carte SIM. Ils utilisent des noms d’utilisateur et des mots de passe volés pour mener des attaques par bourrage d’identifiants ou recueillent des renseignements personnels publiés en ligne ou sur les médias sociaux pour répondre aux questions de sécurité lors de l’authentification.

Exploiter un accès interne

L’usurpation de carte SIM peut survenir en raison d’une menace interne. Des membres du personnel et d’autres personnes ayant un accès interne à un fournisseur de services mobiles peuvent autoriser des changements à un compte client et vendre des cartes SIM usurpées.

Conséquences de l’usurpation de carte SIM

Si votre carte SIM est usurpée, l’auteure ou auteur de menace recevra vos appels, vos messages texte et vos notifications sur son appareil. Étant donné que les appareils mobiles sont devenus une mesure d’authentification, une ou un auteur de menace peut se faire passer pour vous pour accéder à vos comptes et à votre information. Il s’agit d’un risque pour vous et pour votre organisation.

Risques individuels

L’usurpation de carte SIM présente plusieurs risques individuels. Une ou un auteur de menace peut

modifier et voler d’autres informations d’identification de compte;
vous empêcher d’accéder à votre compte et de le gérer;
voler votre argent et des renseignements financiers;
contrôler et traiter l’information qui passe par vos comptes personnels;
se faire passer pour vous et propager la fraude à vos contacts.

Risques organisationnels

Il convient d’évaluer le niveau de sensibilité des données traitées selon la posture de votre organisation sur l’utilisation d’appareils (par exemple, appareil appartenant à l’entreprise ou appareil personnel) et sur le télétravail. Si des auteures et auteurs de menace compromettent un service mobile qui traite de l’information organisationnelle, ils peuvent :

se faire passer pour la ou le propriétaire du compte;
propager des arnaques pas hameçonnage et des maliciels à d’autres comptes et appareils;
accéder à des informations sensibles et confidentielles;
compromettre les systèmes et les processus;
nuire à la réputation de votre entreprise et à la confiance des clientes, clients et partenaires.

Les indices de l’usurpation de carte SIM

Il y a des indices qui permettent de reconnaître qu’une ou un auteur de menace tente d’usurper votre carte SIM ou que celle-ci a été usurpée. Par exemple, il y a :

la réduction anormale du nombre de messages reçus sur votre appareil;
l’absence de messages de vérification pour l’authentification multifacteur (AMF);
des messages d’hameçonnage qui vous demandent de confirmer votre compte en saisissant un numéro d’identification personnel (NIP) ou en cliquant un lien pour vous connecter;
des messages qui indiquent une activité sur votre compte dont vous ne vous souvenez pas;
des changements que vous n’avez pas apportés aux informations sur le compte;
la perte d’accès aux comptes en ligne (par exemple, compte bancaire, courriel, média social);
des transactions inconnues sur vos comptes;
la déconnexion du réseau cellulaire.

Si votre carte SIM a été usurpée, vous n’aurez pas accès au service cellulaire ni aux capacités d’appel par réseau Wi-Fi. Il est important de noter qu’une connexion maintenue au Wi-Fi peut garder votre connexion par données active. Si vous changez entre le réseau cellulaire et le réseau Wi-Fi automatiquement et souvent, vous ne reconnaîtrez peut-être pas immédiatement que votre carte SIM est compromise.

Comment protéger votre carte SIM

Il est important de prendre des mesures de sécurité préventives pour atténuer les risques d’être victime de l’usurpation de carte SIM. Les meilleures manières de vous en protéger sont notamment les suivantes :

Utiliser toute exigence de vérification que propose votre fournisseur de services pour protéger votre compte;
Demander à votre fournisseur de services d’activer la protection des accès ou de verrouiller la carte SIM à votre compte, si possible;
Activer l’AMF qui comprend d’autres méthodes que le numéro de téléphone (par exemple, un NIP, la biométrie ou une application d’authentification);
Garder l’information sensible liée aux questions de sécurité des comptes privées (par exemple, date de naissance, adresse du domicile, nom de jeune fille de la mère);
Utiliser des adresses courriel uniques et distinctes pour les comptes financiers et les comptes de médias sociaux;
Créer des mots de passe et des phrases de passe différentes pour chaque compte;
Se tenir au courant des avis de sécurité du fournisseur et des avis et notifications de sécurité du Centre canadien pour la cybersécurité.

Mesures de sécurité organisationnelles

En plus des mesures susmentionnées, d’autres pratiques de sécurité organisationnelle sont à envisager pour éviter l’usurpation de carte SIM.

Avoir une politique claire sur l’utilisation des appareils et les données qui peuvent être traitées sur certains appareils;
Imposer des contrats de service cellulaire sur les appareils d’entreprise qui interdisent la migration des comptes sans l’approbation préalable de l’organisation;
Mettre en place des séances obligatoires de maintenance des appareils de l’entreprise;
Utiliser des applications d’authentifiants qui génèrent des codes de passe à utilisation unique pour l’AMF plutôt que les mesures de vérification liées au numéro de téléphone (par exemple, message texte ou appel téléphonique);
Déployer des clés de sécurité matérielle pour sécuriser et authentifier les comptes très sensibles, au besoin;
Classifier et étiqueter les données en fonction du niveau de sensibilité et établir clairement comment traiter les données à chaque niveau;
Offrir de la formation relative à la cybersécurité.

Pour en savoir plus

GeekWeek 11

2026-02-13T13:57:00Z

GeekWeek offre une occasion aux participantes et participants de passer quelques jours loin de leur environnement de travail habituel afin de travailler avec des intervenantes et intervenants du secteur public, de l’industrie, des infrastructures essentielles ainsi que des partenaires internationaux pour mettre en œuvre des idées novatrices en cybersécurité.

Lieu

Centre canadien pour la cybersécurité
1625, promenade Vanier, Ottawa, ON
K1L 7P1

Du 27 mai au 5 juin 2026

Si vous aimeriez participer à un futur événement « Geek », communiquez avec contact@cyber.gc.ca.

En raison de la nature technique de l’atelier, GeekWeek est un événement sur invitation seulement.

À confirmer.

GeekWeek 11 propose les sujets et les thèmes suivants.

Cybersystèmes physiques

La cybermenace qui pèse sur le transport maritime

2026-02-12T15:03:20Z

Table des matière

Lignes directrices sur le signalement des cyberincidents : principales exigences liées à l’échange – ITSM.00.140

2026-01-29T14:33:29Z

Janvier 2026

Série gestionnaires

ITSM.00.140

Janvier 2026 | Série gestionnaires

Format de rechange: Lignes directrices sur le signalement des cyberincidents : principales exigences liées à l’échange – ITSM.00.140 (PDF, 536 Ko)

Avant-propos

La présente est un document NON CLASSIFIÉ publié avec l’autorisation du dirigeant principal, Centre canadien pour la cybersécurité (Centre pour la cybersécurité). Pour obtenir de plus amples renseignements, veuillez communiquer par téléphone ou par courriel avec le Centre d’appel du Centre pour la cybersécurité :

courriel contact@cyber.gc.ca |mobile 613-949-7048 ou 1‑833‑CYBER‑88

Date d’entrée en vigueur

Le présent document entre en vigueur le 29 janvier 2026.

Historique des révisions

Première version : 26 janvier 2026

Vue d’ensemble

L’organisation et l’échange d’information pendant un cyberincident nécessitent une approche structurée permettant d’assurer la communication efficace des détails pertinents au Centre canadien pour la cybersécurité (Centre pour la cybersécurité). La présente publication vise à clarifier les types d’information que le Centre pour la cybersécurité considère comme « exploitables ».

Table des matières

Reconnaître les courriels malveillants (ITSAP.00.100)

2026-01-28T18:21:01Z

Janvier 2026

Série sensibilisation

ITSAP.00.100

Janvier 2026 | Série sensibilization

Le courrier électronique est un outil de communication pratique pour les personnes et les organisations. Il offre un moyen facile d'échanger des documents, des images, des liens et divers fichiers. Toutefois, les auteurs de menace peuvent utiliser le courrier électronique à des fins malveillantes. Ils ciblent régulièrement les organisations et leurs réseaux pour voler de l'information. Les auteurs de menace sont bien au fait de la technologie. Ils connaissent les vulnérabilités et sont vigoureusement agiles. S'ils s'introduisent dans un système, ils peuvent accéder rapidement aux données et aux renseignements personnels.

En tant qu'employée ou employé, vous pourriez avoir accès à de l'information sensible de votre organisation, ce qui peut faire de vous une cible. Vous devez vous méfier des courriels malveillants. Les auteurs de menace y ont recours pour infecter des dispositifs et des systèmes en vue d'accéder à de l'information. Le fait de savoir comment détecter les courriels malveillants et les tentatives d'hameçonnage peut aider à protéger l'information et les réseaux de votre organisation.

Sur cette page

Comment les auteurs de menace utilisent les courriels malveillants
Comment reconnaître les courriels malveillants
Comment se protéger contre les courriels malveillants
Comment gérer les courriels malveillants
Pour en savoir plus

Comment les auteurs de menace utilisent les courriels malveillants

Les auteurs de menace utilisent les courriels malveillants pour mener toutes sortes d'activités malveillantes, y compris ce qui suit :

voler vos détails d'ouverture de session ou justificatifs d'identité;
diffuser des maliciels, y compris des virus, des rançongiciels et des espiogiciels pour infecter votre dispositif ou propager ceux-ci dans d'autres dispositifs sur votre réseau;
voler vos renseignements, corrompre ou endommager vos fichiers.

Attaques par hameçonnage

L'hameçonnage est l'envoi de communications frauduleuses qui semblent légitimes. Les courriels d'hameçonnage contiennent souvent des pièces jointes malveillantes ou des liens qui mènent vers des sites Web malveillants. Les auteurs de menace ont recours à l'hameçonnage pour vous inciter, par la ruse, à dévoiler de l'information sensible, comme des numéros de cartes de crédit, des numéros d'assurance sociale ou des justificatifs d'identité bancaires. Les attaques par hameçonnage peuvent être menées par courriel, par texto ou par appel téléphonique, mais la présente publication se penche sur les courriels malveillants.

Les auteurs de menace sont très doués pour fabriquer des courriels qui ont l'air légitimes. Les courriels peuvent contenir le logo de l'entreprise ciblée ou de l'information sur la marque de commerce. La ligne d'objet est opportune et le message est pertinent. Comme nous sommes de nature confiante (et que nous recevons un grand nombre de courriels chaque jour), nous pouvons facilement croire le contenu des courriels et ouvrir leurs pièces jointes ou cliquer sur les liens qu'ils contiennent. Ce qu'il faut savoir, c'est que les pièces jointes peuvent contenir un logiciel malveillant et les liens, mener à des sites Web malveillants.

Certains types de maliciels peuvent analyser vos contacts et envoyer automatiquement un message infecté à tout le monde sur votre liste de contacts. Même si un courriel vient d'une connaissance, pensez-y toujours à deux fois avant de cliquer sur un lien ou d'ouvrir une pièce jointe. Le fait de configurer votre courrier électronique afin de prévisualiser les courriels, d'accéder aux liens et d'ouvrir les pièces jointes pourrait, sans le vouloir, permettre à un auteur de menace de faire ce qui suit :

accéder à distance à l'information sensible de dispositifs;
exécuter des maliciels;
utiliser votre dispositif comme point d'appui pour accéder à d'autres ressources réseau.

Les courriels d'hameçonnage peuvent prendre plusieurs formes. Parmi les méthodes plus courantes, on retrouve les suivantes :

Harponnage : Un auteur de menace envoie un courriel à des cibles précises, comme une personne, un groupe ou une organisation. Le courriel de harponnage est conçu en fonction des caractéristiques et des intérêts professionnels ou personnels du destinataire. L'auteur de menace s'inspire souvent de l'information publique qui se trouve dans les comptes de médias sociaux de la cible. Le courriel de harponnage demande plus de travail, mais son destinataire est plus susceptible d'y répondre, d'ouvrir ses pièces jointes ou de cliquer sur les liens qu'il contient.
Chasse à la baleine : Un auteur de menace envoie des courriels à des personnes connues ou à des cadres supérieures et supérieurs. Il compose des courriels ciblés et convaincants qui contiennent des renseignements protégés sur les destinataires ou l'organisation pour laquelle elles et ils travaillent. L'auteur de menace peut s'inspirer de l'information publique qui se trouve dans le site Web de l'organisation ou ses comptes de médias sociaux.
Hameçonnage par code QR (Quishing) : Une attaque par hameçonnage consistant à insérer dans un courriel un code-barres 2D (ou code QR pour Quick Response) qui vous redirige vers un site Web malveillant une fois le code QR numérisé. Vérifiez l'adresse URL du site Web pour vous assurer qu'il s'agit du site légitime.

N'oubliez pas que personne n'est à l'abri. Tout le monde peut être visé par des attaques par hameçonnage, mais les personnes suivantes sont des cibles plus fréquentes :

les cadres de direction et leurs adjointes et adjoints;
le personnel des services de soutien;
les administratrices et administrateurs de système;
les personnes ayant accès à de l'information sensible;
les utilisatrices et utilisateurs ayant des accès à distance;
les utilisatrices et utilisateurs dont les fonctions exigent d'interagir avec des membres du public.

Haut de la page

Comment reconnaître les courriels malveillants

Les auteurs de menace essayeront de donner un aspect légitime aux courriels malveillants. Par conséquent, il est important de savoir comment reconnaître un courriel potentiellement dangereux.

Vérifiez l'adresse courriel de l'expéditeur pour confirmer qu'elle corresponde à l'adresse courriel officielle de l'organisation ou de la personne prétendue. Sachez comment les organisations et les entreprises avec lesquelles vous interagissez communiquent habituellement avec vous et le type d'information qu'elles pourraient vous demander. Par exemple, une banque ne doit jamais envoyer des liens menant vers un service bancaire en ligne ni vous demander d'ouvrir une session. Vous devriez toujours accéder à votre plateforme bancaire par l'intermédiaire de son application officielle ou site Web.

Les courriels malveillants peuvent être difficiles à repérer, mais il existe quelques indices qui peuvent vous aider :

adresse courriel ou nom de l'expéditeur inconnu ou mal orthographié;
nom d'utilisateur ou nom de domaine invalide dans l'adresse courriel de l'expéditeur;
logos d'entreprises non professionnels ou altérés;
salutations étranges ou génériques;
erreurs d'orthographe ou de grammaire;
ton urgent et directives d'agir rapidement;
messages urgents sur des questions controversées et actuelles liées à des causes politiques ou personnelles, à des crises ou événements majeurs au pays ou à l'étranger, ou à des défis organisationnels;
demandes inhabituelles (par exemple, la plupart des entreprises ne demandent pas de fournir de l'information sensible ou des renseignements personnels dans un courriel ou n'insistent pas pour que vous collectiez un paquet ou payiez une facture impayée).

Gardez à l'esprit que les courriels malveillants ne contiennent pas toujours des erreurs d'orthographe ou de grammaire évidentes, particulièrement s'ils ont été créés au moyen d'outils d'intelligence artificielle générative.

Méfiez-vous toujours des courriels non sollicités demandant des données confidentielles ou personnelles. Prenez des mesures proactives pour vérifier leur légitimité avant d'y répondre ou de fournir de l'information. Si vous recevez un courriel demandant des renseignements personnels, consultez le site Web officiel de l'organisation et contactez-la en utilisant le numéro de téléphone fourni. De cette manière, vous pouvez confirmer si la demande est légitime.

Comment se protéger contre les courriels malveillants

Vous pouvez vous protéger et protéger votre organisation contre les courriels malveillants en respectant les pratiques exemplaires ci-dessous.

Soyez prudente ou prudent lorsque vous recevez des courriels suspects

Avant d'ouvrir un courriel qui vous semble suspect, communiquez avec l'expéditeur par un autre moyen (p. ex. par téléphone) pour confirmer la provenance du courriel en question.

Ne cliquez sur aucune pièce jointe ni aucun lien ou code QR fourni dans les courriels

Si l'on vous demande de vous connecter à un compte pour une raison non sollicitée, ne cliquez pas sur le lien, n'ouvrez pas les pièces jointes et évitez de numériser les codes QR. Rendez-vous plutôt sur le site Web de l'organisation en entrant manuellement l'adresse URL dans votre navigateur Web ou en cherchant le site dans un moteur de recherche.

Signalez les courriels suspects

Si vous recevez un courriel suspect ou soupçonnez des activités malveillantes sur un dispositif ou un compte professionnel, communiquez avec les équipes de TI et de sécurité de votre organisation. Suivez les directives et n'envoyez pas le courriel à vos collègues. Vous pouvez aussi signaler des courriels d'hameçonnage au Centre pour la cybersécurité ou au Centre antifraude du Canada.

Utilisez des mécanismes de filtrage des courriels pour bloquer du contenu malveillant et des pourriels

De nombreux programmes de courrier électronique offrent des capacités de filtrage vous permettant de bloquer certaines adresses courriel ou d'accepter que les courriels des adresses dans votre liste de contacts. Faites attention avec qui vous échangez votre adresse courriel et ne vous inscrivez pas à chaque liste d'envoi et programme de récompenses offerts par les détaillants. Certaines entreprises vendront vos adresses courriel à de tierces parties. Vous pouvez créer des adresses courriel jetables ou de « fausses » adresses pour réduire les pourriels. De nombreux services de courrier électronique vous permettent aussi de créer des alias de courrier électronique qui peuvent être redirigés vers un dossier de courriel précis au lieu de votre boîte de réception principale.

Supprimez les éléments dans votre dossier de courrier indésirable

De nombreuses plateformes de courriel vous permettent de configurer les paramètres pour vider automatiquement votre dossier de courrier indésirable après un certain nombre de jours. Si vous décidez de le faire, vous devriez tout de même vérifier votre boîte de courrier indésirable pour ne pas manquer de messages potentiellement importants.

Mettez en place des portails client

Si votre organisation exige que sa clientèle fournisse régulièrement de l'information ou des documents, mettez en place un portail client en ligne pour les recueillir en toute sécurité. De cette manière, les employées et employés n'auront pas à douter de chaque pièce jointe qu'ils reçoivent.

Établissez des politiques claires

Votre organisation devrait établir des politiques claires sur les paramètres de configuration et l'utilisation de l'IA afin de limiter les risques de recevoir des messages malveillants par courriel. Ces processus devraient comprendre les mesures suivantes :

Installer et configurer correctement un logiciel antivirus et antimaliciel;
Configurer un système d'adressage par domaine de protection (DNS pour Domain Name System) sur vos dispositifs, modems et routeurs;
Activer une liste de logiciels autorisés et mettre à jour régulièrement tous les logiciels;
Mettre en œuvre des fonctions de quarantaine dans le logiciel antimaliciel de votre organisation;
Utiliser des outils de détection d'IA réputés et fiables pour vérifier si du contenu a été généré par l'IA ou créé par des humains;
Omettre de l'information sensible lorsque vous utilisez des outils d'IA.

Pratiques exemplaires supplémentaires

Utilisez des portails de messagerie sécurisés au lieu du courrier électronique pour communiquer vos renseignements personnels.
Utilisez des marque-pages ou un moteur de recherche pour accéder à des sites Web au lieu de cliquer sur des liens.
Méfiez-vous des courriels qui ne vous sont pas directement adressés ou qui n'utilisent pas votre nom ou salutation correctement.
N'ouvrez pas de pièces jointes ni de liens provenant d'un expéditeur inconnu ou si les noms de fichiers sont étranges ou qu'il y a plusieurs extensions de fichier.
Configurez votre suite Office pour empêcher les macros de s'exécuter sans confirmation ou pour ne pas exécuter les macros des courriels.
Désactivez le téléchargement et l'exécution automatiques des pièces jointes et des images.
Configurez votre boîte de réception pour éviter de charger des images externes afin d'atténuer les risques liés aux pixels espions (codes intégrés dans les logos ou les images pouvant repérer votre emplacement et comportement).

Haut de la page

Comment gérer les courriels malveillants

Si vous recevez un message désobligeant, menaçant ou peut-être de nature criminelle, communiquez avec votre service de police local. Conservez le message, car les autorités pourraient vous en demander une copie aux fins d'enquête. Ne faites pas suivre le message.

Si vous recevez un courriel malveillant et faites par inadvertance une manœuvre fâcheuse (p. ex. ouvrir une pièce jointe), restez calme et prenez les mesures suivantes :

Arrêtez d'utiliser l'appareil.
Désactivez la connexion Wi-Fi ou déconnectez les câbles de réseau pour couper la connexion à Internet.
Éteignez votre appareil.
S'il s'agit d'un appareil de travail, communiquez avec votre service de sécurité des TI. Les responsables peuvent désactiver les comptes et toute autre fonction.
Changez vos mots de passe, vos phrases de passe ou vos NIP en utilisant un autre appareil.
Effectuez l'analyse de votre appareil avec un antimaliciel, si possible.
Rétablissez la connexion réseau uniquement lorsque vous croyez que votre système est nettoyé.
Installez toutes les mises à jour et tous les correctifs de sécurité offerts.
Surveillez vos comptes de près pour détecter toute activité suspecte.

Pour en savoir plus

Haut de la page

Rançongiciels : comment les prévenir et s'en remettre (ITSAP.00.099)

2026-01-28T18:16:26Z

Janvier 2026

Série sensibilisation

ITSAP.00.099

Janvier 2026 | Série sensibilisation

Un rançongiciel est un type de maliciel qui empêche une utilisatrice ou un utilisateur légitime d'accéder à un système ou à des données jusqu'à ce qu'elle ou il verse une rançon. Lorsqu'un rançongiciel infecte un dispositif, il rend le système inutilisable ou chiffre la fonction de stockage, empêchant ainsi l'accès à l'information et aux systèmes. Les auteurs de menace ont amélioré leurs tactiques et reposent souvent sur les vols de données comme principale méthode d'extorsion.

Les auteurs de menace peuvent exploiter des vulnérabilités et de nombreux vecteurs d'attaque pour infecter, au moyen d'un rançongiciel, votre réseau, vos systèmes et vos dispositifs. Peu importe les compétences, cela peut se faire en utilisant un code malveillant et des services achetés sur le Web clandestin. C'est ce que l'on appelle le rançongiciel comme service (RaaS pour Ransomware-as-a-Service). De plus, les auteurs de menace peuvent utiliser des outils d'intelligence artificielle pour écrire des rançongiciels efficaces. Cela automatise la découverte des points faibles dans un réseau, le contournement des mécanismes de défense, le déploiement de maliciels et la suppression de preuves de l'intrusion.

La présente publication fournit des conseils pour aider votre organisation à se préparer à faire face à une attaque par rançongiciel et à se rétablir après coup.

Sur cette page

Manières dont un rançongiciel peut affecter des dispositifs
Comment préparer votre organisation
Comment protéger votre organisation
Se remettre d'une attaque par rançongiciel
Les risques associés au paiement d'une rançon
Pour en savoir plus

Manières dont un rançongiciel peut infecter des dispositifs

Les auteurs de menace peuvent utiliser un dispositif compromis pour propager un rançongiciel dans d'autres systèmes et dispositifs connectés au même réseau. Un rançongiciel peut infecter des dispositifs lorsque des utilisatrices et utilisateurs :

ouvrent des pièces jointes malveillantes qui ont l'air légitimes dans des messages;
cliquent sur des pièces jointes et liens malveillants intégrés dans des sites Web;
ouvrent du contenu ciblé et personnalisé dans des courriels d'hameçonnage, des messages texte et les médias sociaux.

Les auteurs de menace façonnent leur contenu malveillant en explorant les réseaux professionnels et sociaux en vue de trouver de l'information qu'ils pourraient exfiltrer. Ils surveillent aussi les habitudes de communication avant de déployer le rançongiciel.

Si un dispositif est infecté par un rançongiciel, vous recevrez un avis de rançon à votre écran vous indiquant que vos fichiers ont été chiffrés et qu'ils seront inaccessibles jusqu'à ce qu'une rançon ait été payée. Les cybercriminelles et cybercriminels demandent habituellement la rançon en cryptomonnaie, en raison de l'anonymat qu'elle offre. La cryptomonnaie permet aux cybercriminelles et cybercriminels de déplacer des revenus à l'échelle internationale, ce qui élargit leur portée et complique les efforts d'application de la loi. D'autres méthodes de paiement de rançon comprennent souvent les cartes de crédit prépayées ou les cartes-cadeaux. En général, les auteurs de menace vous accorderont une date limite pour payer la rançon, après quoi ils pourraient augmenter le montant de la rançon, détruire vos fichiers ou divulguer vos données.

Haut de la page

Comment préparer votre organisation

Il existe plusieurs approches que vous pouvez adopter pour mieux protéger vos réseaux, vos systèmes et vos dispositifs. Vous trouverez ci-dessous une liste des mesures que vous pouvez prendre afin de renforcer votre cybersécurité.

Planifier

Élaborer un plan d'intervention en cas d'incident pour votre organisation est la pierre angulaire de votre stratégie de cyberdéfense. Un plan d'intervention en cas d'incident vous aide à détecter des incidents de cybersécurité et à intervenir. Votre organisation devrait tenir compte des événements majeurs qui pourraient provoquer une panne imprévue et l'obliger à activer son plan d'intervention en cas d'incident.

Votre plan doit aussi inclure une évaluation des risques et des plans de sauvegarde, de reprise et de communications. Il devrait aussi déterminer les rôles que vos employées et employés doivent jouer et leur fournir des instructions détaillées en cas d'incident. Ce plan devrait être accessible hors ligne au cas où vos systèmes ne seraient pas disponibles. De plus, votre organisation devrait élaborer et mettre à l'essai régulièrement un plan de continuité des activités et de reprise après sinistre.

Se préparer à une reprise

Une fois qu'un incident aura été confiné ou résolu, votre organisation devrait avoir en place un plan de reprise, qui doit être mis à l'essai en effectuant des simulations et des exercices préparatoires. Les mises en situation devraient mettre à l'essai l'efficacité de votre intervention et mettre en lumière les aspects à améliorer.

Sauvegarder vos données

Le fait de pouvoir compter sur des sauvegardes fiables peut améliorer considérablement votre capacité à vous remettre d'une attaque par rançongiciel. Une copie de sauvegarde de vos données et de vos systèmes permet de récupérer vos données et d'accéder à vos systèmes essentiels dans l'éventualité d'un incident. Vous devez faire des copies de sauvegarde régulièrement pour vous assurer que vos sauvegardes ont les données les plus à jour en comparaison à celles en temps réel. Créez le plus de barrières de sécurité que possible entre vos systèmes de production et vos copies de sauvegarde. Assurez-vous que vos copies de sauvegarde sont chiffrées et stockées hors ligne sans connexion à Internet ou à des réseaux locaux. Les auteurs de menace peuvent infecter vos copies de sauvegarde si ces dernières sont connectées à vos réseaux, ce qui minerait vos efforts de récupération. Le fait de mettre à l'essai votre processus de sauvegarde et de récupération est également essentiel pour vous assurer que votre reprise est rapide et efficace.

Dispenser une formation sur la sensibilisation à la sécurité au personnel

Fournissez à vos employées et employés de la formation personnalisée et continue sur la cybersécurité et la gestion des dispositifs. Il sera ainsi possible de s'assurer qu'ils ne seront pas victimes d'activités malveillantes, comme des courriels d'hameçonnage et des téléchargements infectés. Pour en apprendre plus sur la formation en matière de gestion des événements de cybersécurité, consultez le Carrefour de l'apprentissage du Centre pour la cybersécurité. Le Carrefour de l'apprentissage offre un cours complet sur la gestion des événements pouvant être adapté aux besoins opérationnels et en matière de technologie de l'information (TI) de votre organisation.

Offrir aux employés une formation sur mesure en cybersécurité (ITSAP.10.093)

Penser à une cyberassurance

Faites des recherches sur les fournisseurs d'assurance et sur les détails des polices d'assurance pour déterminer si votre organisme pourrait tirer des avantages d'une cyberassurance. Une police d'assurance peut ajouter une couche de protection supplémentaire et offrir à votre organisation une expertise en matière d'intervention en cas d'incident dans l'éventualité d'une attaque par rançongiciel. Toutefois, vous devriez vous assurer que les documents de police d'assurance sont adéquatement protégés dans vos deux systèmes. Sinon, des auteurs d'attaques par rançongiciel dotés de moyens sophistiqués pourraient obtenir des renseignements sensibles sur les montants de la couverture et les exploiter lors de négociations de rançon. Il est important de savoir que les compagnies d'assurance peuvent refuser la couverture s'ils estiment que votre organisation n'a pas mis en place les mesures de cybersécurité adéquates.

Haut de la page

Comment protéger votre organisation

Les rançongiciels figurent parmi les types de maliciels les plus répandus et constituent potentiellement l'une des cyberattaques les plus dommageables pour votre organisation. Utilisez les conseils ci-dessous pour protéger votre organisation contre les attaques par rançongiciel.

Appliquer des méthodes d'authentification robustes

Activez l'authentification multifacteur (AMF) résistante à l'hameçonnage et utilisez des phrases de passe ou des mots de passe uniques et robustes sur tous les dispositifs et pour tous les comptes.

En plus de l'AMF, vous devriez encourager les employées et employés à utiliser un gestionnaire de mots de passe. Les gestionnaires de mots de passe peuvent aider les utilisatrices et utilisateurs à sécuriser des mots de passe ou des phrases de passe, et à s'en souvenir. En outre, votre organisation devrait considérer la mise en œuvre de coffres-forts de mots de passe pour les comptes administratifs. Ces coffres-forts offrent une protection accrue, car les mots de passe ou phrases de passe sont soumis à des cycles et sont synchronisés avec vos systèmes.

Appliquer le principe du droit d'accès minimal

Le fait d'appliquer le principe de droit d'accès minimal peut vous aider à gérer et à surveiller les accès et les comptes utilisateur. Donnez au personnel uniquement accès aux fonctions et aux privilèges dont il a besoin pour réaliser son travail. Une façon d'y parvenir est de mettre en œuvre un contrôle d'accès basé sur les rôles, qui met en correspondance les droits d'accès des utilisatrices et utilisateurs au rôle qu'ils jouent dans l'organisation.

Restreindre les privilèges administratifs

Vous devriez limiter le nombre d'administratrices ou administrateurs, ou d'utilisatrices ou utilisateurs privilégiés pour ce qui est des systèmes d'exploitation et des applications. Les utilisatrices et utilisateurs ne doivent jamais avoir des accès privilégiés sur les systèmes de leur ordinateur de bureau ou portable. Les utilisatrices et utilisateurs disposant de privilèges d'administrateur devraient avoir un compte d'administrateur séparé avec des justificatifs d'identité distincts, peu importe l'environnement de votre organisation (en nuage, sur site ou hybride).

Vous devriez aussi créer des comptes dotés de niveaux de droits administratifs distincts afin de limiter les risques d'exposition dans l'éventualité où un compte d'administrateur serait compromis. De plus, vous devriez mettre en œuvre une confirmation pour chaque action qui nécessite des autorisations de niveau élevé.

Gestion et contrôle des privilèges administratifs (ITSAP.10.094)

Mettre à jour et corriger les systèmes et les dispositifs

Obtenez les mises à jour et les correctifs pour améliorer la performance et l'utilisabilité, et corrigez les vulnérabilités et les bogues connus de vos logiciels, matériels et systèmes d'exploitation. Les auteurs de menace peuvent facilement exploiter les systèmes et les dispositifs non corrigés ou qui ne sont pas pris en charge.

Application des mises à jour sur les dispositifs (ITSAP.10.096)

Désactiver les macros

Assurez-vous de désactiver les macros par défaut afin de réduire les risques de propagation des rançongiciels dans les pièces jointes de Microsoft Office. Les versions plus récentes de Microsoft Office désactiveront par défaut les macros provenant d'Internet.

Protection d'un organisme contre les macros malveillantes (ITSAP.00.200)

Segmenter les réseaux

Divisez votre réseau en plusieurs plus petites sections. Ainsi, il sera plus difficile pour un rançongiciel d'infecter l'ensemble du réseau. Votre organisation devrait faire l'inventaire de ses renseignements organisationnels essentiels et les catégoriser selon leur degré de sensibilité ou leur incidence sur la vie privée. Segmentez et groupez les services d'infrastructure répondant aux mêmes stratégies de sécurité des communications ou aux mêmes exigences en matière de protection de l'information.

No 5, Segmenter et séparer l'information (ITSM.10.092)

Mettre en place des outils de sécurité

Installez un antimaliciel et un antivirus sur vos systèmes afin de détecter les activités malveillantes et de sécuriser votre réseau avec un pare-feu pour protéger les dispositifs connectés. Pensez à installer un filtre de système d'adressage par domaines (DNS pour Domain Name System) sur vos dispositifs mobiles pour bloquer les sites Web malveillants et filtrer le contenu dommageable. L'Autorité canadienne pour les enregistrements Internet offre un service DNS de protection gratuit, le Bouclier canadien, qui empêche les connexions à des sites Web malveillants susceptibles d'infecter vos dispositifs ou de voler des renseignements personnels.

Mettez en place un protocole DMARC, un protocole d'authentification et de signalement qui aide à protéger les domaines de votre organisme contre l'usurpation, l'hameçonnage et d'autres activités malveillantes.

Assurez-vous que vos utilisatrices et utilisateurs se servent de votre réseau privé virtuel (RPV) pour accéder à votre réseau. Un RPV permet d'établir une connexion sécurisée entre deux points et peut servir à protéger les données sensibles lorsqu'elles sont en transit.

Faire appel à des professionnelles et professionnels de la cybersécurité

Dans le cas d'un cyberincident, le fait de communiquer tout de suite avec une professionnelle ou un professionnel de la cybersécurité peut vous permettre de récupérer vos systèmes et vos données plus rapidement qu'avec votre personnel de TI en interne.

Haut de la page

Se remettre d'une attaque par rançongiciel

Les étapes ci-dessous peuvent vous aider à éliminer ou à réduire la propagation d'un rançongiciel.

Isolez immédiatement les appareils

Déconnectez vos dispositifs pour arrêter la propagation du rançongiciel à d'autres dispositifs connectés. Nous vous recommandons de ne pas éteindre le dispositif une fois qu'il est isolé, ce qui permet de conserver les preuves criminalistiques.

Certaines souches de rançongiciels sont conçues pour rester en dormance sur un dispositif et se propager discrètement à d'autres dispositifs connectés aux réseaux avant de chiffrer des fichiers. Dans ces cas, il est possible que vous ne puissiez pas arrêter la propagation du rançongiciel.

Signalez l'incident

Songez à signaler les cyberincidents aux organismes d'application de la loi, comme le service de police local ou le Centre antifraude du Canada, ainsi qu'au Centre pour la cybersécurité en ligne par l'intermédiaire de Mon cyberportail.

Si vous êtes à l'aise de le faire, faites part de vos conclusions au Centre pour la cybersécurité, en indiquant les outils, les techniques et les procédés utilisés par l'auteur de menace.

Parlez de l'incident aux employées et employés qui figurent dans votre plan d'intervention en cas d'incident et donnez-leur des directives claires quant à leurs rôles et responsabilités pour aider à gérer l'incident. Ceux-ci devraient déjà être définis dans votre plan de reprise.

Changez vos phrases de passe

Réinitialisez vos justificatifs d'identité, y compris les phrases de passe de tous vos systèmes, dispositifs et comptes. Les auteurs de menace sauvegardent habituellement ces informations pour des attaques futures.

Déterminez quel est le type de rançongiciel auquel vous faites face

Utilisez les informations de la note de rançon (p. ex. les URL listées) et les nouvelles extensions dont vos fichiers chiffrés ont hérité afin d'alimenter vos recherches sur de possibles attaques récurrentes et d'identifier le rançongiciel. Cette information sera aussi utile pour les organismes d'application de la loi et/ou votre fournisseur contractuel de services de sécurité gérés, le cas échéant.

Si vous trouvez un outil de déchiffrement en ligne, ou si des organismes chargés de l'application de la loi peuvent en vous fournir un, procédez à la prise des mesures correctives.

Si aucun outil de déchiffrement n'est disponible en ligne pour la souche de rançongiciel à laquelle vous faites face, nettoyez toutes les données de votre dispositif de façon sécuritaire et réinstallez le système d'exploitation (si les organismes d'application de la loi ou un service de sécurité géré ne sont pas impliqués).

Nettoyage et élimination d'appareils électroniques (ITSAP.40.006)

Mettez en place des mesures correctives au point d'entrée

Avant de reconnecter vos systèmes et dispositifs à votre réseau ou à Internet, vous devez découvrir comment l'auteur de menace a réussi à accéder à votre environnement. Une fois les vecteurs identifiés, vous devriez appliquer les mesures de sécurité adéquates afin de prévenir une nouvelle attaque.

Restaurez vos systèmes et vos données à partir de votre copie de sauvegarde

Stockez vos copies de sauvegarde hors ligne pour atténuer les risques qu'un rançongiciel les infecte.

Analysez/balayez vos copies de sauvegarde pour vous assurer qu'aucun rançongiciel ou autre logiciel malveillant ne s'y trouve.

Une fois que vous êtes confiante ou confiant, restaurez vos systèmes et vos dispositifs à partir de vos copies de sauvegarde.

Mettez à jour vos systèmes et appliquez les correctifs

Mettez à jour tous vos dispositifs, matériels et logiciels et appliquez-leur les correctifs offerts. Appliquez les correctifs à votre système d'exploitation et assurez-vous que tous les antivirus, antimaliciels et pare-feu des logiciels sont à jour.

Passez en revue l'incident et offrez une formation continue

Passez en revue l'incident avec vos employées et employés.

Vous devriez aussi leur offrir une formation continue portant sur les mesures préventives qui permettent de se protéger contre les attaques par rançongiciel, comme apprendre à identifier des pièces jointes et des courriels suspects.

Servez-vous des menaces courantes et des incidents passés pour vous garder à jour et vous préparer pour le futur.

Haut de la page

Les risques associés au paiement d'une rançon

La décision de payer un auteur de cybermenace pour qu'il vous redonne l'accès à vos fichiers ou à vos dispositifs ne doit pas être prise à la légère. Avant d'envisager de payer une rançon, on vous recommande de communiquer avec le service de police local pour signaler le cybercrime. Payer la rançon demandée ne garantira pas pour autant l'accès à vos données chiffrées ou à vos systèmes. Même si vous payez la rançon, les auteurs de menace pourraient quand même :

demander plus d'argent;
continuer d'infecter vos dispositifs et systèmes ou ceux d'autres organisations;
attaquer votre organisation à nouveau;
copier, divulguer ou vendre vos données.

Pour en savoir plus

Consultez les documents suivants pour en savoir plus :

Haut de la page

Publication par le Centre pour la cybersécurité de la vue d’ensemble des menaces par rançongiciel de 2025 à 2027

2026-01-28T16:07:41Z

Guide sur les rançongiciels (ITSM.00.099)

2026-01-28T16:02:41Z

Format de rechange : Guide sur les rançongiciels (ITSM.00.099 - PDF, 1,30 Mo)

Vue d’ensemble

Un rançongiciel est un type de maliciel qui empêche une utilisatrice ou un utilisateur légitime d’accéder à des ressources (système ou données) jusqu’à ce qu’il verse une rançon. Cette situation peut avoir un effet dévastateur sur les organisations et les particuliers. Les organisations risquent de perdre l’accès à leurs données et à leurs dispositifs essentiels, ce qui les empêcherait de mener leurs activités ou de servir la clientèle.

Nous avons constaté une recrudescence des attaques par rançongiciel touchant autant des organisations canadiennes que des particuliers. L’Évaluation des cybermenaces nationales 2025 2026 (ECMN) précise que les rançongiciels constituent la principale menace émanant de la cybercriminalité à laquelle font face les secteurs des infrastructures essentielles du Canada. Les rançongiciels perturbent directement la capacité des entités des infrastructures essentielles à offrir des services critiques, ce qui peut nuire au bien être physique et émotionnel des victimes. Au cours des deux prochaines années, les auteurs de menace menant des attaques par rançongiciel demeureront une menace importante pour le Canada.

Les auteurs de menace ont adapté leurs tactiques de façon à forcer les organisations victimes à payer une rançon en menaçant de divulguer les données ou les justificatifs d’authentification volés dans le but d’humilier publiquement l’organisation ciblée. Selon l’ECMN, les auteurs d’attaques par rançongiciel continueront très probablement à utiliser les avancées de l’intelligence artificielle (IA) et de la cryptomonnaie pour développer de nouvelles tactiques d’extorsion lucratives. Les incidents liés aux rançongiciels sont devenus de plus en plus sophistiqués, ciblés et complexes. Il devient également de plus en plus difficile pour une organisation de se défendre contre ces attaques et de s’en remettre, plus particulièrement si elle possède peu de ressources pour faire face à la situation.

Les tactiques opérationnelles des auteurs de menace se font également plus discrètes. Elles impliquent l’accès aux systèmes de communication d’une organisation pour repérer les systèmes essentiels et les données de grande importance qui pourraient causer une atteinte à la réputation si ces données étaient divulguées. Les auteurs de menace déploient ensuite le rançongiciel aux jeux de données et aux systèmes les plus importants ou ayant la plus grande valeur, compromettant ainsi l’organisation. De plus, les auteurs de menace surveillent étroitement les communications et les mesures de reprise prévues de l’organisation pour miner ses efforts et infiltrer davantage les réseaux et les dispositifs connectés.

Les renseignements contenus dans la présente publication visent à informer les organisations et à les aider à réduire les risques d’attaques par rançongiciel, à atténuer les conséquences de ces attaques et à prendre des mesures préventives pour les contrer. Ils peuvent également aider les organisations à définir leurs exigences opérationnelles et de sécurité, ainsi qu’à mettre en œuvre des politiques et procédures pertinentes relatives à la cybercriminalité.

La présente publication traite des rançongiciels, des motivations et gains des auteurs de menace, de même que des mesures à prendre pour empêcher ces attaques et protéger votre organisation. La publication se divise en trois sections :

Découvrir les rançongiciels : Cette section vise à définir un rançongiciel et à exposer les vecteurs communs utilisés pour infecter les réseaux et les dispositifs.
Se défendre contre les cybermenaces : Cette section vise à fournir une liste de mesures préventives pour protéger votre organisation et à offrir des listes de vérification pour certaines mesures d’atténuation précises. Lorsque vous appliquez ces mesures, vous disposez de meilleures pratiques exemplaires en cybersécurité et d’une protection accrue contre les cyberincidents et les auteurs de menace, y compris les rançongiciels.
Se remettre d’un incident lié à un rançongiciel : Cette section donne des indications sur les mesures immédiates à prendre dès la découverte d’un rançongiciel, sur les mesures de reprise et sur les méthodes nécessaires pour évaluer l’incident et renforcer les mesures de sécurité. En suivant les recommandations dans cette section, les organisations pourront réagir efficacement à un incident et réduire le risque de devenir victimes d’une attaque par rançongiciel à répétition.

Si vous croyez être la victime d’une attaque par rançongiciel :

Lisez les conseils sur la façon de se remettre d’une cyberattaque à la section Se défendre contre les cybermenaces.
Signalez l’incident lié à un rançongiciel :
1. au service de police local;
2. au Centre antifraude du Canada;
3. au Centre pour la cybersécurité.
Après avoir entrepris les efforts de reprise, consultez la section Se remettre d’un incident lié à un rançongiciel pour savoir comment améliorer votre environnement de cybersécurité.

Table des matières

Vue d’ensemble des menaces par rançongiciel de 2025 à 2027

2026-01-28T16:00:00Z

Format de rechange: Vue d’ensemble des menaces par rançongiciel de 2025 à 2027 (PDF, 2 Mo)

Table des matières

Considérations liées à la cybersécurité pour l’utilisation de drones

2026-01-27T19:41:45Z

Janvier 2026

Série Sensibilisation

ITSAP.00.143

Janvier 2026 | Série Sensibilisation

Les drones sont des systèmes de véhicules mobiles qui peuvent fonctionner de manière autonome ou semi autonome, sans intervention humaine. Selon leur conception et leur fonction, on les appelle aussi des systèmes télécommandés, des systèmes d’aéronefs télépilotés, ou des véhicules terrestres ou sous marins sans équipage.

Avant de déployer un drone, il convient de mener une évaluation des menaces et des risques. L’évaluation permettra de repérer les menaces possibles à la sécurité et de déterminer les mesures de cybersécurité à prendre pour les atténuer. En comprenant les risques associés à l’utilisation de drones à des fins commerciales ou opérationnelles, votre organisation sera plus en mesure de protéger ses systèmes, ses données et ses réseaux.

Sur cette page

Types de drones
Fonctionnement des drones
Risques associés aux drones
Risques liés à l’intelligence artificielle
Risques liés aux plateformes de gestion et aux logiciels
Éléments à prendre en compte dans la sélection d’un fournisseur
Considérations relatives aux drones maison
Sécuriser son drone
Pour en savoir plus

Types de drones

Il existe de nombreux styles de drones, ayant des formes différentes et servant à diverses fins. Ils se classent généralement en trois types principaux selon leur conception et leur utilisation prévue (commerciale, maison et professionnelle).

Drones commerciaux

Les drones commerciaux sont produits par des organisations commerciales et servent à soutenir les activités des entreprises et des particuliers. Ces drones ont des applications très diverses, selon le domaine ou le secteur d’activités. La photographie aérienne, la pulvérisation agricole et la livraison de colis en sont des exemples. Ils sont généralement fabriqués à partir de pièces de base acquises auprès de chaînes d’approvisionnement à faible sécurité.

Drones maison

Les drones maison sont créés et fabriqués par des personnes, souvent à des fins personnelles. Ces drones peuvent également être fabriqués par des organisations et utilisés pour contrôler des fonctions qui seraient habituellement gérées par des tiers. Ils sont généralement fabriqués à partir d’une combinaison de matériel, de logiciels et de pièces sur mesure, ce qui permet de suivre davantage les chaînes d’approvisionnement.

Drones professionnels

Les drones professionnels sont utilisés dans les milieux critiques, comme les forces armées et les opérations de recherche et sauvetage. Ces drones sont utilisés pour exécuter certaines tâches, comme la surveillance périmétrique, les interventions d’urgence et les inspections industrielles. Ils comportent habituellement des composants qui assurent un suivi et un contrôle totaux du contenu de la chaîne d’approvisionnement.

Les drones professionnels peuvent être utilisés à de nombreuses fins, notamment :

les loisirs;
la surveillance;
le commerce;
la collecte de données;
la surveillance et l’inspection des infrastructures;
les interventions en cas d’urgence;
la sécurité publique;
la protection.

Fonctionnement des drones

Les drones peuvent fonctionner sans connexion physique à un contrôleur (p. ex. non captif et à distance). Ils fonctionnent de manière semi autonome au moyen de contrôles de la stabilité, en suivant une trajectoire préprogrammée ou par action humaine. Certains drones permettent des modes de fonctionnement entièrement autonomes, en utilisant des systèmes embarqués pour naviguer et effectuer des tâches sans intervention humaine en temps réel. Les drones qui suivent un modèle sont un exemple de mode autonome. Certains drones se connectent à Internet ou exigent que les données soient transmises par Internet. La plupart d’entre eux comptent sur les systèmes satellites pour leur fournir des services de localisation GPS et de synchronisation.

La fonctionnalité d’un drone est prise en charge par deux composants principaux : les systèmes embarqués et les systèmes non embarqués.

Voici des exemples de systèmes embarqués :

Ordinateur de commande centrale
Modules de communication
Contrôles des mouvements et de la stabilité
Outils de localisation et de navigation (système GPS, capteurs visuels et acoustiques)
Outils de collecte de données (caméras, microphones)

Voici des exemples de systèmes non embarqués :

Station de commande (ordinateur, dispositif mobile)
Interface utilisateur pour la surveillance et l’émission de commandes
Systèmes de présentation et de stockage des données

Risques associés aux drones

Les drones sont vulnérables à diverses cybermenaces qui peuvent compromettre leur fonctionnalité et les données qu’ils recueillent. Plus particulièrement, les drones peuvent poser un risque important pour votre organisation lorsqu’ils sont connectés directement ou indirectement à votre réseau. Ce sont des dispositifs non fiables, c’est à dire que les auteurs de menace peuvent utiliser leur connexion comme vecteur d’attaque ou pour accéder à distance à votre environnement.

Un autre risque commun concerne les drones induits en erreur par les entraves à la navigation par satellite. Par exemple, les signaux peuvent être brouillés ou usurpés pour créer de faux signaux et empêcher les communications d’atteindre le drone. Cela peut faire dévier le drone sans qu’il se rende compte du changement de trajectoire. L’interférence électromagnétique involontaire peut également perturber les signaux de communication des drones.

Si votre drone est compromis, les auteurs de menace pourraient :

prendre les commandes du drone de la personne autorisée à le diriger;
voler les mécanismes d’authentification et de chiffrement utilisés par les drones pour obtenir l’accès;
acquérir des images, l’emplacement de la personne qui dirige le drone et d’autres données saisies par les capteurs;
accéder à de l’information sensible au moyen d’images de drones qui contiennent des métadonnées, révélant les activités opérationnelles (p. ex. estampilles temporelles et coordonnées de localisation);
exploiter les vulnérabilités d’autres systèmes en injectant des maliciels.

Risques liés à l’intelligence artificielle

Les drones dotés de fonctions d’intelligence artificielle (IA) peuvent être vulnérables à différents modes d’attaque. Les entrées manipulées dans le drone peuvent amener les modèles d’IA à mal interpréter les données, ce qui peut mener à de mauvaises décisions. Voici des exemples d’attaques liées à l’IA.

Manipulation des données

Les images peuvent être manipulées pour tromper les systèmes de navigation intelligents en modifiant les entrées capteur ou les objets physiques. Cela peut amener les systèmes de navigation à mal interpréter l’information et pourrait entraîner des résultats opérationnels imprévus ou non souhaités.

Empoisonnement de données

Les auteurs de menace peuvent corrompre les données de formation au moyen d’attaques par empoisonnement de données. Cela peut entraîner la prise de mauvaises décisions en matière d’IA.

Attaque en essaim

Les auteurs de menace peuvent mener des attaques en essaim qui permettent à plusieurs drones dotés de l’IA de fonctionner de manière autonome et de coordonner leurs actions pour écraser les défenses.

Attaque par déni de service

Les auteurs de menace peuvent obtenir un accès non autorisé en vue d’exécuter des codes arbitraires (p. ex. au moyen de commandes ou de codes pour désactiver le drone ou son processus) en raison de vulnérabilités logicielles traditionnelles.

Risques liés aux plateformes de gestion et aux logiciels

Les plateformes de gestion des drones de même que les logiciels utilisés pour exploiter et gérer les drones comptent sur les éléments suivants :

Connexions à distance
Plateformes infonuagiques
Capteurs de données de télémétrie de vol
Infrastructure infonuagique

Ces plateformes et logiciels peuvent exposer vos drones et vos données à d’autres menaces. S’ils sont compromis, vos drones et vos données risquent de se faire voler leurs images et leurs coordonnées, de perdre le contrôle et de perdre de l’information sensible. Certaines de ces plateformes peuvent recourir à des justificatifs d’authentification sensibles utilisés pour accéder à des niveaux de sécurité plus élevés, ce qui peut présenter un risque accru pour vos données en cas de compromission.

Éléments à prendre en compte dans la sélection d’un fournisseur

Au moment de sélectionner un fournisseur ou un fabricant de drones, il convient de poser des questions liées à la cybersécurité, comme les suivantes :

Le fabricant de drones adopte t il des pratiques de sécurité dès la conception et la sécurité par défaut?
- Les produits qui intègrent la sécurité dès la conception et la sécurité par défaut priorisent la sécurité des clients comme exigence opérationnelle de base
Comment le drone réduit il les effets des attaques par usurpation et par brouillage des satellites?
Le drone, le contrôleur et les périphériques ont ils fait l’objet d’une analyse des vulnérabilités? Les conclusions de cette analyse ont elles été communiquées par un tiers indépendant certifié?
Peut on obtenir une liste des dépendances et des composants utilisés dans l’application logicielle auprès du fabricant?
- Cela s’impose pour tenir compte de la portée des vulnérabilités ou des mesures d’atténuation dans le logiciel utilisé pour le drone et les systèmes connexes.
Peut on obtenir des renseignements sur la chaîne d’approvisionnement concernant le drone et les périphériques?
- La connaissance des chaînes d’approvisionnement utilisées dans la fabrication du drone et du système connexe fournit de l’information sur les vulnérabilités potentielles.
Quels documents peut on consulter pour s’assurer que les méthodes de chiffrement appropriées ont été validées, appliquées et soumises à des essais rigoureux?
- Pour en savoir plus sur les méthodes de chiffrement appropriées, veuillez consulter les Conseils sur la mise en œuvre de l’agilité cryptographique (ITSAP.40.018).

En ce qui concerne la fonctionnalité utilisateur et les mesures de sécurité que vous pourriez devoir suivre, il importe de tenir compte des questions suivantes :

Le drone, le contrôleur et les périphériques exigent ils des mises à jour fréquentes?
- Les micrologiciels et les logiciels ne doivent être mis à jour qu’en cas de nécessité (p. ex. pour installer des correctifs de sécurité).
- Effectuer des mises à jour sur les systèmes distincts et isolés afin de protéger les opérations et les renseignements sensibles.
Peut on inverser les mises à jour des micrologiciels du drone, du contrôleur et des périphériques ou restaurer la version précédente?
- Avant d’installer les correctifs, veuillez passer en revue les renseignements connexes pour connaître les éléments de sécurité qui s’imposent, car les mises à jour peuvent comprendre des caractéristiques indésirables ou ajouter d’autres vulnérabilités.
Doit on installer des pilotes et des logiciels propriétaires sur les systèmes pour traiter les données avec le drone?
- Un dispositif ayant accès à vos systèmes pourrait exposer ces derniers à des auteurs de menace.
Le micrologiciel ou tout autre logiciel utilisé pour contrôler le drone ou interagir avec celui ci peut il être soumis à une analyse statique du code (p. ex. l’examen du code source pour cerner les vulnérabilités)?
- Cette mesure renforce la cybersécurité et permet à divers tiers de procéder à la numérisation et à l’analyse pour détecter les vulnérabilités.
Utilise-t-on un chiffrement fort pour stocker et transmettre des images saisies par des drones?
- Le chiffrement permet de sécuriser les données stockées sur un drone et transférées vers celui ci et en provenant.
Le drone peut il stocker des images et des données en utilisant la mémoire embarquée (p. ex. une carte SD)?
- Il peut être plus sûr de recourir à un périphérique sécurisé, plutôt qu’à un logiciel propriétaire, pour stocker des données et les importer vers un dispositif externe scanné.
Le drone, le contrôleur et les périphériques se connectent ils à une plateforme infonuagique?
- La connexion à une plateforme infonuagique peut introduire des vulnérabilités et des menaces liées au nuage.

Considérations relatives aux drones maison

Si vous choisissez de créer ou d’utiliser un drone maison, il convient de tenir compte des mesures de cybersécurité suivantes :

S’assurer que le code source est de source ouverte et qu’il a été vérifié par une organisation certifiée.
Veiller à appliquer des pratiques de chiffrement rigoureuses pour coder les images stockées et transmises.
Soumettre le drone à des tests exhaustifs et apporter des améliorations au besoin.
Envisager le recours à des systèmes redondants (p. ex. s’assurer que le système fonctionnera au besoin en cas de défaillance d’une ou de plusieurs pièces).
S’assurer qu’il existe des systèmes de prise en charge à distance d’urgence aux fins de supervision humaine.
S’assurer que l’architecture de système est bien documentée et qu’elle comprend tous les composants.
Surveiller et consigner les activités aux fins d’amélioration continue des mesures de sécurité (p. ex. intervention en cas d’incident).

Sécuriser son drone

De nombreuses considérations liées à la cybersécurité doivent être prises en compte dans la configuration et la sécurisation de votre drone. Les mesures suivantes peuvent renforcer la sécurité de votre drone et de vos données :

Utiliser, pour le drone, un contrôleur spécialisé ou autonome plutôt qu’un dispositif mobile servant à d’autres fins.
Établir une zone ou un environnement isolé pour l’utilisation de drones afin de pouvoir surveiller et contrôler l’accès au réseau.
S’assurer que les réseaux qu’utilisent les drones et les systèmes connexes sont séparés des réseaux utilisés par d’autres systèmes fiables pour isoler la menace d’autres environnements sensibles.
Recourir à un chiffrement fort pour sécuriser les données transférées vers le dispositif et en provenant.
Configurer un environnement isolé séparé et sécurisé pour transférer, installer et analyser les données enregistrées et les applications requises (p. ex. mises à jour et correctifs).
Pour transférer des données sensibles, utiliser une carte SD ou un périphérique externe plutôt que des connexions en nuage.
Désactiver les connexions en nuage par défaut.
- Si le recours au nuage s’avère nécessaire, utiliser des plateformes infonuagiques locales dotées d’un chiffrement fort pour protéger les données en transit et au repos.
Atténuer les attaques par brouillage ou usurpation en intégrant des outils (p. ex. des systèmes microélectromécaniques ou câbles à fibres optiques) qui reconnaissent d’autres signaux et peuvent être utilisés pour d’autres méthodes de guidage.

Il convient d’envisager le recours aux outils de sécurité suivants pour assurer la vigilance et surveiller les données et les activités de votre drone :

Prendre note des renseignements auxquels le drone pourrait avoir accès et qui pourraient être communiqués à des tiers lors de la configuration de votre dispositif.
Faire attention à la nature des données transmises à des serveurs à distance et utiliser un réseau privé virtuel pour transférer les données.
Demander une copie du code source du micrologiciel et des autres logiciels de drone afin que l’équipe des TI puisse en effectuer une analyse statique.
Demander l’attestation d’une évaluation des vulnérabilités exhaustive effectuée par un tiers.
Surveiller les activités suspectes en mettant en place un système de détection et de prévention d’intrusion sur le réseau utilisé par les drones pour détecter et bloquer immédiatement le trafic.
Utiliser des journaux de surveillance pour indiquer les vulnérabilités, sécuriser davantage l’information sensible et appliquer des correctifs là où une sécurité accrue s’impose.
Implanter une architecture à vérification systématique pour le traitement des données sensibles et pour atténuer les risques liés à l’IA.

Pour en savoir plus

Que faire en cas de compromission par une cyberattaque (ITSAP.00.009)

2026-01-21T16:49:59Z

Janvier 2026

Série sensibilisation

ITSAP.00.009

Janvier 2026 | Série sensibilisation

Les cyberattaques sont courantes et peuvent avoir des répercussions sur des organisations de toutes tailles, dans tous les secteurs. La présente publication fournit des conseils sur les mesures à prendre dans les moments critiques suivant la détection d’une compromission afin de réduire les répercussions sur votre organisation.

Sur cette page

Ce qu’il faut faire après avoir découvert une compromission
Réponse recommandée du service des TI à une compromission
Pour en savoir plus

Ce qu’il faut faire après avoir découvert une compromission

Les moments qui suivent immédiatement la détection d’une compromission sont cruciaux pour réduire au minimum les répercussions. Il convient de prendre les mesures suivantes immédiatement après la détection.

Laisser le système en marche

Votre appareil renferme des preuves criminalistiques éphémères qui peuvent servir à déterminer la source et l’ampleur de la compromission soupçonnée. Bien qu’il puisse sembler évident de redémarrer votre appareil pour voir si le problème persiste, il est important de laisser en marche tous les appareils potentiellement compromis. Il convient de noter les renseignements importants qui pourraient être perdus.

Pour mieux conserver ces preuves :

verrouillez le système;
n’éteignez PAS le système;
ne redémarrez PAS le système;
ne fermez PAS la session de l’utilisatrice ou utilisateur actuel.

Ne détruisez aucune preuve criminalistique pendant toute la durée de l’enquête. La fermeture de session, ou même le retrait temporaire de la source d’alimentation de l’appareil, effacera toutes les données éphémères.

Vérifier l’incident

Contactez votre service des TI afin qu’il effectue un balayage complet des appareils concernés. Il peut confirmer si le problème est vraiment un incident et si l’appareil principal est compromis. Pour aider le service des TI à vérifier l’incident, assurez vous d’avoir les renseignements suivants :

Quand vous avez soupçonné une compromission pour la première fois
Quels appareils vous croyez sont compromis
Qui avait accès à l’information et aux appareils compromis
Qui a accès aux appareils, et si l’accès est requis
Quand vous avez effectué les dernières mises à jour du système et des logiciels
Quels types de renseignements vous croyez ont été volés
Combien de personnes vous croyez ont été touchées, et si vous avez leurs coordonnées
Qui est le point de contact désigné pour votre organisation
Si le point de contact désigné a le pouvoir d’autoriser et d’utiliser l’imagerie judiciaire aux fins d’enquête

Haut de la page

Réponse recommandée du service des TI à une compromission

Une fois que votre service des TI a vérifié qu’un incident s’est produit et qu’il y a eu compromission, il doit prendre les mesures suivantes pour intervenir. La prise de ces mesures permettra de réduire au minimum les répercussions de la compromission sur votre organisation.

Circonscrire l’incident

Selon l’appareil ou l’ampleur de la compromission, vous pourriez devoir utiliser plusieurs techniques afin d’assurer un isolement intégral :

Isoler du réseau tous les appareils et systèmes compromis à l’aide d’outils qui prennent en charge une fonction de mise en quarantaine.
Placer les appareils compromis dans un réseau local virtuel distinct.
Désactiver la carte d’interface réseau.
Refuser la connexion Wi Fi ou retirer le câble de réseau.
Passer en revue les privilèges d’accès et de contrôle de votre organisation et limiter l’accès dans la mesure du possible.
Révoquer l’accès aux applications ou services de tierces parties connectés aux comptes compromis; examiner et gérer les autorisations liées aux applications.

Informer les parties prenantes concernées

En cas d’incident, assurez vous d’en informer les membres de votre organisation qui ont un besoin de savoir. Consultez une conseillère ou un conseiller juridique et financier, au besoin. Pensez à contacter un fournisseur de services compétent, comme un fournisseur de services infonuagiques ou un fournisseur de services gérés, qui pourrait vous offrir une aide supplémentaire et des mesures de sécurité pendant votre enquête.

La Loi sur la protection des renseignements personnels s’applique au gouvernement du Canada, tandis que les organismes du secteur privé sont régis par la Loi sur la protection des renseignements personnels et les documents électroniques. Les organismes du secteur privé doivent :

déclarer au commissaire à la protection de la vie privée du Canada toute violation de données ayant trait à des renseignements personnels qui présente un risque de préjudice grave à l’endroit de personnes;
aviser les personnes concernées par la violation;
conserver les dossiers liés à la violation.

Recueillir des preuves

Avant d’amorcer une enquête, votre organisation aurait avantage à aménager un poste de travail spécialisé en criminalistique afin de réduire au minimum la contamination par d’autres appareils. De plus, votre organisation devra s’assurer que l’autorité compétente a approuvé ces mesures d’enquête. Nous vous recommandons de prendre note de toutes les mesures prises, ainsi que du but de chaque tâche. Votre service des TI peut également prendre les mesures suivantes pour recueillir des preuves pour l’enquête.

Acquérir des preuves éphémères

Les preuves éphémères sont des données qui ne sont présentes que lorsque l’appareil est en marche, comme la mémoire vive (RAM pour random access memory). Il est essentiel que l’appareil compromis reste en marche jusqu’à ce que toutes les preuves criminalistiques éphémères soient recueillies et conservées. Les preuves recueillies doivent être stockées sur un appareil externe pour les conserver en lieu sûr.

Acquérir des preuves non éphémères

Les preuves non éphémères sont des données qui persistent même en cas de perte d’alimentation, comme des images physiques (une copie bit à bit des données sur le disque).

Vérifier le chiffrement BitLocker

BitLocker est une fonction de chiffrement de volume intégral des produits Microsoft Windows conçue pour protéger les données en assurant le chiffrement de volumes entiers. Si vous recueillez des données chiffrées BitLocker, assurez vous d’avoir la clé de récupération BitLocker à portée de main.

Haut de la page

Pour en savoir plus

Haut de la page

Élaboration d’un plan de reprise informatique personnalisé (ITSAP.40.004)

2026-01-16T19:05:05Z

Janvier 2026

Série sensibilisation

ITSAP.40.004

Janvier 2026 | Série sensibilisation

Les pannes non planifiées, les cyberattaques et les catastrophes naturelles peuvent survenir sans crier gare. Par conséquent, votre organisation pourrait perdre des données ou subir des périodes d’indisponibilité risquant de perturber ou d’interrompre vos activités opérationnelles essentielles. Les pannes non planifiées peuvent être coûteuses et avoir des effets durables sur vos activités. Dans le cadre de votre approche générale visant la continuité de vos activités, avec un minimum de temps d’arrêt, nous vous recommandons d’intégrer un plan de reprise informatique à vos activités de planification. Votre plan de reprise informatique doit identifier les données, les applications et les processus critiques. De plus, il doit définir comment procéder pour la reprise des services des TI afin de soutenir les opérations, les produits et les services de votre organisation.

Sur cette page

Tolérance de votre organisation face aux possibles perturbations opérationnelles
Fonctions, applications et données critiques de votre organisation, classées les selon leur priorité
Création d’un plan de reprise informatique
Choix d’une stratégie de reprise
Tests de votre plan de reprise informatique
En savoir plus

Votre plan de reprise informatique doit clairement identifier et documenter les éléments à rétablir après un incident, le moment et l’endroit approprié pour ce faire ainsi que les personnes responsables.

En général, il existe trois types de plans de reprise pertinents pour les organisations. Ceux-ci prennent en considération les événements majeurs pouvant causer une panne non planifiée et nécessitant d’appliquer des mesures d’intervention et de reprise.

Plan d’intervention en cas d’incident : Plan centré sur les événements qui s’applique spécifiquement à un incident de sécurité qui affecte une organisation, comme une cyberattaque.
Plan de continuité des activités : Plan pour assurer une reprise rapide des opérations les plus critiques en cas de catastrophe, comme défini dans l’analyse des répercussions sur les opérations.
Plan de reprise après sinistre : Plan global pour un retour aux opérations complètes de votre organisation après une catastrophe.

Tolérance de votre organisation face aux possibles perturbations opérationnelles

Lors de la mise au point d’un plan de reprise efficace, vous devez adapter votre stratégie afin de répondre aux impacts associés aux incidents pouvant survenir dans votre organisation. Votre plan doit également préciser le niveau d’interruption acceptable pour votre organisation, le cas échéant. Il existe trois mesures clés à prendre en considération dans votre plan :

Période d’indisponibilité maximale : Période totale d’indisponibilité de processus sans que cela cause des dommages importants à vos activités.
Objectif de point de rétablissement : Mesure du niveau de perte de données tolérable pour votre organisation.
Objectif de délai de rétablissement: Temps prévu et niveau de service nécessaires pour répondre aux attentes minimales du propriétaire du système.

Fonctions, applications et données critiques

Votre plan doit déterminer les données, les applications et les fonctions critiques de votre organisation. Les données critiques incluent les dossiers financiers, les actifs exclusifs et les données personnelles.

Les applications critiques sont les systèmes qui permettent d’exécuter vos fonctions d’affaires clés et qui sont essentiels à vos activités. Elles correspondent aux systèmes devant être rétablis immédiatement en cas de panne non planifiée pour la continuité des activités.

Pour établir vos fonctions, applications et données critiques, vous devez mener une évaluation des risques qui permettra d’identifier les menaces et les vulnérabilités. De plus, pour déterminer les participantes et participants et les parties prenantes concernés, vous pouvez appliquer différents scénarios particuliers (cyberattaque, panne majeure ou catastrophe naturelle). Une évaluation de tels scénarios vous aidera également à répondre à vos risques les plus probants, à mettre au point des stratégies d’atténuation et à établir les délais et les efforts de reprise.

Menez une analyse des répercussions sur les opérations (ARO) pour prédire les effets des interruptions ou des incidents sur vos activités, vos processus opérationnels, vos systèmes et vos finances. Lors de votre ARO, vous devez aussi évaluer les données collectées et les applications utilisées afin de déterminer leur criticité et d’établir les priorités pour une reprise immédiate.

Création d’un plan de reprise informatique

Réalisez les étapes suivantes lors de la création du plan de reprise informatique de votre organisation.

Déterminez les parties prenantes, y compris les clientes et clients, les fournisseurs, les propriétaires opérationnels, les propriétaires des systèmes et les gestionnaires.
Sélectionnez les membres de votre équipe d’intervention et affectez les rôles et responsabilités connexes.
Réalisez l’inventaire de votre matériel, de vos logiciels et de vos actifs.
Déterminez les fonctions, les applications et les données critiques de votre organisation, classez-les selon leur priorité.
Établissez des objectifs de reprise clairs.
Définissez les stratégies de sauvegarde et de reprise.
Testez votre plan périodiquement.
Mettez au point un plan de communication afin d’informer les principales parties prenantes.
Mettez au point un programme de formation pour les employées et employés afin de vous assurer que toutes les personnes connaissent leurs rôles et leurs responsabilités, ainsi que l’ordre de déroulement des opérations en cas de panne non planifiée.
Engagez des fournisseurs de services gérés, au besoin, pour fournir de l’aide supplémentaire et faciliter vos efforts de reprise.

Choix d’une stratégie de reprise

Il existe différentes options à considérer lors de la mise en œuvre d’une stratégie de reprise. Vous devez toutefois choisir une stratégie qui saura répondre à vos besoins d’affaires et à vos exigences de sécurité.

Site branché, site chaud, salle blanche

Site branché
- Site de secours avec les mêmes serveurs et équipements que votre site principal.
- Fonctions identiques au site principal et exécution en continu afin d’assurer le relais en cas de panne.
- Synchronisation des données (période variant de quelques minutes à quelques heures) afin de réduire les risques de perte de données.
Site chaud
- Site de secours doté d’une connectivité réseau et de quelques éléments d’équipement.
- Nécessite une configuration pour fonctionner au maximum de la capacité, comparativement à votre site principal.
- Synchronisation des données survenant moins souvent, ce qui peut ainsi causer certaines pertes de données.
Salle blanche
- Site de secours présentant peu ou pas d’équipement.
- Nécessite plus de temps et de ressources pour la configuration et le rétablissement des activités opérationnelles.
- Synchronisation des données pouvant être difficile et longue, car les serveurs devront être migrés de votre site principal (ce qui peut mener à des risques plus élevés de perte de données).

Réplication du stockage

Une réplication de stockage est une copie de vos données en temps réel d’un emplacement vers un autre au moyen d’un réseau de stockage, d’un réseau local ou d’un réseau étendu. Puisque la réplication s’effectue en temps réel, on utilise souvent le concept de réplication synchrone pour y référer. Vous pouvez aussi exploiter une réplication asynchrone, qui crée une copie des données au moyen d’un horaire prédéfini.

Redondance de disques

Une redondance de disques réplique les données sur deux ou plusieurs disques durs. Le système de redondance pourra alors automatiquement basculer les données critiques sur un serveur ou un réseau de secours après une panne non planifiée de votre système principal. De plus, même si vous n’êtes pas en mesure de rétablir vos systèmes, la copie redondante pourra vous être d’un grand secours. Il est cependant important que la copie mise en miroir soit sauvegardée sur un serveur ou un emplacement séparé qui ne risque pas d’être affecté par une panne.

Reprise infonuagique ou locale

Une plateforme de reprise infonuagique vous permet une connectivité facile, à partir de n’importe où, au moyen d’une grande variété de dispositifs. Une telle plateforme favorise ainsi une sauvegarde fréquente de vos données. De plus, ce type de solution peut être moins coûteux du point de vue de l’achat et des opérations d’entretien, comparativement à une plateforme locale, car vous ne payez que pour l’espace nécessaire, au moment où vous en avez besoin. Le recours au nuage peut également permettre de réduire ou d’éliminer le recours à un site de reprise hors site séparé.

Tests de votre plan de reprise informatique

Les tests sont très importants. Ils permettent de repérer les incohérences et de traiter les points devant être réévalués. Assurez-vous toutefois d’utiliser un environnement de test afin d’éviter d’interrompre vos activités. Voici quelques exemples de stratégie de test :

Liste de vérification : Lisez tous les éléments de la liste et expliquez les étapes du plan de reprise
Parcours : Parcourez les étapes sans toutefois les réaliser
Simulation : Simulez un incident ou une catastrophe afin de familiariser l’équipe de reprise à leurs rôles et à leurs responsabilités
Tests parallèles : Établissez et testez les systèmes de reprise afin de voir s’il est possible de réaliser les opérations pour soutenir les processus clés. Vos systèmes principaux resteront en mode de production complet pendant ce temps.
Tests de transfert : Configurez vos systèmes de reprise afin d’assurer une reprise de toutes vos activités opérationnelles, puis déconnectez vos systèmes principaux. Ce type de test occasionne des perturbations des activités et nécessite une planification supplémentaire.

En savoir plus

Renforcement de la cyberrésilience grâce à une préparation en cas d’urgence (ITSM.10.014)

2026-01-16T19:03:39Z

Janvier 2026

Série gestionnaires

ITSM.10.014

Janvier 2026 | Série gestionnaires

Format de rechange : Renforcement de la cyberrésilience grâce à une préparation en cas d'urgence – ITSM.10.014 (PDF, 800 Ko)

Avant-propos

La présente publication est un document non classifié publié avec l'autorisation du dirigeant principal du Centre canadien pour la cybersécurité (Centre pour la cybersécurité). Pour de plus amples renseignements, veuillez communiquer avec le Centre pour la cybersécurité :

email contact@cyber.gc.ca |Mobile 613-949-7048 or 1‑833‑CYBER‑88

Date d'entrée en vigueur

Le présent document entre en vigueur en janvier 2026.

Historique des révisions

Première version : 1 janvier, 2026

Présentation

Votre plan de préparation en cas de cyberurgences offrira à votre organisation une stratégie pour prévenir les cyberincidents, y répondre et garantir une reprise efficace. La mise en œuvre d'une stratégie de préparation en cas de cyberurgences nécessite des efforts collaboratifs de la part des intervenants dans toute votre organisation. Votre stratégie devrait mettre en évidence les aspects importants de vos procédures d'intervention en cas d'urgence, comme les étapes à entreprendre pour répondre à un incident, les personnes à contacter dans une telle éventualité ainsi que les ressources qui seront nécessaires pour l'application générale de votre plan. Une stratégie de préparation en cas de cyberurgences aidera votre organisation à gérer les risques et à améliorer sa résilience dans l'éventualité d'une catastrophe.

La présente publication décrit une stratégie de préparation en cas de cyberurgences dans le contexte de la cybersécurité. Cette stratégie doit ainsi inclure un plan d'intervention en cas d'incident (PICI), un plan de continuité des activités (PCA) et un plan de reprise après sinistre (PRS). La différence entre ces trois plans est détaillée dans la publication, ainsi que les justifications pertinentes pour mettre au point et mettre en œuvre les trois plans. Cela vous permettra de renforcer votre cyberrésilience ainsi que vos capacités à maintenir vos activités en cas d'incident ou de perturbation majeure.

Votre plan de préparation en cas de cyberurgences doit être aligné avec le cadre de gestion des risques de sécurité que vous aurez choisi. Par exemple :

Gestion des risques liés à la sécurité : Une méthode axée sur le cycle de vie (ITSG-33) du Centre pour la cybersécurité
Cyber Security Framework (en anglais seulement) du National Institute of Standards and Technology (NIST)
Sécurité de l'information, cybersécurité et protection de la vie privée − Mesures de sécurité de l'information du International Organization for Standardization (ISO)

L'intégration de votre plan de préparation en cas d'urgence au cadre de sécurité de votre organisation favorisera un renforcement de la cyberrésilience et une meilleure protection de la confidentialité, de l'intégrité et de la disponibilité de vos actifs organisationnels.

Nous vous recommandons de signaler les cyberincidents au Centre pour la cybersécurité à partir de notre outil de signalement en ligne. Nous pouvons fournir à votre organisation des conseils, des directives ainsi que des services en matière de cybersécurité afin de vous aider à atténuer les répercussions des cyberincidents actuels et de mieux vous protéger contre ceux qui pourraient survenir à l'avenir. Nous vous recommandons également de signaler les activités cybercriminelles à la police et les cas de fraude au Centre antifraude du Canada.

Table des matières

Élaborer un plan d’intervention en cas d’incident (ITSAP.40.003)

2026-01-16T19:02:47Z

Janvier 2026

Série sensibilisation

ITSAP.40.003

Janvier 2026 | Série sensibilisation

Votre plan d'intervention en cas d'incident (PICI) comprend les processus, les procédures et la documentation associés aux moyens utilisés par votre organisation pour détecter les incidents, y répondre et rétablir ses activités par la suite. Les cybermenaces, les catastrophes naturelles et les pannes non planifiées sont quelques exemples d'incident qui peut affecter votre réseau, vos systèmes et vos dispositifs. Grâce à un plan bien adapté, vous serez préparée et préparé à faire face aux incidents qui surviendront. De plus, vous pourrez atténuer les menaces et les risques associés et assurer une reprise rapide. La présente publication a été rédigée dans le contexte des cybermenaces. Il s'agit d'un guide pour aider votre organisation à mettre au point un plan d'intervention en cas d'incident, et ce, pour différents types d'incident.

Sur cette page

Avant la création d'un plan d'intervention en cas d'incident
Types d'incidents
Étapes principales de votre plan d'intervention en cas d'incident
Services locaux ou professionnels
En savoir plus

Avant la création d'un plan d'intervention en cas d'incident

Avant la création de votre PICI, vous devez identifier les données et les systèmes qui ont de la valeur pour votre organisation. Déterminez les types d'incidents que vous pourriez rencontrer, comme les rançongiciels ou les attaques par déni de service distribué, ainsi que les interventions appropriées. Pensez aussi aux personnes les mieux qualifiées pour faire partie de votre équipe d'intervention. Vous devriez également établir comment vous communiquerez votre plan d'intervention au sein de votre organisation, ainsi que des politiques et procédures connexes.

Évaluation des menaces et des risques

Une évaluation des menaces et des risques (EMR) est un processus qui vous aide à identifier les actifs critiques et la façon dont ceux-ci peuvent être compromis. Votre EMR évaluera le niveau de risques posé par les menaces à vos actifs dans le but d'orienter vos efforts d'intervention et de leur accorder la priorité nécessaire. Dans le cadre de l'EMR, répondez aux questions suivantes :

Quelles sont les données les plus précieuses de votre organisation?
Quels sont les secteurs de votre organisation qui traitent des données sensibles?
Quels sont les contrôles que vous avez en place pour le moment?
Est-ce qu'il existe des risques d'atteinte à la vie privée pour votre organisation?

Pour de plus amples renseignements à propos de l'EMR, consultez le document Méthodologie harmonisée de l'évaluation des menaces et des risques (TRA-1).

Création de votre équipe d'intervention

Votre équipe sera chargée d'évaluer rapidement les incidents, de les documenter et d'assurer une intervention rapide. Le but étant d'assurer le rétablissement des systèmes, la récupération de l'information et la réduction des risques de nouvelle survenue de l'incident.

L'équipe doit être composée d'employées et employés de différents domaines et bénéficier d'un soutien multifonctionnel des autres secteurs d'activités.

Voici quelques suggestions pour la composition des membres de votre équipe :

personnel critique
praticiennes et praticiens de la sécurité
spécialistes des TI et de la cybersécurité
ingénieures et ingénieurs de projet pour les technologies opérationnelles (TO)
personnel juridique
haute direction

Typiquement, les cyberincidents sont difficiles à prévoir et exigent une intervention immédiate. Ainsi, assurez-vous que votre équipe d'intervention dispose aussi de moyens de rechange pour communiquer, comme des numéros de téléphone cellulaire ou une deuxième adresse de courriel. Chaque membre de votre équipe doit également être associé à une personne de secours en cas de non-disponibilité ou de non-réponse aux communications.

Élaboration des politiques et procédures

Vos mesures d'intervention doivent cadrer avec les politiques et les exigences de conformité de votre organisation.

Rédigez une politique sur l'intervention en cas d'incident qui établit les pouvoirs, les rôles et les responsabilités liés aux procédures et aux processus d'intervention en cas d'incident. Les politiques doivent de plus être approuvées par la haute direction de votre organisation.

Sensibilisation du personnel

Fournissez une formation aux employées et employés qui explique votre plan d'intervention en cas d'incident, vos politiques et vos procédures. Adaptez les programmes de formation aux besoins et aux exigences d'affaires de votre organisation, ainsi qu'aux rôles et responsabilités de vos employées et employés.

Informez les employés de la planification et de l'exécution des mesures d'intervention en cas d'incident. Un effectif bien formé et informé renforcera votre défense contre les incidents.

Création d'un plan de communication

Votre plan de communication doit détailler la manière et le moment des communications, ainsi que les personnes à rejoindre. Il doit inclure un point de contact central auquel les employées et employés peuvent signaler les incidents présumés ou connus.

Les procédures de notification sont essentielles au succès de l'intervention en cas d'incident. Identifiez les intervenants internes et externes clés qui devront être avisés lors d'un incident. Il se peut que vous ayez à alerter des tierces parties, comme des clientes et clients ainsi que des fournisseurs de services gérés. Selon l'incident, il se peut également que vous ayez à communiquer avec la police ou que vous deviez demander conseil à une avocate ou un avocat. De plus, votre équipe des médias devra potentiellement être au courant des faits importants.

Types d'incident

Votre organisation peut être confrontée à différents types d'incidents. En voici des exemples :

Rançongiciel

Un rançongiciel est un type de maliciel qui vous empêche d'accéder à vos données ou à vos systèmes, et ce, tant que vous n'avez pas versé une rançon à l'auteur malveillant. Toutefois, même en cas de paiement, vous ne bénéficiez d'aucune garantie que vous aurez à nouveau accès à vos données.

Vol de données

Le vol de données se produit lorsque les auteurs de menace volent de l'information stockée sur les serveurs ou les dispositifs. Bien souvent, les auteurs de menace accèdent aux données en se servant de justificatifs volés. Les menaces persistantes avancées (MPA) font référence à des auteurs de menace chevronnés dotés de moyens hautement sophistiqués. Les MPA peuvent exploiter des techniques évoluées pour mener des campagnes complexes et de longue portée pour l'atteinte de leurs fins. Les personnes à l'origine de telles menaces correspondent souvent à des États-nations ou à des groupes criminels organisés hautement compétents.

Exploitation active

Une exploitation active tire avantage des logiciels et du matériel non corrigés, ou d'autres vulnérabilités connexes, afin de prendre le contrôle de vos systèmes, de vos réseaux ou de vos appareils. Ces attaques peuvent passer inaperçues avant que vous ayez eu l'occasion d'appliquer le correctif ou la mise à jour. Votre plan devrait comprendre des mesures d'atténuation d'une telle exploitation active, comme la suspension temporaire de l'accès Internet ou des activités en ligne.

Haut de la page

Étapes principales de votre plan d'intervention en cas d'incident

Votre PICI devrait présenter les objectifs, les intervenants, les responsabilités, les méthodes de communication ainsi que les procédures de recours au niveau supérieur qui seront utilisés tout au long du cycle de vie d'intervention face à l'incident. Il doit être simple et adaptable. Testez, revisitez et révisez chaque année votre plan d'intervention en cas d'incident afin d'en assurer l'efficacité.

Suivez les étapes du cycle de vie d'une intervention en cas d'incident ci-dessous pour structurer votre PICI.

Préparation

Commencez avec un énoncé d'engagement de la haute direction envers votre projet. Réalisez une évaluation des risques dans le but d'identifier les actifs les plus importants de votre organisation et qui sont essentiels aux activités opérationnelles.
Définissez les incidents de sécurité probables de votre organisation et établissez les étapes détaillées de votre intervention.
Précisez les objectifs de votre stratégie d'intervention en cas d'incident ainsi que les politiques, les normes et les procédures connexes. Votre politique devrait inclure les mesures de performance et les données d'incident qui seront collectées au fil du temps (par exemple, le nombre d'incidents et le temps passé pour traiter chaque incident).
Définissez les objectifs pour l'amélioration de la sécurité, de la visibilité et de la reprise.
Développez et mettez en œuvre un processus de sauvegarde fiable pour la création de copie de vos données ainsi que des systèmes qui vous aideront à les rétablir en cas de panne.
Établissez une stratégie détaillée pour appliquer les mises à jour et les correctifs aux logiciels et au matériel. Appliquez cette stratégie pour trouver et corriger les vulnérabilités et atténuer l'occurrence et la gravité des incidents.
Formez une équipe d'intervention et affectez des rôles et des responsabilités à chaque membre.
Rédigez votre plan de communication et déterminez comment vous comptez informer les principales parties prenantes et la haute direction tout au long de l'incident. Vous devriez avoir plusieurs mécanismes de communication en place, qui pourront s'avérer précieux durant un incident.
Concevez des exercices pour mettre à l'essai votre plan et votre intervention. Vous pouvez ensuite réviser et améliorer votre plan en vous fondant sur les résultats des essais.

Détection et analyse

Surveillez les réseaux, les systèmes et les dispositifs connectés pour repérer les menaces potentielles. Produisez régulièrement des rapports et consignez les événements et les incidents potentiels. Analysez les événements et déterminez si vous devez activer le plan d'intervention en cas d'incident. Ajustez la fréquence et l'intensité de la surveillance.

Bien qu'il soit impossible de disposer d'un guide détaillé pour chaque incident, vous devriez tout de même être préparé pour traiter les incidents des vecteurs d'attaque courants.

Dans l'éventualité d'une violation ou d'une compromission, analysez l'incident, y compris son type, son origine et l'étendue des dommages causés. Tous les faits à propos de l'incident doivent être documentés. Lors des activités de détection, d'analyse et d'évaluation des priorités d'un incident, votre équipe d'intervention en cas d'incident devrait aviser les parties prenantes concernées. Cela permettra de la sorte d'informer toutes les personnes devant en savoir plus.

Endiguement

L'endiguement est crucial pour la reprise des activités de votre organisation. L'objectif principal étant de réduire au minimum les répercussions d'une attaque pour votre organisation.

Familiarisez-vous avec l'enjeu de sorte à pouvoir contenir la menace et appliquer les mesures d'atténuation adéquates.

Une mesure efficace pour un environnement informatique peut consister à déconnecter les systèmes et les dispositifs pour empêcher l'auteur de menace de causer d'autres dommages. Il peut être nécessaire d'isoler tous les systèmes et de suspendre temporairement l'accès des employées et employés afin de détecter et de stopper les intrusions.

Les stratégies et les procédures de confinement varieront selon le type d'incident, la gravité des dommages potentiels de l'incident ainsi que vos exigences opérationnelles. Consultez les stratégies de confinement en cas d'incident de votre organisation, qui auront été établies à l'étape de la préparation.

Pendant un incident, l'évaluation des risques réalisée lors de la phase de préparation pourra vous aider à définir les risques acceptables de votre organisation. De la sorte, vous pourrez mettre au point des stratégies de confinement correspondantes.

Éradication

Menez une analyse de la cause profonde du problème afin d'identifier et d'enrayer toutes les traces de l'incident des systèmes affectés. Pour ce faire, réalisez ce qui suit :

Identifiez les systèmes, les hôtes et les services touchés.
Supprimez tout contenu malveillant des systèmes affectés.
Balayez et effacez les systèmes et les dispositifs.
Identifiez et traitez les vecteurs d'attaque résiduels.
Communiquez avec les parties prenantes afin d'assurer d'une gestion adéquate de l'incident.
Renforcez, corrigez et mettez à niveau les systèmes concernés.
Mettez à niveau ou remplacez les systèmes patrimoniaux.

Reprise

Restaurez et réintégrez les systèmes affectés dans votre environnement d'exploitation.

Assurez-vous que tous les maliciels ont été supprimés avant la restauration des sauvegardes.
Testez, vérifiez, surveillez et validez les systèmes affectés pour vous assurer qu'ils fonctionnent adéquatement.
Révisez et mettez à jour vos politiques, vos procédures et vos initiatives de formation.

Activités après incident et leçons apprises

Analysez la cause fondamentale de l'incident et collaborez avec l'équipe d'intervention pour signaler les améliorations possibles. Évaluez le processus d'intervention et faites ressortir les éléments positifs et ceux qui doivent être améliorés. Rédigez un document sur les leçons apprises qui décrit en détail les ajustements et les améliorations qui seront apportées au plan. Les résultats des leçons apprises doivent servir à améliorer les méthodes de détection et à prévenir les incidents répétés.

Services locaux ou professionnels

Lorsque vous établissez votre plan d'intervention, déterminez pour chaque action et service si vous pouvez vous en acquitter à l'interne ou si vous devez faire appel à des professionnels. Vous pouvez recourir à des services professionnels pour vous aider avec certains éléments d'une intervention, comme établir le plan, fixer les processus de sauvegarde d'urgence, surveiller les systèmes et appliquer les correctifs. L'externalisation des interventions en cas d'incident pour les TO ou d'autres environnements spécialisés peut être coûteuse, et il est important de bien planifier ce type de scénario.

En savoir plus

Haut de la page

Élaboration de votre plan de continuité des activités (ITSAP.10.005)

2026-01-16T19:02:22Z

Janvier 2026

Série Sensibilisation

ITSAP.10.005

janvier 2025 | Série Sensibilisation

Dans l’éventualité d’un cyberincident ou d’une catastrophe naturelle, votre organisation aura besoin d’un plan de continuité des activités (PCA) afin de reprendre rapidement ses activités opérationnelles les plus critiques. Votre PCA devra identifier les risques associés à différentes menaces ainsi que leur incidence sur votre organisation. Le PCA présente vos actifs importants ainsi que les rôles, les responsabilités et les processus nécessaires afin de minimiser les interruptions et d’assurer les activités essentielles de votre organisation, jusqu’à ce que les opérations soient entièrement rétablies. La résilience de votre organisation et sa conformité à la réglementation, aux politiques et aux normes sont quelques bonnes raisons de se doter d’un PCA.

Sur cette page

Cycle de vie de la continuité des activités
Perturbateurs courants des activités opérationnelles
Autres stratégies de préparatifs d’urgence
En savoir plus

Cycle de vie de la continuité des activités

Votre PCA doit être testé, révisé et mis à jour régulièrement. Pour vous assurer que votre PCA est pertinent, utile et fiable, suivez les cinq étapes du cycle de vie de la planification de la continuité des activités.

Amorce

Identifiez les buts et objectifs uniques de votre organisation, ainsi que les personnes et les processus clés requis pour répondre à ces objectifs. Créez une équipe d’intervention et affectez une ou un chef d’équipe. Assurez-vous d’inclure des membres de différents secteurs de votre organisation. Chaque membre doit connaître les menaces pouvant affecter votre organisation ainsi que le niveau d’incidence des risques associés. Communiquez l’objectif de votre PCA ainsi que les résultats attendus à la haute direction à des fins d’approbation.

Analyse

Menez une évaluation des menaces et des risques (EMR) afin d’établir les menaces et les risques d’interruption des opérations de votre organisation. Après la finalisation de l’EMR, réalisez une analyse des répercussions sur les opérations (ARO). Celle-ci identifiera les activités opérationnelles critiques et non critiques de votre organisation. En outre, votre ARO listera les conséquences d’une interruption à partir des risques qui auront été déterminés dans votre EMR. En particulier, examinez les opérations critiques de votre organisation en vue d’établir votre objectif de délai de rétablissement (ODR) et votre objectif de point de rétablissement (OPR). Votre ODR est le temps prévu et le niveau de service nécessaires pour répondre aux attentes minimales de la ou du propriétaire du système.

Pour de plus amples renseignements à propos des EMR et des ARO, lisez les documents suivants :

Élaboration et mise en œuvre

Créez des stratégies qui permettront de rétablir vos activités opérationnelles les plus critiques pour chacun des risques identifiés. Ces stratégies devraient atténuer ou minimiser les répercussions des risques pour les parties prenantes, les opérations et les actifs de votre organisation. Lors de l’élaboration de votre PCA, tenez compte des pratiques exemplaires suivantes :

équipe d’intervention, ainsi que les rôles et les responsabilités des membres
moyens de communication et procédures de reprise
lieu de travail de rechange et plan de déménagement des employées et employés
liste consolidée des ressources et des fournisseurs de rechange
plan de reprise informatique
politiques à mettre en pratique durant une catastrophe, une urgence ou un incident
déploiement des ressources nécessaires pour les activités du plan
période pendant laquelle les services et les activités opérationnelles devront être disponibles
ressources nécessaires pour assurer les niveaux de priorité établis, ainsi qu’une intervention rapide et adaptée
création de rapports à partager avec les parties prenantes
sensibilisation et formation des employées et employés à propos des risques identifiés, des préparatifs d’urgence et des stratégies d’intervention
documentation du plan, validation et partage avec l’équipe de gestion de votre organisation
stockage du PCA dans un emplacement protégé et connu de votre équipe d’intervention afin qu’il soit disponible en cas de catastrophe ou d’incident

Communications et intégration

Partagez votre PCA avec vos employées et employés et vos parties prenantes. Assurez-vous d’intégrer votre plan aux politiques de votre organisation. Afin d’éviter la mésinformation en cas d’incident, mettez en place un plan de communication et de relations publiques. N’oubliez pas d’inclure des directives à propos des communications avec les parties prenantes internes et externes, y compris les médias.

Tests et validation

Les risques, les priorités et les activités opérationnelles sont appelés à changer au fil du temps. Votre PCA devra être amélioré au moyen d’analyses continues, de tests et de différentes activités de validation et de mise en œuvre. Déterminez les occasions pertinentes pour ce faire, comme les séminaires, les exercices de simulation et les simulations réelles. Ces activités permettront d’évaluer l’état de préparation de votre équipe d’intervention et de déterminer les lacunes de votre plan. Les tests associés à votre PCA permettront d’évaluer et de valider les procédures, les initiatives de formation, les solutions techniques et les activités de reprise que vous aurez identifiées. Utilisez les résultats qui auront été dégagés des tests afin de mettre à jour votre PCA et de vous assurer qu’il reste aligné aux exigences opérationnelles et au contexte des menaces de votre organisation.

Haut de la page

Perturbateurs courants des activités opérationnelles

Les catastrophes naturelles, les événements mondiaux, les défaillances d’équipement et les compromissions de votre chaîne d’approvisionnement sont tous des éléments qui peuvent perturber vos activités opérationnelles. En outre, votre organisation doit aussi se préparer à atténuer les effets d’une variété de cybermenaces. Par exemple :

maliciels et incident de rançongiciel
vols de données
attaques par déni de service distribué
compromissions de compte

Autres stratégies de préparatifs d’urgence

Votre PCA permettra essentiellement d’établir les procédures pour la reprise de vos activités opérationnelles les plus critiques en cas d’incident. Ainsi, votre organisation devra aussi disposer d’autres plans pour s’assurer d’une détection des incidents, d’une intervention appropriée et d’une reprise de toutes ses activités rapidement dans un tel cas.

Votre plan d’intervention en cas d’incident (PICI) détaillera les étapes à entreprendre pour traiter un incident de sécurité particulier, atténuer les risques associés et assurer une reprise rapide. Disposer d’un PICI aidera votre équipe d’intervention à limiter les périodes d’indisponibilité ainsi que les interruptions des activités de votre organisation lors des incidents.

Votre plan de reprise après sinistre (PRS), qui peut contenir un plan de reprise informatique, aidera votre organisation à reprendre ses activités complètes après un incident.

Pour de plus amples renseignements à propos de ces plans, lisez les publications offertes par le Centre pour la cybersécurité :

En plus de ces plans, votre organisation peut améliorer sa préparation en cas de vulnérabilités et d’incidents grâce aux mesures préventives suivantes :

sauvegarde des systèmes et des données en ligne et mécanismes de vérification des sauvegardes
formation relative à la cybersécurité adaptée aux rôles de votre organisation
surveillance de votre réseau et consultation des journaux de vérification visant à déterminer les anormalités et les compromissions potentielles
authentification multifacteur adaptée à l’hameçonnage, lorsque cela est possible
limitation du nombre de comptes d’administrateur
tâches d’administration réalisées à partir d’une station de travail administrative dédiée

En savoir plus

Haut de la page

Conseils conjoints concernant les principes de connectivité sécurisée pour les technologies opérationnelles

2026-01-14T18:01:52Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) se joint au National Cyber Security Centre (NCSC) du Royaume-Uni et aux partenaires étrangers suivants pour publier des conseils en matière de cybersécurité pour les technologies opérationnelles (TO) :

l’Australian Cyber Security Centre de l’Australian Signals Directorate (ACSC de l’ASD);
le Federal Office for Information Security (BSI), Allemagne;
le National Cyber Security Centre (NCSC-NL), Pays-Bas;
le National Cyber Security Centre de la Nouvelle-Zélande (NCSC-NZ);
la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis;
le Federal Bureau of Investigation (FBI) des États-Unis.

Les organisations qui déploient ou qui exploitent des systèmes de TO rencontrent souvent des défis au moment d’établir l’ordre de priorité à accorder à la cybersécurité en raison de contraintes opérationnelles. Un exemple de ces contraintes est la dépendance face aux technologies patrimoniales qui n’ont jamais été conçues pour répondre aux exigences en matière de connectivité ou de sécurité modernes. Les auteurs de menace opportunistes et très habiles sont connus pour cibler les connectivités de TO exposées et non sécurisées.

Ce guide conjoint décrit l’état final souhaité que les organisations devraient atteindre lors de la conception de la connectivité à intégrer aux environnements de TO. Cet état final devrait sous-tendre les objectifs plutôt que les exigences minimales.

Les propriétaires de systèmes devraient utiliser ces principes comme cadre d’applications afin de concevoir, de mettre en œuvre et de gérer la connectivité de TO sécurisée tant pour les nouveaux systèmes de TO que pour les systèmes existants. Ces principes sont particulièrement importants pour les exploitants des services essentiels.

Lisez la version intégrale de la publication conjointe sur les principes de connectivité sécurisée pour les technologies opérationnelles (TO) (en anglais seulement).

Conseils connexes

L’intelligence artificielle générative - ITSAP.00.041

2025-12-10T18:20:24Z

Décembre 2025

Série sensibilisation

ITSAP.00.041

Décembre 2025 | Série sensibilisation

Plusieurs organisations font appel à l’intelligence artificielle (IA) pour optimiser leurs processus, analyser les données et personnaliser l’expérience de leurs utilisatrices et utilisateurs. L’IA générative est un type d’IA qui génère du nouveau contenu en modélisant les caractéristiques des données tirées des grands jeux de données qui alimentent le modèle. Alors que les systèmes d’IA traditionnels peuvent reconnaître les modèles ou classifier le contenu existant, l’IA générative peut créer du contenu unique sous plusieurs formes, comme du texte, une image, un fichier audio ou du code logiciel.

Les grands modèles de langage (GML) sont une catégorie de l’IA générative qui s’est grandement améliorée au cours des dernières années. Pour créer du contenu, un ensemble de paramètres est intégré aux GML (par exemple, une requête ou une invite). Depuis la fin de 2022, un certain nombre de GML (comme Copilot de Microsoft, ChatGPT d’OpenAI et LaMDA de Google) et de services ayant recours à des GML (tels que Bard de Google et Bing de Microsoft) ont retenu l’attention du public à travers le monde. Cette publication fournit de l’information sur les risques liés à l’IA générative et les mesures d’atténuation qu’il est possible de prendre à cet égard.

Sur cette page

Les façons dont on utilise l’IA générative
Les risques liés à l’IA générative
Attention à l’information qui provient de l’IA
Comment atténuer les risques
Mesures de sécurité à envisager
Pour en savoir plus

Les façons dont on utilise l’IA générative

L’IA générative est une technologie à la fois transformatrice et perturbatrice qui peut changer considérablement la façon dont les consommatrices, les consommateurs, les industries et les entreprises mènent leurs activités. Elle a le potentiel d’offrir la créativité et l’innovation nécessaires pour améliorer les services et les activités commerciales. Voici quelques exemples courants de la manière dont l’IA est utilisée pour améliorer des produits et contextualiser du contenu.

Images et vidéos

L’IA générative peut servir à analyser, à modifier et à créer du contenu visuel à des fins personnelles ou commerciales. L’IA peut effectuer des recherches visuelles et contextualiser le contenu pour offrir différents exemples et descriptions.

Robotique

Cette technologie de l’IA fait appel à la planification et à la détection de mouvement pour accomplir diverses tâches. Les véhicules autonomes et les drones en sont quelques exemples. L’IA générative peut servir à automatiser les processus et à améliorer les fonctionnalités.

Langue

L’IA peut comprendre les voix et le texte pour les analyser et y répondre, puis effectuer des tâches. Les centres d’appels et les agents conversationnels de sites Web se servent de l’IA générative afin d’analyser les demandes initiales pour tenter de répondre à des questions courantes sans intervention humaine.

Divertissement

L’IA analyse l’engagement pour déterminer les interactions entre différents logiciels et applications, dans le but de recommander du contenu aux utilisatrices et utilisateurs.

De nombreuses industries et entreprises utilisent l’IA générative pour améliorer les processus. Les secteurs ci-dessous ont trouvé des applications utiles pour cette technologie.

Soins de santé

L’IA générative aide les fournisseurs de soins de santé à poser des diagnostics plus rapides et à personnaliser les plans de traitement. Elle peut également être intégrée à des robots médicaux pour aider le personnel dans le cadre de chirurgies, de tests de diagnostic et d’analyses.

Développement logiciel

L’IA générative facilite le débogage et permet aux développeuses et développeurs de logiciels de générer du code ou de produire des extraits de code. Il est ainsi possible d’accélérer le développement et la diffusion des produits logiciels. L’IA générative est également intégrée dans les logiciels pour améliorer diverses fonctionnalités et offrir du contexte ou des analyses aux utilisatrices et utilisateurs, par exemple dans Microsoft Word.

Marché en ligne

L’IA générative permet aux agents conversationnels de fournir des réponses semblables à l’humain, ce qui aide les organisations à améliorer le service à la clientèle et à réduire les coûts de soutien.

Entreprises

L’IA générative crée des communications personnalisées destinées à la clientèle existante et potentielle, et génère des modèles de vente prédictifs visant à prédire le comportement des clientes et clients. Elle peut également produire rapidement du contenu rentable à utiliser dans les campagnes de marketing, les publicités et les vidéos.

Agriculture

L’IA générative permet d’automatiser des tâches agricoles comme la plantation, la récolte et la surveillance dans la machinerie autonome. Elle offre également des prévisions et avis personnalisés permettant d’améliorer la durabilité et l’efficience à l’égard des résultats de produits et de réduire les coûts et la main-d’œuvre.

Éducation

L’IA générative permet au personnel enseignant de créer des plans d’apprentissage personnalisés pour les étudiantes et étudiants en fonction de leur rendement, de leurs besoins et de leurs intérêts, ce qui peut aider le personnel à mieux soutenir les élèves.

Cybersécurité

L’IA facilite l’amélioration des outils de cyberdéfense contre les rançongiciels et les autres attaques. Elle aide les praticiennes et praticiens de la sécurité à analyser plus facilement les grands jeux de données afin de relever les menaces et de minimiser les faux positifs en filtrant les activités non malveillantes.

Haut de la page

Les risques liés à l’IA générative

Alors que les capacités technologiques de l’IA générative présentent de grandes possibilités, elles comportent également de nombreux risques. L’IA générative peut aider les auteurs de menace à développer des exploits malveillants et à potentiellement mener des cyberattaques plus efficaces, surtout à mesure que les avancées dans le domaine de l’IA améliorent la qualité et augmente la quantité du contenu. Le fait que l’IA générative puisse conférer une influence considérable aux auteurs de menace suscite de grandes inquiétudes. Vous trouverez ci-dessous certains des risques auxquels on doit porter attention.

Mésinformation et désinformation

Le contenu qui n’est pas clairement identifié comme étant généré par IA pourrait entraîner de la mésinformation, de la désinformation et de la confusion. Les auteurs de menace ont recours à l’IA pour commettre des fraudes et mener des campagnes frauduleuses contre des particuliers et des organisations.

Hameçonnage

Les auteurs de menace peuvent concevoir automatiquement des attaques par harponnage plus fréquentes et plus sophistiquées. Des courriels d’hameçonnage ou des messages d’escroquerie très réalistes pourraient mener à des vols d’identité, à de la fraude financière ou à d’autres formes de cybercrimes.

Confidentialité des données

Les utilisatrices et utilisateurs peuvent fournir sans le savoir des données organisationnelles sensibles ou de l’information nominative dans les requêtes et les invites qu’ils envoient aux outils d’IA. Les auteurs de menace pourraient collecter cette information sensible en vue d’usurper l’identité d’une personne ou de répandre de la fausse information.

Code malveillant

Des auteurs de menace possédant des compétences techniques peuvent contourner les restrictions dans les outils d’IA générative pour créer des maliciels et les utiliser lors de cyberattaques ciblées. Ceux qui n’ont que peu ou pas d’expérience en codage peuvent faire appel à l’IA générative pour rédiger facilement des maliciels fonctionnels qui pourraient perturber les activités d’une entreprise ou d’une organisation.

Code entaché d’erreurs

Les développeuses et développeurs de logiciels peuvent introduire involontairement du code non sécurisé ou entaché d’erreurs dans le pipeline de développement. Ce pourrait être le cas, notamment, s’ils omettent de mettre en place des mesures de traitement des erreurs et des vérifications de sécurité adéquates, ou si ces mesures sont mises en œuvre de façon inappropriée.

Jeux de données empoisonnés

Les auteurs de menace peuvent injecter du code malveillant dans le jeu de données servant à entraîner le système d’IA générative, ce qui risque d’avoir une incidence négative sur la précision et la qualité des données générées. Cela pourrait également accroître les risques d’attaques à grande échelle de la chaîne d’approvisionnement.

Contenu biaisé

Une grande partie des jeux de données d’entraînement alimentés dans les GML proviennent de l’Internet ouvert. Ainsi, le contenu généré fait l’objet d’un biais fondamental, puisque seule une petite partie de toutes les données à travers le monde sont accessibles en ligne et peuvent être utilisées aux fins de l’IA. Le contenu généré peut également être préjudiciable si le jeu de données d’entraînement n’offre pas une représentation équitable des points de données.

Perte de propriété intellectuelle

Les outils d’IA générative peuvent permettre aux auteurs de menace dotés de moyens sophistiqués de voler des données organisationnelles plus facilement, rapidement et en lot. Une perte de propriété intellectuelle (comme des renseignements commerciaux exclusifs et des données protégées par le droit d’auteur) peut porter atteinte à la réputation d’une organisation, à ses revenus et à sa croissance future.

Attention à l’information qui provient de l’IA

Il importe de faire preuve de prudence lorsque vous utilisez l’IA générative et de savoir que cette technologie a recours à l’apprentissage automatique pour construire des réponses en fonction d’une invite ou d’une requête. N’oubliez pas que les résultats peuvent :

être erronés;
ne pas avoir de sens;
ne pas tenir compte de certains facteurs;
être biaisés.

Il est important de faire attention et d’analyser le contenu de l’IA avant d’agir ou de s’en servir. Vous devriez toujours faire preuve de vigilance et valider vos sources pour vérifier l’exactitude du contenu présenté.

Haut de la page

Comment atténuer les risques

L’IA générative est un outil puissant auquel les auteurs de menace peuvent faire appel pour lancer des cyberattaques. À mesure que cette technologie continue de s’étendre, les cyberattaques risquent d’être plus fréquentes et plus sophistiquées. Bien qu’il puisse être difficile de détecter les menaces qui tirent parti de l’IA, les organisations et les particuliers peuvent se préparer aux défis grandissants que ces attaques pourraient poser.

Les organisations et les particuliers devraient commencer par adopter des pratiques exemplaires de base en cybersécurité afin de bien comprendre les risques et de prendre les mesures appropriées pour les atténuer.

Les organisations devraient prendre les mesures ci-dessous pour atténuer les risques de compromission découlant de cyberattaques.

Mettez en place des mécanismes d’authentification rigoureux

Sécurisez les comptes et les dispositifs sur les réseaux au moyen de l’authentification multifacteur (AMF) afin de prévenir l’accès non autorisé aux ressources les plus précieuses et aux données sensibles.

Appliquez les correctifs et les mises à jour de sécurité

Activez les mises à jour automatiques sur l’équipement de TI et corrigez les vulnérabilités exploitables connues le plus tôt possible. Cela aidera à éviter que des maliciels générés par IA infectent le réseau.

Restez à l’affût

Restez au courant des dernières menaces et vulnérabilités liées à l’IA générative et prenez des mesures proactives pour les atténuer.

Protégez votre réseau

Utilisez les outils de détection du réseau pour surveiller et analyser les activités anormales sur le réseau. Il est ainsi possible de cerner rapidement les incidents et les menaces, puis de prendre les mesures d’atténuation appropriées. Explorez également les façons dont l’IA pourrait être déployée à des fins défensives dans les outils de protection des réseaux et envisagez toutes les conséquences.

Formez votre personnel

Enseignez à toutes les utilisatrices et à tous les utilisateurs comment reconnaître les signes précurseurs d’une attaque par piratage psychologique et avec qui communiquer pour gérer ces situations en toute sécurité. Ces procédures devraient fournir aux utilisatrices et utilisateurs un moyen facile de signaler les attaques par hameçonnage ou les communications suspectes.

Les particuliers peuvent prendre les mesures ci-dessous afin de protéger leurs données personnelles contre les cyberattaques liées à l’IA.

Faites preuve de prudence lorsque vous communiquez des données

Ne communiquez aucun renseignement confidentiel aux outils d’IA à moins de bien comprendre comment vos données seront utilisées. Les données qui sont ainsi partagées servent à entraîner les modèles d’IA et peuvent alors être exploitées ou vendues.

Vérifiez le contenu

Comme la quantité de données accessibles ne cesse d’augmenter, il pourrait être difficile d’établir qui est responsable du contenu ou dans quelle mesure il est logique et basé sur les faits. Il est important de lire le contenu et de relever toute indication qu’il a été produit par un outil d’IA générative. Passez en revue le contenu généré et prenez le temps de vérifier les faits en consultant des sources crédibles.

Adoptez des pratiques exemplaires de base en cybersécurité

Restez à l’affût, utilisez des mots de passe robustes et activez l’authentification multifacteur (AMF) pour protéger les comptes en ligne. Assurez-vous d’appliquer les plus récentes mises à jour logicielles, d’utiliser des antivirus et d’éviter les réseaux Wi-Fi publics.

Limitez l’exposition au piratage psychologique ou à la compromission de courriel d’affaires

Mettez en place des pratiques de sécurité en ligne de base, comme :

réduire la quantité de renseignements personnels que vous publiez en ligne;
éviter d’ouvrir des pièces jointes et de cliquer sur les liens dans des courriels provenant de sources inconnues;
communiquer par l’entremise d’un autre canal vérifié;
vous méfier lorsque des personnes vous appellent pour demander de l’information sensible.

Haut de la page

Mesures de sécurité à envisager

Si vous prévoyez d’utiliser l’IA générative ou que vous l’utilisez déjà, les mesures de sécurité ci-dessous peuvent vous aider à générer du contenu fiable et de qualité tout en atténuant les préoccupations en matière de protection de la vie privée.

Mettez en œuvre un plan de gestion des risques en matière de cybersécurité

Votre organisation devrait mettre en place un plan qui définit la façon d’utiliser l’IA et le contenu autorisé qui peut être généré. Appliquez les principes du développement sécurisé tout au long du cycle de vie du système d’IA pour surveiller les composants et les logiciels de tiers. Vos politiques devraient prévoir les processus de surveillance et d’examen nécessaires pour veiller à ce que la technologie soit utilisée de manière appropriée. Déterminez s’il convient d’utiliser l’IA pour la tâche en question (par exemple, en tenant compte des risques et des coûts) et s’il serait plus avantageux de développer un outil d’IA à l’interne que d’avoir recours à des produits de tiers.

Choisissez attentivement votre fournisseur

Si vous utilisez un outil d’IA préentraîné, demandez à votre fournisseur si les jeux de données proviennent d’une source externe ou s’ils ont été développés à l’interne et comment ils ont été validés. Utilisez des données diverses et représentatives pour éviter tout contenu inexact et biaisé. Mettez en place un processus visant à ce que les résultats soient passés en revue par une équipe multidisciplinaire provenant de l’ensemble de votre organisation, qui s’efforcera de relever des biais inhérents au système. Assurez-vous que votre fournisseur a intégré des pratiques de sécurité rigoureuses à ses processus de collecte, de stockage et de transfert de données. Peaufinez et réentraînez constamment le système d’IA en fonction de la rétroaction externe appropriée afin d’améliorer la qualité des résultats.

Faites attention à l’information que vous fournissez

Évitez de fournir de l’information nominative ou des données commerciales sensibles dans le cadre de vos requêtes ou dans les invites. Déterminez si l’outil permet à vos utilisatrices et utilisateurs de supprimer l’historique des invites.

Pour en savoir plus

Haut de la page

Intelligence artificielle - ITSAP.00.040

2025-12-10T18:19:47Z

Décembre 2025

Série sensibilisation

ITSAP.00.040

Décembre 2025 | Série sensibilisation

L’intelligence artificielle (IA) fait appel à des programmes informatiques intelligents pour trouver des schémas dans les données en vue de faire des prédictions ou à des fins de classification. L’IA peut servir à effectuer des tâches particulières en analysant des données en ligne pour imiter les facultés cognitives et les capacités décisionnelles de l’humain. Sous-ensemble de l’IA, l’apprentissage automatique a recours à des algorithmes et à des données pour comprendre les langues, les textes et le contenu multimédia afin d’aider le système informatique à apprendre et à s’améliorer en fonction de sa propre expérience. Découlant de l’apprentissage automatique, l’apprentissage profond utilise de grandes quantités de données et une structure d’algorithmes en couche pour enseigner à un modèle à prendre des décisions intelligentes par lui-même.

Sur cette page

Ce que l’IA peut faire
Ce que l’IA ne peut pas faire
Comment les organisations utilisent l’IA
Les menaces liées aux outils d’IA
Comment les auteurs de menace ont recours à l’IA
Ce qu’il faut aussi savoir au sujet de l’IA
Pour en savoir plus

Ce que l’IA peut faire

L’IA joue déjà un rôle considérable dans notre quotidien, qu’il s’agisse de formuler des recommandations, de fournir de l’information, de répondre aux questions ou de nous aider à organiser nos horaires. Nos interactions dans le cadre des moteurs de recherche, du magasinage en ligne, des assistants vocaux sur nos appareils mobiles ou des haut-parleurs intelligents créent des données et rétroactions qui permettent aux outils d’apprentissage automatique d’apprendre et de s’améliorer.

Bien qu’on utilise couramment l’IA comme assistant virtuel, cette technologie peut également vous permettre d’améliorer les activités de votre organisation. L’IA peut créer du code, établir les étapes d’une procédure, optimiser les flux de travaux, et fournir des métadonnées et des analyses avancées à des fins de cybersécurité. Comme elle est de plus en plus répandue et que ses capacités continuent de s’étendre, il s’agit aujourd’hui d’une composante incontournable de la cybersécurité.

La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a évalué certains cas d’utilisation de l’IA et déterminé qu’ils ne sont pas susceptibles de poser des risques pour la sécurité. En voici quelques exemples :

la détection automatisée d’information nominative dans les données de cybersécurité;
l’établissement du degré de certitude quant aux indicateurs de menace dans le contexte de la cybersécurité;
la rétro-ingénierie des maliciels;
la détection d’anomalies dans les réseaux d’infrastructures essentielles;
la détection d’anomalies dans les réseaux de centres des opérations de sécurité;
la rédaction de résumés détaillés de documents médicaux destinés à divers canaux de publication;
des outils de clavardage permettant de consulter les documents et le contenu interne de l’agence, de produire des résumés connexes et d’y effectuer des recherches.

La CISA continue d’explorer de nouvelles façons d’adopter des outils d’IA pour améliorer l’efficacité et renforcer la cybersécurité. Pour en savoir plus, consultez CISA Artificial Intelligence Use Cases (en anglais seulement).

Haut de la page

Ce que l’IA ne peut pas faire

L’IA comporte encore certaines limites fondamentales. Par exemple, il lui est toujours difficile de raisonner, de faire preuve de bon sens, de s’adapter à différentes situations et de comprendre le lien de cause à effet. Grâce à leur jugement et à leur intuition, les êtres humains, eux, savent gérer les situations exigeant des capacités décisionnelles et des compétences en résolution de problèmes.

Comment les organisations utilisent l’IA

Les organisations utilisent l’IA de diverses façons pour améliorer leurs processus et réduire les coûts. Voici quelques exemples courants de la manière dont l’IA est utilisée.

Reconnaissance faciale

Une des principales applications de l’IA qui consiste à analyser les caractéristiques faciales dans une image ou une vidéo afin d’identifier un individu ou de vérifier son identité.

Optimisation des processus

Par exemple, un outil d’apprentissage automatique bien entraîné (au moyen de données exactes) peut utiliser les données pour fournir des solutions plus justes et accomplir des tâches banales plus rapidement que pourrait le faire un être humain.

Assistants virtuels

Les agents conversationnels peuvent améliorer le service à la clientèle et réduire les coûts de soutien. Les clientes et clients peuvent obtenir de l’assistance en quelques secondes, et ce, en tout temps. Ces services sont souvent hautement personnalisés et peuvent être basés sur les préférences des utilisatrices et utilisateurs et leurs interactions antérieures avec l’organisation.

Détection de la fraude

Les outils d’apprentissage automatique sophistiqués peuvent détecter les courriels frauduleux plus rapidement qu’un être humain. Ils analysent le contenu d’une boîte de réception et déplacent les pourriels et les courriels d’hameçonnage dans le dossier de courrier indésirable.

Génération de documents

Les logiciels d’application se servent d’outils alimentés par l’IA pour créer des documents bien structurés. L’application se base sur les invites de l’utilisatrice ou utilisateur pour générer des documents mis en page.

Codage

L’IA utilise des invites en langage naturel pour générer automatiquement du code et des fonctions et accomplir des tâches de développement pour accroître la productivité et simplifier les données. Elle peut analyser le code existant et proposer des améliorations à des fins de débogage et pour améliorer la performance.

Analyse de données

Ayant recours aux algorithmes de l’apprentissage automatique, l’IA peut analyser de grandes quantités de données et relever de nouveaux schémas. Ce processus, appelé automatisation, réduit considérablement le temps qu’un analyste des données doit consacrer au traitement des données et améliore le rendement opérationnel.

Plusieurs industries utilisent les outils alimentés par l’IA pour améliorer leurs processus et obtenir des indications pertinentes grâce aux avancées technologiques continues. Voici quelques exemples de ces industries.

Soins de santé

Dans l’industrie des soins de santé, l’IA contribue au diagnostic et au traitement des patientes et patients de différentes façons, par exemple, à l’aide de systèmes de diagnostic assisté par ordinateur. L’apprentissage automatique est aussi fort utile en médecine personnalisée. On peut l’utiliser pour aider à prédire les traitements les plus susceptibles d’être efficaces.

Publicités

L’IA aide les agences de publicité à créer, à optimiser et à personnaliser les campagnes de publicité en analysant les données des utilisatrices et utilisateurs, et en produisant du contenu attirant pour des publics particuliers. Par sa capacité à générer des textes, des images et du contenu vidéo, l’IA réduit le temps de production et les coûts connexes.

Cybersécurité

L’IA fait appel à l’automatisation pour détecter les nouvelles menaces qui pèsent sur les organisations. Grâce à des algorithmes sophistiqués, l’IA peut :

automatiser la détection des menaces, comme les maliciels;
procéder à la reconnaissance des schémas pour déterminer les liens entre les différents vecteurs d’attaque;
fournir des renseignements prédicatifs supérieurs.

Haut de la page

Les menaces liées aux outils d’IA

L’efficacité des outils d’IA dépend en grande partie du modèle de données sur lequel ils reposent. La compromission des données constitue la principale menace qui pèse sur l’IA. Parmi les méthodes de compromission les plus courantes, on retrouve les suivantes :

Attaque par empoisonnement de données

Ce type d’attaque survient au cours de la phase d’entraînement de l’outil d’apprentissage automatique. L’efficacité des outils d’IA dépend fortement de l’exactitude des données utilisées lors du processus d’entraînement. Si des données empoisonnées (erronées) sont injectées dans le jeu de données, le système d’apprentissage risque d’être amené à faire des erreurs.

Attaque adverse

Ce type d’attaque survient une fois l’entraînement de l’outil d’apprentissage automatique terminé. Son but est d’arriver à « duper » l’outil afin qu’il classe les intrants incorrectement. Dans un scénario impliquant un véhicule autonome, une attaque adverse pourrait consister en une modification mineure des panneaux de signalisation dans le monde réel (légère décoloration ou apposition d’autocollants sur un panneau d’arrêt), ce qui mènerait le système d’IA à confondre le panneau d’arrêt et un panneau de vitesse. Une telle situation pourrait entraîner de graves répercussions sur le fonctionnement sécuritaire des véhicules autonomes.

Inversion de modèle et attaque par inférence d’appartenance

Ces deux scénarios se produisent lorsqu’un auteur de menace interroge le modèle de données d’une organisation. Une attaque par inversion de modèle révélera le jeu de données sous-jacent, permettant ainsi à l’auteur de menace de reproduire les données d’entraînement. Une attaque par inférence d’appartenance confirme qu’un fichier de données en particulier fait partie des données d’entraînement. Ces deux types d’attaques pourraient compromettre la confidentialité de vos données d’entraînement et exposer de l’information sensible.

Comment les auteurs de menace ont recours à l’IA

Tout comme les organisations qui font appel à des technologies alimentées par l’IA pour améliorer leurs processus opérationnels, les auteurs de menace ont eux aussi recours à l’IA pour peaufiner leurs méthodes de cyberattaque. Voici quelques exemples d’attaques liées à l’IA :

avoir recours à l’hypertrucage pour usurper l’identité de figures d’autorité;
usurper des sites Web légitimes;
modifier le code source des maliciels pour qu’ils échappent davantage à la détection;
traiter des images et vidéos publiques pour géolocaliser des installations et repérer les systèmes de contrôle industriels dans le but d’analyser et de cibler l’équipement et les systèmes qui y sont connectés.

Ce qu’il faut aussi savoir au sujet de l’IA

L’IA est en évolution constante, et de nouveaux outils et des fonctionnalités améliorées apparaissent sans cesse. Voici de l’information supplémentaire qu’il convient de savoir sur l’IA :

l’IA peut détecter les schémas de données;
l’IA doit analyser une quantité suffisante de données pour arriver à en extraire les schémas à une fréquence ou résolution suffisamment élevée;
un manque de variété dans les données limitera la portée de l’IA;
si des données d’entraînement sont inexactes, les résultats de l’IA ne seront pas fiables;
les données d’entraînement devraient être complètes, variées et exactes;
des données manquantes pourraient empêcher la découverte de schémas, et ceux qui sont découverts pourraient ne pas être exacts;
les données qui sont enregistrées et recueillies à des fins de « contrôle de la qualité » peuvent contenir tant de l’information sensible que des renseignements personnels.

De nombreuses organisations adoptent maintenant des politiques en matière d’IA fiables pour s’assurer d’utiliser des outils d’IA de façon à minimiser les biais potentiels et les conséquences imprévues, surtout en ce qui a trait au traitement de personnes. Les politiques peuvent également faciliter l’élaboration de protocoles appropriés pour le traitement de l’information sensible et des renseignements personnels. La Directive sur la prise de décision automatisée est un exemple de politique en matière d’IA récemment adoptée par le gouvernement du Canada. Si votre organisation compte recourir à l’IA, elle devrait envisager de consulter des conseillers juridiques afin de gérer les nombreux éléments à prendre en compte sur le plan juridique, de l’éthique, du respect de la vie privée et des politiques.

Pour en savoir plus

Haut de la page

Bulletin de cybersécurité conjoint sur des hacktivistes pro-Russie menant des attaques opportunistes contre des infrastructures essentielles à l’échelle mondiale

2025-12-09T21:25:18Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) se joint au Federal Bureau of Investigation (FBI) des États-Unis et à d’autres partenaires nationaux et étrangers pour publier un bulletin conjoint sur des attaques menées par des hacktivistes pro-russes.

Ce bulletin conjoint met en lumière les tactiques, techniques et procédures (TTP) peu sophistiquées et opportunistes utilisées par des groupes d’hacktivistes pro-Russie pour cibler des infrastructures essentielles (IE) à l’échelle mondiale. Ces attaques ciblent des connexions VNC (informatique de réseau virtuel) peu sécurisées et exposées à Internet dans le but d’obtenir l’accès à des dispositifs de contrôle de technologies opérationnelles (TO) au sein de systèmes d’IE.

Les propriétaires et les opérateurs de TO ainsi que les entités des IE devraient mettre en œuvre les recommandations suivantes pour réduire le risque de voir des hacktivistes pro-Russie cibler des réseaux de contrôle par l’intermédiaire de connexions VNC :

réduire l’exposition des biens de TO à l’Internet public;
recourir à la segmentation réseau entre le réseau de TI et le réseau de TO;
adopter des processus matures de gestion des biens, y compris le mappage de flux de données et de points d’accès;
s’assurer que les biens de TO mettent en œuvre des mécanismes d’authentification robustes;
activer des fonctions de sécurité de système de contrôle pouvant séparer et vérifier les fonctions de visualisation et de contrôle;
recueillir et surveiller le trafic des biens de TO et des périphériques réseau;
examiner les configurations des plages de valeurs prédéterminées ou les valeurs de balises pour rester dans des plages sécurisées et définir des alertes advenant toute déviation;
mettre en œuvre et à l’essai des plans de reprise des activités et de reprise après sinistre.

Ce bulletin conjoint vise à mettre à jour la fiche de renseignements conjointe de la Cybersecurity and Infrastructure Security Agency des États-Unis intitulée Primary Mitigations to Reduce Cyber Threats to Operational Technology (en anglais seulement).

Prière de consulter l’intégralité du bulletin conjoint : Pro-Russia Hacktivists Conduct Opportunistic Attacks Against US and Global Critical Infrastructure (en anglais seulement).

Rançongiciels

2025-12-09T15:48:44Z

Les rançongiciels sont les cybermenaces les plus courantes qui guettent les Canadiennes et Canadiens, et ils sont en hausse.

Au cours d’une attaque par rançongiciel, les cybercriminels se servent d’un logiciel malveillant pour chiffrer, voler ou supprimer des données, puis demandent le paiement d’une rançon pour les restaurer.

Les rançongiciels peuvent avoir de graves répercussions telles que l’interruption des activités principales, la perte permanente de données, le vol de propriété intellectuelle, des atteintes à la vie privée, des atteintes à la réputation et des coûts élevés de reprise.

L’adoption de pratiques de base en matière de cybersécurité permettrait d’empêcher la grande majorité des incidents liés aux rançongiciels au Canada.

Cette page offre des ressources du Centre pour la cybersécurité visant à aider les organisations et la population canadiennes à comprendre la menace que représentent les rançongiciels et à prendre les mesures appropriées pour se protéger.

Rapports

Rapport d’analyse conjoint sur la porte dérobée du maliciel Brickstorm

2025-12-04T20:20:53Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) se joint à la Cybersecurity and Infrastructure Security Agency (CISA) et à la National Security Agency (NSA) des États-Unis pour publier un rapport d’analyse sur le maliciel Brickstorm.

Ce rapport conjoint met en évidence le fait que des auteurs de menace parrainés par la République populaire de Chine (RPC) exploitent le maliciel Brickstorm afin d’assurer une persistance à long terme sur les systèmes de leurs victimes. Ces activités ont principalement été observées sur des installations et des services gouvernementaux ainsi qu’au sein d’organisations du secteur des technologies de l’information. Le rapport fournit également des indicateurs de compromission et des signatures de détection basés sur l’analyse d'échantillons de Brickstorm.

Le maliciel Brickstorm est une porte dérobée sophistiquée pour les environnements Linux, particulièrement les serveurs VMware vCenter, VMKernel (VMware ESXI) et Windows. On a observé que des auteurs de menace parrainés par la RPC ciblaient les plateformes VMware vSphere. Après la compromission, les auteurs de menace peuvent se servir de leur accès à vCenter pour voler des instantanés de machines virtuelles clonées afin d’extraire des justificatifs d’identité et de créer de fausses machines virtuelles cachées de la console de gestion du vCenter.

Nous exhortons les organisations à se baser sur les signatures de détection et les indicateurs de compromission présentés dans ce rapport d’analyse de maliciel pour détecter tout échantillon du maliciel Brickstorm.

Lisez la version intégrale de la publication conjointe : Rapport d’analyse sur un maliciel – Porte dérobée de Brickstorm (en anglais seulement).

Provenance de contenu public pour les organisations (ITSP.10.005)

2025-12-04T15:09:34Z

Decembre 2025

Séries praticiennes et praticiens

ITSP.10.005

Decembre 2025 | Séries praticiennes et praticiens

Format de rechange: Provenance de contenu public pour les organisations - ITSP.10.005 (PDF, 1.05 Mo)

Vue d’ensemble

La présente publication est destinée aux praticiennes et praticiens de la sécurité. Elle sert de base pour expliquer le concept de provenance de contenu public et l’importance des outils offerts aux organisations ainsi que pour établir un historique vérifiable du contenu disponible en ligne. La publication présente de l’information à propos de la variété de technologies pouvant aider à établir la confiance des enregistrements numériques, ainsi que des exemples de leurs utilisations pour répondre à différentes exigences.

Cette publication est le résultat d’une recherche conjointe et a été coécrite par le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) et le National Cyber Security Centre (NCSC) du Royaume-Uni. Le Centre pour la cybersécurité et le NCSC n’approuvent pas directement les produits, les services ou les méthodologies présentés dans la publication. Les normes et les outils décrits ne sont que des démonstrations pour l’amélioration de la cyberrésilience dans différents contextes au moyen d’une combinaison de technologies.

Table des matières

Bulletin conjoint sur les principes d’intégration sécurisée de l’intelligence artificielle dans la technologie opérationnelle

2025-12-03T19:28:33Z

Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) se joint à la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et aux autres partenaires internationaux suivants pour publier des conseils sur les principes d’intégration sécurisée de l’intelligence artificielle (IA) dans la technologie opérationnelle (TO) :

l’Australian Cyber Security Centre (ASD) de l’Australian Signals Directorate (ACSC), Australie
le Federal Office for Information Security (BSI), Allemagne
le National Cyber Security Centre (NCSC-NL), Pays-Bas
le National Cyber Security Centre (NCSC-NZ), Nouvelle-Zélande
le National Cyber Security Centre (NCSC), Royaume-Uni
le Federal Bureau of Investigation (FBI), États-Unis
l’Artificial Intelligence Security Center (AISC) de la National Security Agency (NSA), États-Unis

L’IA offre aux propriétaires et exploitants d’infrastructures essentielles (IE) les possibilités suivantes :

Efficacité et productivité accrues
Meilleure prise de décisions
Réduction des coûts
Meilleure expérience pour les clientes et clients

Malgré les nombreux avantages, l’intégration de l’IA dans les environnements de TO qui gèrent les services publics essentiels présente également des risques importants. Ces risques doivent être gérés judicieusement afin d’assurer la disponibilité et la fiabilité des IE.

Le bulletin conjoint souligne quatre principes clés que devraient suivre les propriétaires et exploitants d’IE pour tirer avantage de l’IA dans les systèmes de TO, tout en atténuant les risques :

Comprendre l’IA
Étudier l’utilisation de l’IA dans le domaine de la TO
Établir les cadres de gouvernance et d’assurance concernant l’IA
Intégrer les pratiques de sécurité dans les systèmes de TO ayant recours à l’IA

Nous invitons les propriétaires et exploitants d’IE à consulter le bulletin conjoint et à mettre en œuvre les principes décrits pour assurer une intégration sécurisée de l’IA dans les systèmes de TO.

Lisez la publication conjointe : Principles for the secure integration of artificial intelligence in operational technology (en anglais seulement)

Document d’information : Les cyberactivités malveillantes qui ciblent les infrastructures essentielles canadiennes

2025-11-26T21:12:16Z