Sélection de la langue

Alerte - Cyberactivité malveillante ciblant les fournisseurs de services gérés

Numéro : AL17-004
Date : Le 04 Avril 2017

Objet

Cette alerte vise à attirer l’attention sur une cyberactivité malveillante en cours qui cible des fournisseurs de services gérés (FSG).

Évaluation

Le CCRIC est conscient de l’existence d’une cyberactivité malveillante qui cible des FSG à l’échelle internationale. Étant donné le degré de sophistication associé à cette activité, les organisations doivent faire preuve d’un niveau accru de sensibilisation en vue de détecter les compromissions potentielles. Divers organismes dépendent sur les FSG en vue d’offrir une vaste gamme de services de soutien d’infrastructure à leurs clients, comme des services consultatifs spécialisés ou des solutions matérielles et d’hébergement dématérialisés.

L’atténuation des risques associés à l’emploi de fournisseurs de services constitue une responsabilité partagée entre l’organisme (appelé « locataire ») et le FSG ou le FSC. Toutefois, le premier est ultimement responsable de protéger ses systèmes et d’assurer la confidentialité ConfidentialitéCaractéristique de l'information sensible protégée contre tout accès non autorisé. , l’intégrité IntégritéAptitude à protéger l'information contre les modifications ou les suppressions non intentionnelles ou inopportunes. L'intégrité permet de savoir si l'information est conforme à ce qu'elle est censée être. L'intégrité s'applique également aux processus opérationnels, à la logique des applications logicielles, au matériel ainsi qu'au personnel. ainsi que la disponibilité DisponibilitéCaractéristique de l'information ou des systèmes qui sont accessibles aux personnes autorisées au moment où celles-ci en ont besoin. La disponibilité est un attribut des actifs informationnels, logiciels, et matériels (l'infrastructure et ses composantes). Il est également entendu que la disponibilité comprend la protection des actifs contre les accès non autorisés ou les compromissions. de ses données. On recommande aux organismes qui externalisent leur infrastructure de TI d’entretenir des discussions ouvertes avec leur fournisseur et de comprendre le modèle que celui-ci emploie afin de gérer les services des clients.

Les auteurs de cette cyberactivité utilisent les FSG comme canal d’accès en vue de tenter d’obtenir des renseignements de nature délicate des clients. Ces opérations sont facilitées par la liaison intrinsèquement étroite entre les réseaux des FSG et ceux des clients. Ces fournisseurs constituent donc des proies de choix aux yeux des acteurs malveillants, car la compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. de leur réseau peut offrir l’accès à de multiples réseaux de clients. Au final, ces derniers, qui peuvent être membres du secteur public ou privé, sont probablement la cible des tentatives de compromission.

Compte tenu du degré apparent de sophistication de la cyberactivité et de l’étendue potentielle de la compromission, il se peut que les acteurs malveillants aient accès à des entreprises de par le monde qui font partie de divers secteurs à infrastructure essentielle Infrastructure essentielleProcessus, systèmes, installations, technologies, réseaux, actifs et services qui sont essentiels pour assurer la santé, la sécurité et le bien être économique des Canadiens ainsi que le fonctionnement efficace du gouvernement. Les infrastructures essentielles peuvent être autonomes ou interconnectées et interdépendantes dans les administrations provinciales, territoriales ou nationales ou entre celles ci. La perturbation des infrastructures essentielles pourrait donner lieu à des pertes de vie et à des répercussions économiques néfastes de même que considérablement ébranler la confiance du public. . Il n’existe aucun élément de preuve laissant penser que le grand public ni que des PME soient ciblés. De plus, le CCRIC collabore actuellement avec des partenaires à l’étranger et du secteur privé en vue de déterminer l’envergure de cette activité ainsi que son incidence sur les organismes canadiens. Le signalement de toute activité suspecte au CCRIC aiderait grandement celui-ci à en cerner la nature et la portée.

Mesures Recommandées

Le CCRIC recommande aux organismes de consulter les renseignements d’atténuation suivants et de les mettre en œuvre en fonction de leur environnement réseau.

  • Envisager de mettre en place une politique sur l’utilisation de mots de passe robustes.
  • Tenir à jour votre système d’exploitation et vos logiciels en appliquant les correctifs les plus récents.
  • Envisager de n’accorder les privilèges administratifs et autres qu’aux comptes qui en ont besoin à des fins opérationnelles.
  • Surveiller régulièrement les résultats d’analyse antivirus et d’autres journaux réseau en vue d’y relever toute activité suspecte.
  • Faire appel à un plan de sauvegarde et de récupération de données pour l’intégralité des renseignements essentiels.
  • Si vous faites appel à un FSG, tenir compte de facteurs comme la propriété des données, l’emplacement où celles-ci sont stockées, la méthode de sauvegarde ainsi que les mesures de sécurité en place. Une solution de FSG doit répondre aux exigences législatives ainsi qu’en matière de sécurité et de protection des renseignements personnels de l’organisme.
  • On encourage les organismes qui font appel à des fournisseurs de services gérés de communiquer avec ceux-ci afin de s’entretenir au sujet des risques.
  • Si vous souhaitez obtenir des renseignements additionnels sur l’atténuation et des pratiques exemplaires en matière de gestion des relations avec les FSG, reportez-vous à la note d’information du CCRIC IN17-003 – Pratiques exemplaires en matière de sécurité cybernétique : passation de marchés avec des fournisseurs de services gérés.

Références :

Note d’information du CCRIC IN17-003 – Pratiques exemplaires en matière de sécurité cybernétique : passation de marchés avec des fournisseurs de services gérés
https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/in/in17-003-fr.aspx

Partenaires à l’étranger
https://acsc.gov.au/global-targeting-enterprises-managed-service-providers.html

https://www.ncsc.gov.uk/news/advice-managing-enterprise-security-published-after-major-cyber-campaign-detected

Guide Pensez cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. pour les petites et moyennes entreprises :
https://www.pensezcybersecurite.gc.ca/cnt/rsrcs/pblctns/smll-bsnss-gd/index-fr.aspx

Utiliser les mots de passe
https://www.pensezcybersecurite.gc.ca/cnt/prtct-yrslf/prtctn-dntty/usng-psswrds-fr.aspx

Date de modification :