Sélection de la langue

Répercussions sur la sécurité de l’exposition de systèmes TI classifiés à des dispositifs mobiles et à des signaux sans fil - ITSB-104

1 Objet

De nombreux ministères du gouvernement du Canada (GC) et entreprises utilisent des technologies sans fil pour faciliter la collaboration, en raison de la commodité, de la souplesse et de la mobilité qu’elles offrent à leurs employés. Les dispositifs mobiles et signaux sans fil sont des éléments clés dans l’atteinte de cet objectif, mais ils peuvent constituer une menace pour le GC et ses biens d’information, puisque les auteurs de menaces ciblent fréquemment les ministères et leurs réseaux pour obtenir de l’information sur les employés, les projets et les systèmes du GC.

Le présent bulletin décrit les risques découlant de l’exposition de systèmes TI classifiés à des signaux sans fil et à des dispositifs mobiles non autorisés, de même que les mesures d’atténuation possibles. Il s’adresse aux responsables des activités de gestion des risques en matière de sécurité des TI et aux praticiens de la sécurité des systèmes d’information.

2 Répercussions

Les dispositifs mobiles sont dotés de capacités informatiques puissantes et peuvent communiquer avec des réseaux Wi-Fi®, des réseaux cellulaires et tout autre dispositif au moyen de protocoles comme Bluetooth. Les dispositifs mobiles sont aussi vulnérables aux mêmes types de cybermenaces que les ordinateurs traditionnels, dont les maliciels, les logiciels espions et les chevaux de Troie. Le fait de permettre la présence de dispositifs à capacité sans fil dans des zones où sont hébergés des renseignements sensibles ou classifiés peut entraîner une exfiltration ExfiltrationRetrait non autorisé de données ou de fichiers d’un système par un intrus. (fuite) de données électroniques ou vocales. L’exfiltration peut être intentionnelle ou non, et être effectuée au moyen d’un implant installé dans le dispositif par un auteur de menace. L’auteur d’une menace peut utiliser divers moyens pour acquérir de l’information du GC : vidéo, photographie, enregistrement vocal, ou connexion d’un dispositif directement à une infrastructure câblée.

La menace d’exfiltration est amplifiée lorsqu’un signal sans fil provenant d’un réseau sans fil n’appartenant pas au GC (p. ex. accès Wi-Fi® gratuit dans un café local) se trouve dans le champ de portée d’un réseau sans fil du GC ou d’un dispositif mobile appartenant au GC. Un dispositif du GC peut être connecté par inadvertance ou intentionnellement à un réseau n’appartenant pas au GC ou servir de pont entre un réseau sans fil externe et un réseau du GC, fournissant ainsi une voie de transmission pour l’exfiltration.

L’installation de systèmes TI classifiés à proximité d’émetteurs radioélectriques peut aussi donner lieu à des fuites d’information non intentionnelles.

3 Stratégies d'atténuation

Pour atténuer les risques que posent les dispositifs mobiles et signaux sans fil à l’égard de l’information sensible ou classifiée, les ministères du GC doivent mettre en place des pratiques de sécurité rigoureuses et aviser leurs employés des répercussions en matière de sécurité. Lorsqu’elles sont mises en œuvre ensemble, les mesures présentées ci-dessous peuvent réduire le risque de compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. de l’information.

3.1 Politiques et procédures

Les ministères doivent élaborer des politiques et des règles internes claires sur l’utilisation de dispositifs sans fil dans les zones où sont traités des renseignements sensibles ou classifiés, ou près de ces zones. Le Guide pour l’établissement des zones de sécurité matérielle (G1-026) de la Gendarmerie royale du Canada (GRC) doit servir d’élément clé dans l’élaboration d’une stratégie globale de gestion des risques.

Les ministères qui utilisent une solution de gestion de dispositifs mobiles (MDM pour Mobile Device Management) doivent s’assurer que les configurations de sécurité sont clairement définies dans leurs politiques et procédures internes. La publication ITSB 64 – Solutions de gestion de dispositifs mobiles (MDM) du CST pourra les aider à choisir la solution MDM appropriée.

Des activités régulières portant sur la sensibilisation aux vulnérabilités et sur l’adoption d’habitudes d’utilisation appropriées devraient être proposées à tous les utilisateurs ayant accès aux systèmes ministériels.

3.2 Technologies

Les ministères et organismes du GC devraient envisager d’adopter les contrôles de sécurité suivants pour leurs dispositifs mobiles :

  • utiliser une liste blanche pour imposer des restrictions dans l’ensemble de l’organisme;
  • contrôler l’utilisation des caméras et des émetteurs sans fil;
  • restreindre les connexions à un réseau Wi-Fi® aux points d’accès autorisés du GC.

4 Mise en application

Pour éviter toute fuite d’information non intentionnelle, il faut installer les systèmes TI classifiés le plus loin possible des émetteurs radioélectriques comme les points d’accès Wi-Fi®, les répéteurs de signaux, les dispositifs portables (p. ex. ordinateurs portatifs, tablettes, téléphones mobiles) et les technologies sans fil à l’appui (p. ex. Wi-Fi® ou cellulaire). À noter que les émetteurs radioélectriques fixes posent un plus grand risque que les dispositifs mobiles. Consultez la publication ITSG-11 – Planification des installations COMSEC – Conseils et critères, pour en savoir plus sur l’installation de systèmes TI classifiés à proximité d’émetteurs radioélectriques.

5 Conclusion

Il est impératif que les ministères du GC mettent des mesures de sécurité en place afin d’assurer la protection, la disponibilité DisponibilitéCaractéristique de l'information ou des systèmes qui sont accessibles aux personnes autorisées au moment où celles-ci en ont besoin. La disponibilité est un attribut des actifs informationnels, logiciels, et matériels (l'infrastructure et ses composantes). Il est également entendu que la disponibilité comprend la protection des actifs contre les accès non autorisés ou les compromissions. et l’intégrité IntégritéAptitude à protéger l'information contre les modifications ou les suppressions non intentionnelles ou inopportunes. L'intégrité permet de savoir si l'information est conforme à ce qu'elle est censée être. L'intégrité s'applique également aux processus opérationnels, à la logique des applications logicielles, au matériel ainsi qu'au personnel. de leurs renseignements et de leurs actifs liés aux TI. L’utilisation de dispositifs mobiles et de signaux sans fil à proximité des systèmes TI qui traitent de l’information sensible ou classifiée met à risque les renseignements et actifs du GC. Les ministères peuvent accroître la sécurité de leurs réseaux et prévenir l’exfiltration de données en mettant en place des politiques de sécurité solides, des programmes de formation et de sensibilisation, des contrôles de sécurité adaptés et un processus rigoureux de gestion des risques.

6 Aide et renseignements

Pour obtenir de plus amples renseignements, veuillez communiquer par téléphone ou par courriel avec le Centre d’appel du Centre pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité.  :

Courriel contact@cyber.gc.ca | Mobile 613-949-7048 ou 1833CYBER88

Date de modification :