Ouverture du WAQ 2018

Résumé du 13 avril : journée sécurité de l’information

L’OFQJ et l’IPI – Ecole d’informatique vous proposent de revivre conférences et les visites qui ont marqué la délégation OFQJ à la Semaine Numérique 2018. Vous avez raté une conférence ou une visite qui vous intéressait ? Les élèves de l’IPI membre de la délégation OFQJ / Semaine Numérique vous proposent un compte-rendu détaillé des ateliers auxquels ils ont participé.

La sécurité des systèmes d’information

IPI_Securite3 Le contexte actuel démontre la recrudescence des attaques informatiques ciblées vers les entreprises grand compte. À l’image des vols de données fréquents sur des groupes basés à Montréal, le Canada figure dans le top 10 des pays les plus ciblés par les cyberattaques.

En quelques chiffres, c’est plus de 350 millions de variantes de malware à ce jour recensées et 600 failles identifiées sur les systèmes iOS et Android.

La principale nature de ces attaques est de type inconnu (33%), suivi par le détournement ciblés de comptes (15%).

Un point très intéressant se situe au niveau de la somme enregistrée la plus élevée versée au cybercriminel. D’un montant de 70000$ alors que la moyenne des rançons déclarées atteint 9300$. S’acquitter de la rançon ne garantit en aucun cas la récupération de vos données, nous vous conseillons de ne pas payer ce type de requêtes afin d’éviter d’alimenter un des divers réseaux ou état cybercriminels.

La sécurité est un réel enjeu politique. Seulement 38% des entreprises ont réalisé un audit de sécurité sur leur infrastructure alors qu’il est conseillé de réaliser ce type de démarche une fois par an au minimum. Afin de se prémunir d’éventuelles « rançongiciels » (ransomware), il est conseillé d’avoir 3 copies dans des espaces de stockages distincts (règle du 321) :

  • 2 types de stockages différents (secondaire, bande magnétique et classique)
  • 1 copie dans un stockage externe (cloud – primaire)

Toutes les ressources essentielles à l’activité doivent être redondées sur un espace de stockage externe de type cloud. L’hébergement de données externes a permis la déclinaison de trois offres distinctes :

  • Cloud public : dédié principalement aux applications mobiles IOT et BigData
  • Cloud privé : ressources dédiées sécurisées et protections des données accrues
  • Cloud hybride : conjugue une certaine flexibilité et économie, ainsi qu’une gestion des donnés améliorée et une sécurité accrue

Ces services doivent être soumis à un DRaaS (Disaster Recovery as a Service) offrant une réponse à la reprise d’activité en cas d’incident majeur au sein de l’entreprise.

Le choix de l’externalisation des données est à étudier car il est très important aujourd’hui de pouvoir assurer une continuité (voire une reprise d’activité) en cas d’incident majeur.

IPI_Securite2

De plus, le contexte économique européen, soumis à la RGPD, est à prendre en compte, notamment au niveau de la conservation des données utilisateurs et clients. Une étude est requise afin de ne pas exposer les données sur la mauvaise plateforme : une ne prenant pas en compte la réglementation. Par exemple les données confidentielles françaises doivent demeurer (être hébergées) sur le sol français.

Un autre point très intéressant que nous avons vu durant cette conférence traitait de la sensibilisation des utilisateurs à la sécurité des systèmes d’information au sein de l’entreprise.

L’essentiel à retenir : faire des communications courtes et efficace. Avec un objectif : réveiller l’approche analytique des collaborateurs, le qui/pourquoi/comment plutôt que l’automatisme stricto sensu que l’on rencontre habituellement.

C’est un principe que l’on retrouve de plus en plus en entreprise avec le « chocoblastage » (http://www.chocoblast.fr), mais cette fois ci un nouvel angle a été apporté… Par exemple lors d’une campagne de sensibilisation à l’hameçonnage (phishing), l’intégration des collaborateurs peut-être requise pour en augmenter l’impact. L’exemple a été donné de l’envoi d’emails à des personnes précises de l’entreprise qui contenaient un lien malveillant redirigeant la cible vers une notice leur expliquant qu’ils avaient été piégés. Cela a permis de ce fait de les sensibiliser aux hameçonnages qu’on peut rencontrer en entreprise.

Pour conclure, cette conférence nous a permis d’échanger avec des acteurs du marché afin de mieux comprendre la problématique et les solutions qui pourraient être amenée au Canada et plus particulièrement la région du Québec. Nous pouvons noter un manque flagrant de formation efficace et disponible en sécurité de l’information dans la région du Québec et encore plus au niveau scolaire notamment dû à un manque de pratique.

 

Thomas Ferreira & Teddy Frederickx

IPI_Securite