mardi 25 octobre 2011

Dix conseils pour PME

De nos jours, les technologies de l'information sont considérées comme des facteurs de succès importants pour les PME dans l'atteinte de leurs objectifs de productivité et de rentabilité. Cependant, seuls, ces outils sont susceptibles à des failles de sécurité. Il faut donc que les PME jumellent ces outils à des tactiques et des stratégies de sécurité afin de se protéger, ainsi que leurs clients, face aux menaces qui existent. Voici donc dix conseils-clé afin d'améliorer votre sécurité de l'information et arriver à ces fins:

1. Formez vos employés aux principes de base
Établissez des politiques de sécurité de base, visant à protéger l'information qui transige dans votre organisation et communiquez celles-ci à vos employés régulièrement. Dans ces politiques, assurez-vous de décrire les comportements acceptables face à la sécurité ainsi que les pénalités pour la violation des règles établies.

2. Protégez l'information, les ordinateurs, le réseau contre les virus, les logiciels espions et malveillants
Installez, utilisez et mettez à jours régulièrement un antivirus sur tous les postes de travail et serveurs de votre organisation. Ce type de logiciel est facilement accessible à travers divers vendeurs. Assurez-vous de configurer l'antivirus pour qu'il se mette à jour automatiquement à un moment de la journée où l'usage du réseau est bas (ex. pendant la nuit). Encore mieux,
faites en sorte que le logiciel balaye le réseau immédiatement après sa mise à jour.

3. Protégez votre connexion internet avec un coupe-feu
Un coupe-feu est un équipement (ou un logiciel) qui empêche l'accès à votre réseau informatique des intrusions non-autorisées provenant d'internet. Placez votre coupe-feu entre votre réseau local et l'internet. Si vous avez des employés qui travaillent de la maison, assurez-vous qu'ils soient également protégés par un coupe-feu.

4. Mettez à jour votre système d'exploitation et applications
Tous les vendeurs de systèmes d'exploitation régulièrement rendent disponibles des correctifs (patch) pour leur produit afin de corriger ses lacunes de sécurité et améliorer sa fonctionnalité. Configurez votre système d'exploitation et vos applications pour qu'ils intègrent automatiquement ces correctifs.

5. Faites des copies de sauvegarde de vos données d'affaires importantes
Il est très important de faire ces copies de sauvegarde régulièrement et ce, pour tous les postes de travail de votre organisation. Il est recommandé d'exécuter cette tâche hebdomadairement.

6. Ayez un contrôle d'accès physique à votre réseau
Empêchez une personne non-autorisée d'accéder à un ordinateur et à votre réseau informatique. Les ordinateurs portables sont des cibles de prédilection pour les voleurs. Assurez-vous que ceux-ci soient entreposés en lieu sûr lorsque que nonutilisés.

7. Sécurisez votre réseau sans-fil
Si vous utilisez ce type de réseau, assurez-vous qu'il soit caché et sécurisé. Pour cacher un réseau sans-fil, configurez votre router pour que celui-ci ne divulgue pas le nom du réseau, connu sous le nom de SSID (Service Set Identifier). De plus, activez l'option de chiffrement qui fera en sorte que le réseau sera protégé par un mot de passe. Finalement, il est important de changer le mot de passe original (du manufacturier) du routeur.

8. Exigez un compte utilisateur individuel pour chaque employé
Assurez-vous que ceux-ci soient protégés par un mot de passe robuste et ne donnez les privilèges administratifs qu'aux responsables TI de confiance.

9. Limitez les permissions et l'autorisation à faire des installations
Ne donnez jamais l'accès complet au réseau à une personne unique. Les employés devraient avoir accès seulement aux ordinateurs qui leur permettent de faire leur travail. De plus, ces derniers ne devraient pas pouvoir installer de nouveaux logiciels sans autorisation.

10. Changez vos mots de passe régulièrement
Il est fortement recommandé de changer de mot de passe tous les trois mois. Tous les employés devraient faire de même.

Pour plus de conseils et de renseignements sur comment sécuriser votre PME, consultez le www.gardienvirtuel.ca

mardi 27 septembre 2011

Piratage du Devoir

Le 16 août dernier, vers 1h du matin, le site Web du journal Le Devoir a été piraté. Le malfaiteur, ayant réussi à pénétrer dans la portion administrative du site, a modifié la page principale du site web en y ajoutant un article qui annonçait la mort du Premier Ministre Jean Charest.

Une certaine confusion eut lieu, mais rapidement les attachés de presse du Premier Ministre ont déclaré que la nouvelle était fausse, mais pas avant que celle-ci n'ait été reprise par plusieurs journaux à travers le monde et répandue comme une trainée de poudre dans les médias sociaux.

Ce que nous savons aujourd'hui est que les techniciens responsables du site Web ont pris plusieurs heures afin de reprendre le contrôle du site et le Devoir n'a pas encore d'idée à ce jour de qui a pu faire une telle modification.

Le Devoir n'est pas le premier organe de presse à être piraté. Par contre, il semble être le premier à le vivre en direct à la télévision et dans les médias sociaux et il en subit plusieurs conséquences. Outre le fait de devoir investir rapidement temps et argent pour corriger le problème d'un point de vue technique, il lui faut aussi faire une gestion de crise notamment en effectuant de nombreuses entrevues pour démentir la nouvelle. En plus, et peut-être le pire, le journal doit se démener pour protéger sa réputation de quotidien fiable, car à partir de maintenant, chaque fois que le devoir annonceras la mort d'une personnalité connue, politique ou autre, les gens douteront.

Cet incident prouve que la sécurité, c'est l'affaire de tous, et qu'il faut être vigilants 24 heures sur 24, sept jours semaine.

mardi 12 juillet 2011

Gardien Virtuel répond à vos questions de sécurité

Si vous avez une question de sécurité, n'hésitez pas à la poser en cliquant sur le bouton vert de la page d'accueil de notre site Web (www.gardienvirtuel.ca).

QUESTION:

"J’aimerais savoir si la gestion des accès physiques aux zones d’accès restreint est habituellement gérée par le TI dans l’entreprise ou par le département responsable de la sécurité physique."

-- Mme. Caroline M., Québec.


RÉPONSE:

QUI GÈRE LES ZONES D'ACCÈS DANS UNE ENTREPRISE?
La responsabilité des lieux physiques relève du département immobilier, puisqu'il est également responsable de l'entretien et de la configuration des lieux. Par contre, les gestionnaires de ce département doivent répondre aux critères établis par le département de sécurité, ce dernier ne faisant pas nécessairement partit du groupe « informatique » de l'entreprise.

Donc, pour répondre à la question, dans une situation d'une organisation ne disposant que de deux groupes, les rôles et responsabilités doivent être divisés entre ces deux groupes. Par contre, le contrôle « physique » des gens pour l'accès est habituellement le rôle principal du groupe de sécurité physique.

Voici un exemple de répartition des tâches:

-Sécurité physique:
Mise en place de solution
Enrôlement des employés dans systèmes
Gestion des gardiens de sécurité

-Groupe TI:
Définition des besoins de sécurité physique
Effectue demande de permission d'accès aux ressources humaines

-Groupe des ressources humaines:
Fournir l'approbation pour l'enrôlement ou la désactivation d'un nouvel employé
Embauche des gardiens de sécurité

dimanche 3 juillet 2011

Comment faire confiance à un site web?

Dernièrement Frédéric Perron de la revue Protégez-vous m'a demandé mon avis sur le site ShouldIChangeMyPassword.com.

Source : http://www.protegez-vous.ca/technologie/piratage-informatique-protection.html

Ce site permets de valider si notre courriel fait partie de la TRÈS longue liste de courriels piratés récupérés lors des sagas Lulzsec, Anonymous et autres.

Je dois avouer que je me sens très mal à l'aise pour faire une recommandation avec ce genre de site.

Premièrement, le site requiert une information personnelle (votre courriel) ce qui, en soit, n'est pas une bonne pratique de sécurité que de fournir de l'information de cette nature.

Deuxièmement, ce site est hébergé à Singapour. Je ne suis pas sûr d'avoir pleine confiance en un site asiatique dont le public cible est «américain» et/ou «européen». Et vous?

Troisièmement, le site a été enregistré le 16 juin 2011, de manière anonyme, ce qui cache la source de la personne (ou groupe) derrière le site. Est-il de confiance?

Malgré ces arguments, je connais tout de même des techniques pour valider la confiance que j'ai dans un site web. Tout d'abord, je vérifie ce qu'il se dit à son sujet sur des sites de validations tels que ceux ci-dessous. Voici mes résultats :

McAfee n'a trouvé aucun problème de sécurité :
https://www.siteadvisor.com/sites/shouldichangemypassword.com

Aucune menace trouvée par Norton :
https://safeweb.norton.com/report/show?url=shouldichangemypassword.com

92 personnes ont affirmé qu'il est de confiance sur «Web of trust»
http://www.mywot.com/en/scorecard/shouldichangemypassword.com

Cette validation rapide permet d'avoir une meilleure idée du site que nous visitons.

Ai-je testé mon courriel?

Oui. Je reste méfiant malgré tout. J'ai donc entré un courriel «test», question de voir si je vais recevoir du pourriel de ce site web et si je me suis fait avoir malgré mes recherches.

La bonne nouvelle est que, après quelques jours déjà, je n'ai rien reçu.

mardi 21 juin 2011

Évaluer la confiance d'une manière structurée

Définitions :

Fiduciaire : Version française de « Trustee » Celui qui reçoit la confiance des gens.

Fiduciant (Constituant) : Version française de « Trustor » est celui qui donne sa confiance à l'autre partie.

Confiance : Version française de « Trust »
tirée du RFC 2828 – Représente la limite à laquelle une personne compte sur un système et peut avoir confiance que ce système répond aux spécifications attendues. Ex. : Le système ne réalisera pas de fonctions non désirées.

Il existe différentes approches pour évaluer les facteurs qui contribuent à la fiabilité d'une autre partie. Par exemple, Cofta énumère trois éléments principaux, soient :
  • La continuité : Durée de la relation
  • Compétence du fiduciaire
  • Motivation du fiduciaire : Si elles vont dans la même direction que celle du fiduciant
Les questions à se demander telles que définies par ISECOM lors de leur « Certified Trust Analyst Training » sont sommairement expliquées ici :
  1. La taille : Qui sont exactement ceux en qui vous allez faire confiance? C'est pourquoi des vérifications des antécédents sont effectuées lorsque vous postulez pour un emploi dans une agence, ils veulent savoir avec qui vous interagissez dans votre vie quotidienne et qui pourrait influencer vos décisions).
  1. La Symétrie : Est-ce que la confiance va dans les deux directions?
  1. Transparence : Que connaissons-nous du fiduciaire?
  1. Consistance : Quelles ont été les actions, résultats du fiduciaire dans le passé?
  1. Intégrité : Comment pouvons nous être informé ou avoir des indicateurs de changement du fiduciaire?
  1. Bénéfice de la confiance : Que gagne le fiduciant à donner sa confiance ? Trop mettre de poids dans ces bénéfices par rapport aux autres éléments est exactement la même chose qu'une fraude de Ponzi. (Tel que vente pyramidale)
  1. Composant : Sur quelles ressources le fiduciaire dépend?
  1. Porosité : Jusqu'à quel point les réseaux du fiduciaire et du fiduciant sont séparés?


La négociation d'une indemnité à payer lorsque la confiance est brisée constitue l'exact opposé de la confiance, mais il peut contribuer à la confiance.

Poser ces questions permet d'aider à mieux comprendre à qui l'ont fait confiance et pourquoi. Puis cela contribue a prendre des décisions éclairées quant aux risques que l'ont prends pour finalement identifier les domaines ou les contrôles supplémentaires qui seraient nécessaires.
(par exemple, Exiger des rapports plus précis dans les contrats de service).



mardi 14 juin 2011

Qui sont les pirates qui attaquent nos réseaux, sites web et infrastructures informatiques?

Mes collègues et moi devons nous « battre » contre plusieurs types d'ennemis. Chaque type, ou catégorie, dispose de ressources, de motivation et de connaissances différentes. Certains ont beaucoup d'argent, mais pas de très grandes connaissances, alors que d'autres groupes disposent de beaucoup de connaissances et de motivation.

Compte tenu des récentes attaques (Honda Canada, Réseau PlayStation, FMI, etc.), voici les principaux groupes de pirates internet ainsi qu'une courte définition, le tout tiré d'un article publié en début d'année (voir référence plus bas).

Pirate #1 : Les cybercriminels
Leur motivation est simple à comprendre; c'est le gain financier. Ils sont des criminels professionnels et représentent le plus grand groupe de pirates sur Internet et utilisent tous les moyens nécessaires pour voler de l'argent, soit par le vol d'identité, le contournement d'argent, trucages, etc.

Pirate #2 : Les polluposteurs
Les polluposteurs font de l'argent grâce à la publicité illégale, que ce soit pour du Viagra ou autres produits, cela rend une marque ou une expression très populaire. Pour eux, ce qu'ils font n'est que du « marketing agressif ».

Pirate #3 : Agents APT (Advanced persistent threat) ou menace avancée et persistante
Ces attaquants proviennent de groupes bien organisés, bien financés et très motivés. Ce sont des gens qui infiltrent les entreprises par différents moyens afin de voler le maximum d'informations. Ils ne sont pas là pour des gains financiers rapides comme les cybercriminels. Ils possèdent une vision de leur crime à long terme. Un peu comme un agent double présent dans un pays ennemi.

Pirate #4 : Cyberespions
L'espionnage d'entreprise n'est pas une activité récente. Elle est simplement beaucoup plus facile à faire grâce à la connectivité d'internet. Ces espions sont généralement intéressés à un élément particulier de la propriété intellectuelle ou à des renseignements concurrentiels. Ils diffèrent des agents APT en ce sens qu'ils n'ont pas à être situés dans un pays étranger Ces groupes ne sont généralement pas aussi organisés que les groupes APT, et ils sont davantage axés sur le court à moyen terme pour les gains financiers.

Pirate #5 : Hacktivistes
Beaucoup de pirates sont motivés par des considérations politiques, religieuses, environnementales, ou d'autres croyances personnelles. Ils se contentent généralement de gêner leurs adversaires par les attaques de dénis de services, ou les modifications non autorisées de site web, mais ils peuvent aussi glisser vers l'espionnage corporatif si cela peut affaiblir leurs adversaires.

Pirate #6 : Cyber ​​guerriers
La cyberguerre est guerre état contre un état avec pour objectif de diminuer les capacités militaires de l'adversaire. Les Cyberguerriers
peuvent fonctionner à la manière d'un APT ou de cyberespions en fonction des besoins, mais tout ce qu'ils apprennent est orienté vers un objectif militaire. Le ver Stuxnet est un bon exemple de cette méthode d'attaque.

Pirate #7 : les pirates solitaires
Il y a des centaines de milliers de pirates qui veulent tout simplement de prouver leurs compétences ou se vanter auprès de leurs amis et qui sont simplement heureux participer à des activités non autorisées. Ils peuvent participer à d'autres types de piratage (logiciels criminels), mais ce n'est pas leur seul objectif et motivation. Ce sont les figures traditionnelles stéréotypées popularisées par le film de 1983 «Jeux de Guerre », c'est-à-dire un pirate oeuvrant tard dans la nuit, tout en buvant et en mangeant Mountain Dew et Doritos. Ce sont les "petits délinquants" du cybermonde.
Ils sont une nuisance, mais ils ne sont pas sur le point de perturber l'Internet et les entreprises que nous connaissons et contrairement aux membres des autres groupes.

Connaissez vos ennemis
Il est important de connaître son ennemi pour se défendre efficacement contre eux. Si vous pensez avoir tout simplement un débordement de tampon, des systèmes entièrement rapiécés, et des antivirus pour vous défendre contre tous les pirates, peu importe leurs objectifs, vous avez tort.



Références:



mardi 24 mai 2011

Quelles sont les bonnes pratiques en matière de gestion de coupe-feu?

Voici quelles sont les meilleures pratiques en matière de gestion de changement des coupe-feu. 


  1. Avoir un formulaire simple
Ce sont les utilisateurs, développeur, etc., qui doivent ouvrir des ports d'accès, des sites web et obtenir d'autres permissions de communication d'un réseau vers un autre. Ils doivent donc être en mesure d'écrire leurs demandes et leurs besoins d'une manière simple, rapide et efficace. La meilleure manière reste un formulaire web ayant un numéro de demande.

  1. Revoir les formulaires par une personne technique afin de convertir les termes vague et imprécis en termes techniques et spécifiques aux besoins de l'utilisateur
Le personnel technique doit revoir les demandes afin de clarifier tous les points et d'être bien certain des besoins du demandeur. Celui-ci a peut-être une méthode alternative de communication, telle qu'utiliser SCP au lieu de FTP ou d'un partage réseau SMB, qui lui permet de réaliser son travail sans avoir à ouvrir de nouveau port dans le coupe-feu.

  1. Valider que les changements ont besoin d'être faits.
Certaines demandes ne méritent pas un changement dans le coupe-feu. Par exemple, dans le cas d'une personne qui souhaite avoir accès à un site FTP pour télécharger un fichier alors que celui-ci est disponible sur le site web dont le client à besoin. Cette étape correspond aussi à celle où l'équipe technique valide la pertinence et réévalue le besoin exprimé par l'utilisateur.

  1. Apprécier le risque des changements
Une fois le besoin clairement identifié, l'équipe technique doit réfléchir aux risques associés à l'ouverture de ce port de communication. Dans certains cas, l'équipe technique doit refuser certaines demandes et proposer des méthodes alternatives aux besoins exprimés par le demandeur. Les changements demandés ne doivent pas apporter des risques inacceptables pour l'entreprise.

  1. Vérifier que la politique de l'entreprise n'est pas compromise par ce changement
La politique de sécurité corporative doit décrire ce qui doit être protégé et contre quel type de menace. L'équipe technique devrait se référer à la politique afin de valider que la demande de changement n’aille pas à l'encontre d'une politique d'entreprise. Exemple: Ouvrir un accès distant de puis la maison, alors qu'il est interdit de faire du télé-travail dans l'entreprise.

  1. Obtenir l'approbation du propriétaire de l'information ou du système touché par ce changement
Ultimement, le propriétaire de l'information est responsable des mesures de sécurité et des permissions qui touchent son information. Il doit donc donner son accord aux demandes de changements qui touchent ses systèmes.

  1. Le coupe-feu a-t-il besoin d'une nouvelle règle ou pouvons-nous modifier une règle existante?
Il ne faut pas continuellement ajouter des règles à un coupe-feu. Dans certains cas, une règle existe déjà et il ne suffit que de la modifier un peu pour permettre le changement demandé.

  1. Choisir le bon emplacement dans la base de règle du coupe-feu
Le choix de l'emplacement dans certains coupe-feu est essentiel, l'équipe technique doit donc choisir et valider le bon endroit

  1. Valider que la mise en place fonctionne et n'engendre pas de nouvelle vulnérabilité
Il est recommandé de faire un test de sécurité après chaque changement pour valider que tout changement n'apporte pas son lot de nouvelles vulnérabilités. Ce test sert également d'assurance qualité pour l'équipe technique, il permet de valider que le changement a bien eût lieu, et qu'aucune autre règle n'a été impactée.

  1. Documenter les changements faits au coupe-feu
L'étape la plus importante consiste à documenter les changements effectués. L'endroit le plus propice pour trouver l'information reste dans le formulaire du demandeur. Celle-ci doit être regroupé vers une base de données de gestion des changements. Il est recommandé d'avoir un commentaire directement dans le coupe-feu qui permet de connaitre la source de chaque règle.

  1. Rattacher le changement du coupe-feu au formulaire reçu du client.
Afin de faire le cercle complet d'une demande, la documentation doit comprendre les éléments suivants :
A) Le formulaire du demandeur avec un numéro unique
B) Le numéro de la règle dans le coupe-feu.
C) Le rationnel du travail de l'équipe technique (Évaluation des risques, approbation et commentaires)

  1. Informer l'utilisateur que les changements ont été faits.
Finalement, il importe de rapidement communiquer au client que sa demande a été traitée et qu'elle est en place à partir d'un moment précis. S'il a des commentaires ou questions, référer le client à un numéro unique afin de faire le suivi pour l'équipe technique.

mercredi 9 mars 2011

Concours de piratage SYN/HACK

Avis aux intéressés: GV (www.gardienvirtuel.ca) cherche a commanditer une équipe au concours SYN/HACK (http://www.colloque-rsi.com/programmation/competition-synhack/) Envoyez-nous un email à info@gardienvirtuel.ca! Contrairement au Hackfest et au Hackus, nous ne pouvons pas participer nous-mêmes au SYN/HACK puisque nous organisons les épreuves techniques!

mardi 15 février 2011

Différence entre la sécurité informatique et informationnelle.

Bonjour,

Je suis très heureux de vous dire bonjour et bienvenu à cette nouvelle chronique de sécurité de l'information. Je vais tenter de vulgariser et d'expliquer les différents concepts avec lesquels nos experts travail à tous les jours.

Une des premières questions à éclaircir et que nous avons reçu, via notre site web, est quel est la différence entre sécurité informatique et sécurité de l'information. Puis en quoi tout cela consiste?

Premièrement, la différence entre sécurité informatique et sécurité de l'information n'est pas très grande. Le terme sécurité informatique est beaucoup plus connu et utilisé par les gens liée aux métier informatique. Par contre le terme plus moderne reste la sécurité de l'information, puisque les gens ne souhaitent pas protéger le matériel informatique mais bien l'information que celui-ci contient peu importe sa forme.

Finalement, lorsque l'ont dit assurer la sécurité on doit penser aux trois pilier associé, soit la confidentialité, l'intégrité et la disponibilité de l'information. Le travail d'une personne en sécurité consiste à protéger ces trois valeurs contre les différentes menaces qui pourraient peser contre elles. L'importance à accordé à ces valeurs varies en fonction des entreprises et de leur missions, par exemple votre rapport d’impôt ou dossier médicale ne doit être lu que par les personnes autorisé et non par vos voisins ou collègues. Par contre pour les services d'urgence 911, la disponibilités ou le fonctionnement du système téléphonique prime avant tout, Il y a risque de perte de vie humaine s'il y a une panne de quelques minutes.