Le b-a ba de la cybersécurité
Cet article s’inscrit dans la collection « Cybersécurité, technologies opérationnelles ».
Par Valérie Levée
En 2017, 21 % des entreprises canadiennes, petites et grandes, ont fait l’objet d’une cyberattaque, selon l’Enquête canadienne sur la cybersécurité et le cybercrime. Cette même enquête révèle que 95 % des entreprises avaient mis en place des mesures de cybersécurité. Manifestement, pour plusieurs entreprises, la menace a été sous-estimée et les mesures de protection ont été insuffisantes. Voici les premiers pas vers la cybersécurité.
Faire une analyse des risques
Comme pour d’autres types de risques, se protéger contre les cyberattaques commence par une analyse des risques et des épercussions sur les activités de l’organisation. Plus précisément, dans le cas d’une cyberattaque qui viserait les opérations d’une organisation, il convient d’examiner comment les perturbations des TO (technologies informatiques qui soutiennent les opérations, aussi appelées technologies opérationnelles) se répercutent sur la production de l’entreprise, sur les services à la population, sur la sécurité du personnel ou du public et sur l’environnement. «Pour un dirigeant, la première étape consiste à se demander s’il peut se permettre que le système informatique s’arrête, indique Éric Walker, ing., expert en architecture et en cybersécurité des TO. Si la réponse est non et qu’il y a un enjeu de sécurité ou d’environnement, il faut sécuriser le système.» Pour aller plus loin, le dirigeant devra pousser sa réflexion et déterminer combien de temps son organisation peut tenir en cas de défaillance des TO, quel est le niveau minimum
d’opérations à remettre en marche et en combien de temps. Sécuriser un système informatique implique de le connaître et donc de faire l’inventaire de tous les équipements locaux, mobiles ou distants, ainsi que des fonctions et des données associées aux opérations. Il faut aussi cartographier les connexions de ces équipements et fonctions à l’intérieur du système et avec l’extérieur. En partant de cet inventaire, il devient possible de déceler les failles du système par où pourrait se faufiler un logiciel malveillant et de renforcer l’hygiène informatique. Cela sert en outre à préciser les répercussions d’une cyberattaque selon les équipements, fonctions ou données touchés, et permet finalement d’établir un plan de relève pour remettre les opérations en marche en fonction de leur niveau de priorité.
« Le premier problème est le facteur humain; il faut donc sensibiliser le personnel à la cybersécurité.» — Nora Boulahia Cuppens, ing., professeure au Département de génie informatique et génie logiciel à Polytechnique Montréal
Établir des règles d’hygiène informatique et un plan de relève
Il existe en santé-sécurité du travail des principes de base pour éviter les accidents au travail et les maladies professionnelles. Il s’agit de sensibiliser, d’informer et de former es équipes et de sécuriser les milieux de travail. Le même schéma s’applique à la cybersécurité. «Le premier problème est le facteur humain; il faut donc sensibiliser le personnel à la cybersécurité», estime Nora Boulahia Cuppens, ing., professeure au Département de génie informatique et génie logiciel à Polytechnique Montréal. «L’humain est la plus grande faille des systèmes, dit aussi Éric Walker. Il faut des formations et des rappels périodiques des bonnes pratiques.» Changer ses mots de passe, surveiller les courriels suspects, se déconnecter des sites après utilisation, ne pas mettre sa clé USB dans un ordinateur inconnu, prévenir un responsable des TI en cas de doute… ne sont que quelques exemples de mesures d’hygiène informatique que doivent appliquer les individus.
En ce qui concerne les équipements, un premier principe de base pour sécuriser les opérations est de séparer les TI et les TO. «La plupart du temps, le système TI associé à la bureautique est séparé du système des TO», observe Theodora Nerodea, ing., conseillère en architecture des TO et en cybersécurité. «Même à l’intérieur d’un procédé opérationnel, il faut segmenter en sous-procédés», souligne Éric Walker.
Un autre principe de base à mettre en pratique se rapporte à la redondance des équipements et à la sauvegarde des données. Installer un pare-feu, c’est bien; en installer un deuxième différent du premier, c’est mieux. «L’attaquant doit trouver la vulnérabilité du premier et celle du deuxième, explique Frédéric Cuppens, ing., professeur au Département de génie informatique et génie logiciel à Polytechnique Montréal. Ça lui complique la tâche, et il devra avoir plus de ressources.» Nora Boulahia Cuppens, pour sa part, précise qu’il faut une redondance diversifiée : «Si un serveur est attaqué et qu’on rebondit sur un deuxième serveur pour continuer les opérations et si ce serveur a les mêmes défenses que le premier, il sera attaqué comme le premier.» Un autre élément de sécurité est
de rendre le système dynamique. Les rançongiciels sont de plus en plus sophistiqués et procèdent à une reconnaissance des éléments
de protection pour les neutraliser avant d’attaquer. « Il faut changer le système de protection de façon périodique, le rendre dynamique, pour qu’il ait changé au moment de l’attaque», ajoute Nora Boulahia Cuppens.
« Les cyberassurances vont imposer des contraintes, comme avoir un pare-feu, une segmentation des systèmes dans l’entreprise. » — Frédéric Cuppens, ing., professeur au Département de génie informatique et génie logiciel à Polytechnique Montréal
Enfin, au-delà du système informatique, il ne faut pas perdre de vue que la sécurité des opérations industrielles repose aussi sur des systèmes mécaniques ou électriques. Par exemple, «si un logiciel
malveillant augmente la pression dans un procédé industriel, il doit y avoir une valve de sécurité pour
empêcher une explosion», illustre Éric Walker.
L’attaque peut survenir malgré toutes les précautions; voilà pourquoi il faut établir un plan de relève pour assurer la continuité des opérations ou, le cas échéant, les remettre en route. Ce plan établit dans quel ordre vérifier les sous-systèmes, restaurer les données et relancer les opérations. Il doit prévoir des procédures manuelles en cas d’échec des systèmes informatiques, indiquer les rôles et responsabilités de chacun, et prévoir un plan de communication envers le personnel, la chaîne
d’approvisionnement et le public.
Avoir recours aux directives et aux normes
Il existe des directives et des normes pour guider l’implantation de mesures de cybersécurité, comme celles du National Institute of Standards and Technology du gouvernement des États-Unis. « Il y a aussi la norme ISO 27000 sur les technologies de l’information,
qui donne une liste de vérifications et d’éléments à mettre en place en matière d’hygiène informatique, poursuit Nora Boulahia Cuppens. La série de normes ISA/IEC 62443, élaborée par le comité ISA99, fournit un cadre pour le traitement et l’atténuation des vulnérabilités de sécurité actuelles et futures dans les systèmes d’automatisation et de contrôle industriels. En France, la Loi de programmation militaire exige des opérateurs d’importance vitale (OIV) la mise en place de mesures techniques et organisationnelles pour protéger les données sensibles de leurs systèmes d’information et impose des règles de sécurité renforcées.»
De son côté, le Centre canadien pour la cybersécurité du gouvernement du Canada offre des outils et des services d’accompagnement, dont un guide d’auto-évaluation de la préparation pour faire face aux cyberattaques; le guide propose des mesures pour améliorer sa situation. La législation canadienne n’oblige pas les entreprises canadiennes à se certifier, mais c’est peut-être une question de temps. «J’ai l’impression que les gouvernements n’auront pas le choix de réglementer la cybersécurité, estime Éric Walker. Il faut que ça relève d’une loi et pas juste de bonnes pratiques à suivre.» Si ce n’est pas le gouvernement, ce seront peut-être les compagnies d’assurances en cybersécurité qui exigeront le respect des bonnes pratiques. «Les cyberassurances vont imposer des contraintes, comme avoir un pare-feu, une segmentation des systèmes dans l’entreprise», croit Frédéric Cuppens. «Les critères d’admissibilité pour s’assurer sont de plus en plus serrés», observe d’ailleurs Éric Walker.
La cybersécurité n’est plus une option : les organisations doivent l’intégrer dans leurs mœurs et garder en tête que c’est un processus continu. La pensée cybersécurité doit accompagner l’installation de chaque nouvel équipement ou nouvelle fonction informatique. Et
parce que les pirates informatiques chercheront toujours à contourner les défenses, il faut s’informer des nouveaux risques, des nouvelles attaques et mettre à jour ses systèmes de protection.
Les portes d’entrée des logiciels malveillants
Les courriels
Les courriels comportant une pièce jointe infectée ou un lien qui mène sur un site Internet infecté sont la porte d’entrée principale des logiciels malveillants. Le pirate se fait passer pour une personne de confiance dans l’organisation et envoie un courriel demandant de
cliquer sur un lien ou de télécharger une pièce jointe. «On pense que c’est le patron qui a envoyé le courriel, on fait confiance, on clique sur le lien et on infecte notre ordinateur », résume Éric Walker.
Le téléchargement
Certains travaux nécessitent de télécharger des documents venant de l’extérieur de l’organisation. Nora Boulahia Cuppens donne l’exemple du secteur maritime où les pilotes doivent télécharger des cartes de navigation. «Quand on télécharge un document par
Internet, il faut vérifier que le site est sécurisé. Un site «https» est sécuritaire, mais il faut se méfier des sites «http», conseille-t-elle.
Les périphériques
Une clé USB peut être un vecteur de virus. Il faut éviter d’insérer notre clé USB dans un ordinateur dont la fiabilité n’est pas certaine et, inversement, ne pas insérer une clé USB inconnue dans notre ordinateur. « Il faut utiliser un système informatique confiné pour vérifier qu’elle ne contient pas de virus», recommande Nora Boulahia Cuppens.
Les profils LinkedIn
LinkedIn n’est pas à proprement parler une porte d’entrée sur un réseau informatique, mais les pirates s’en servent pour dénicher les personnes responsables des réseaux informatiques ou des systèmes opérationnels afin d’en faire leurs cibles.
Les mots de passe
Des équipements informatiques sont souvent installés avec un mot de passe par défaut. Ce mot de passe permet d’initialiser et de configurer l’équipement, et le fabricant utilise le même mot de passe par défaut pour tous ses clients. Rien de plus facile pour un pirate
que de se procurer ces mots de passe par défaut. L’organisation doit donc composer ses propres mots de passe et établir une politique de gestion des mots de passe.
L’industrie 4.0
Avec l’industrie 4.0, les flux de données circulent au sein d’une entreprise de même que dans la chaîne d’approvisionnement. Croiser des données opérationnelles avec des données de ventes et d’achats peut améliorer la productivité, mais aussi ouvrir la porte à des attaques informatiques.
Le nuage
L’infonuagique offre des solutions très élégantes et alléchantes pour la gestion et l’exploitation des données ainsi que pour l’accès à son organisation de partout à partir d’un téléphone cellulaire. « Il y a un côté flexibilité très intéressant pour un dirigeant qui peut voir son entreprise en temps réel, mentionne Éric Walker. Une ville peut héberger des données dans le nuage. Mais ça ouvre la porte à des gens de l’extérieur. Il faut faire une analyse de risques et mettre en place des mécanismes de protection.»
