CybersecurityBestPracticesGuide FR

Guide de pratiques exemplaires en matire de cyberscurit
lintention des courtiers membres de lOCRCVM

Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Table des matires

Sommaire ................................................................................................................................................. 3
Objet et applicabilit..................................................................................................................................... 4
Public cible .................................................................................................................................................... 6
1 Contexte ........................................................................................................................................... 7
1.1 Dfinition de la cyberscurit .......................................................................................................... 7
1.2 Contexte des menaces ..................................................................................................................... 9
2 Introduction ................................................................................................................................. 12
2.1 Objet et applicabilit...................................................................................................................... 12
2.2 Synthse du document .................................................................................................................. 12
2.2.1 Lien avec dautres publications portant sur le contrle de la scurit ...................................... 12
2.2.2 Contrles oprationnels, techniques et de gestion.................................................................... 13
3 Pratiques exemplaires .............................................................................................................. 13
3.1 Gouvernance et gestion des risques .............................................................................................. 13
3.1.1 Cadre de gouvernance ............................................................................................................... 13
3.1.2 Participation du conseil dadministration et de la haute direction ........................................... 16
3.2 Pratiques exemplaires recommandes : petites et moyennes socits membres ....................... 18
3.3 Enqute de scurit sur le personnel et menaces internes .......................................................... 18
3.4 Scurit physique et environnementale........................................................................................ 21
3.5 Sensibilisation la cyberscurit et formation.............................................................................. 22
3.6 Lvaluation des menaces et des vulnrabilits ............................................................................ 24
3.7 Scurit rseau .............................................................................................................................. 25
3.7.1 Scurit des rseaux sans fil ...................................................................................................... 27
3.7.2 Accs distance......................................................................................................................... 28
3.8 Protection des systmes dinformation ......................................................................................... 30
3.8.1 Apportez votre quipement personnel de communication ....................................................... 31
3.8.2 Sauvegarde et rcupration ...................................................................................................... 32
3.9 Gestion des comptes dutilisateur et contrle daccs.................................................................. 33
3.10 Gestion des actifs ........................................................................................................................... 34
3.11 Intervention en cas dincident ....................................................................................................... 35
3.12 Partage de linformation et signalement dune infraction ............................................................ 39
3.12.1 Avis dinfraction la scurit ................................................................................................ 39
3.12.2 change de renseignements.................................................................................................. 39
3.13 Cyberassurance .............................................................................................................................. 42
3.14 Gestion des risques de fournisseur................................................................................................ 44
3.14.1 Infonuagique ......................................................................................................................... 46
3.15 Politique de cyberscurit ............................................................................................................. 47
Annexe A Liste de contrle dun incident de cyberscurit .............................................. 49
Annexe B Modle de questionnaire dvaluation des fournisseurs ............................... 51
Annexe C Glossaire .......................................................................................................................... 56
Annexe D Bibliographie ................................................................................................................. 58
2
Sommaire
Compte tenu de limportance de la gestion proactive des cyberrisques pour garantir la stabilit
des socits rglementes par lOCRCVM, lintgrit des marchs financiers canadiens et la
protection des intrts des investisseurs, le prsent document propose un cadre de
cyberscurit volontaire, cest--dire un ensemble de normes et de pratiques exemplaires du
secteur pour aider les courtiers membres de lOCRCVM grer les risques en matire dee
cyberscurit.
Les directives volontaires nonces dans ce guide permettront aux courtiers membres de
personnaliser et de quantifier les ajustements apports leurs programmes de cyberscurit
laide de techniques et de contrles efficients de gestion des risques. Les courtiers membres de
moindre taille comprendront mieux la faon dappliquer des mesures de scurit de base leurs
systmes informatiques et leurs rseaux. 1 Dans le cas des courtiers membres de plus grande
envergure, le guide propose une dmarche conomique pour protger les systmes informatiques
en fonction des besoins de lorganisation, sans ajouter aux exigences rglementaires.
Les points saillants du rapport sont les suivants :
Un cadre de saine gouvernance reposant sur un leadership vigoureux est essentiel pour la
cyberscurit efficace la grandeur de lorganisation. La mobilisation du conseil
dadministration et de la haute direction est primordiale pour la russite des programmes
de cyberscurit, tout comme une chane de reddition de comptes prcise.
Une quipe bien forme peut reprsenter la premire ligne de dfense contre les
cyberattaques. Une formation efficace aidera rduire la probabilit dattaque russie en
transmettant aux membres du personnel bien intentionns des connaissances qui leur
permettront dviter de devenir des vecteurs dattaque par inadvertance (par exemple, en
tlchargeant involontairement des programmes malveillants).
Le niveau de complexit des contrles techniques appliqus par une organisation dpend
largement de sa situation. Bien quune petite organisation puisse ne pas tre en mesure de
mettre en uvre la totalit des contrles, les stratgies proposes peuvent servir de
fonction danalyse comparative essentielle pour bien faire comprendre les vulnrabilits
par rapport aux normes sectorielles.
Les courtiers membres de lOCRCVM ont habituellement recours des fournisseurs de

services indpendants qui exigent laccs aux renseignements de nature dlicate de
lorganisation ou de ses clients, ou aux systmes de lorganisation. Paralllement,
1
Les clients, les employs et les partenaires actuels et/ou ventuels de courtiers membres sattendent ce que leurs
renseignements de nature dlicate soient respects et fassent lobjet dune protection suffisante et pertinente. En outre, certaines
obligations juridiques sont imposes aux courtiers membres de lOCRCVM au chapitre de la protection des renseignements
personnels.
3
le nombre dincidents de scurit imputs aux partenaires et aux fournisseurs ne cesse

daugmenter danne en anne. Les organisations devraient grer les expositions au
risque de cyberscurit qui dcoulent de ces relations en exerant une fonction rigoureuse
de diligence raisonnable et en tablissant des politiques de vrification et de rendement
prcises.
Le prsent guide de pratiques exemplaires en matire de cyberscurit expose des pratiques
courantes et des suggestions qui peuvent ne pas sappliquer ou ne pas tre pertinentes dans
certains cas. Ce guide na pas pour objet de prsenter une norme minimale ou maximale de ce
qui constitue un ensemble de pratiques appropries en matire de cyberscurit pour les courtiers
membres de lOCRCVM. La gestion efficace des cyberrisques consiste notamment analyser la
situation qui est propre chaque courtier.
Ce guide ne cre aucune nouvelle obligation lgale ni ne modifie des obligations dj imposes,
et il ne vise nullement le faire. Linformation quil renferme est fournie uniquement titre
indicatif et nous ne pouvons pas garantir quelle est complte et exacte. Cette information ne doit
pas tre considre non plus comme un avis juridique ou professionnel. Les courtiers membres
qui dsirent obtenir dautres orientations devraient consulter un professionnel en cyberscurit
pour obtenir des conseils prcis sur leur programme de cyberscurit.
Objet et applicabilit
La prsente publication a pour objet de bien faire comprendre les contrles de scurit
spcifiques axs sur des normes qui composent un programme de pratiques exemplaires en
matire de cyberscurit.
La mise en uvre des contrles devrait varier entre les divers courtiers membres, selon les
menaces, les vulnrabilits et la tolrance au risque qui sont propres chacun. Les membres du
secteur des valeurs mobilires peuvent dterminer les activits qui sont importantes pour la
prestation de services essentiels et ils peuvent tablir lordre de priorit entre les investissements
de manire optimiser le rendement de chaque dollar dpens.
Le prsent guide comporte les objectifs prcis suivants :
tablir et tenir jour un vigoureux programme de sensibilisation la cyberscurit qui est bien
appliqu, et veiller ce que les utilisateurs soient conscients de limportance de bien
protger les renseignements de nature dlicate et les risques dun mauvais traitement
de linformation; 2
Faciliter une dmarche uniforme et comparable pour le choix et la spcification des contrles
de scurit des systmes informatiques des courtiers membres; i
2
La sensibilisation la cyberscurit est un lment essentiel dun programme toff de cyberscurit. Nous traiterons cette
question plus en dtail dans les prochaines sections, mais fondamentalement, la sensibilisation la cyberscurit exige des
politiques et une formation sur le sujet (p. ex., une politique de poste de travail ordonn pour viter des atteintes la scurit par
le personnel charg des installations, comme les concierges ou les agents de scurit, et une formation annuelle obligatoire pour
tous les employs).
4
Fournir un catalogue de contrles de scurit pour satisfaire les besoins actuels de protection
de linformation et les exigences relatives aux besoins futurs selon lvolution des
menaces, des exigences 3 et des technologies;
Jeter des bases en vue de llaboration des mthodes et procdures dvaluation interne pour
dterminer lefficacit des contrles de scurit.
Ce cadre de pratiques exemplaires se veut un document vivant et il continuera dtre mis jour
et amlior mesure que le secteur commentera sa mise en uvre. Les leons tires de la
premire livraison de ce cadre aux courtiers membres seront intgres aux versions futures.
Ainsi, le document continuera de satisfaire les besoins des courtiers membres dans un contexte
de menaces dynamiques et de solutions novatrices.
3
Quelques-unes de ces catgories de protection des renseignements (p. ex., lexposition ou la perte de renseignements importants
sur la clientle) comportent des exigences spciales plus restrictives en matire de rglementation pour la protection de la scurit
de linformation. Si ces renseignements ne sont pas correctement protgs, il pourrait en dcouler limposition de fortes amendes
et pnalits par les organismes de rglementation des tats-Unis et du Canada.
5
Public cible
Le prsent guide sapplique aux courtiers membres de lOCRCVM, sans gard leur taille et
leurs budgets, mais il sadresse tout particulirement aux socits de petite et moyenne taille.
Sa structure facilite la communication des activits de cyberscurit et de leurs rsultats dans

lensemble de lentreprise dun courtier membre depuis les chelons oprationnels et de mise
en uvre jusqu la haute direction. Il sadresse un auditoire diversifi, notamment les
membres de la haute direction, les auditeurs, les utilisateurs, les professionnels de la scurit de
linformation, les responsables de la technologie de linformation et le personnel sur le terrain.
Parmi les membres du personnel susceptibles de profiter de lexamen des contrles de scurit
noncs dans le prsent document, mentionnons :
les personnes qui ont accs aux systmes, notamment les utilisateurs;
les personnes qui exercent des fonctions lies aux systmes dinformation, la scurit
et/ou la gestion et la surveillance des risques (p. ex., les chefs de linformatique, les
responsables de la scurit de linformation, les gestionnaires des systmes
dinformation, les gestionnaires de la scurit de linformation);
les personnes qui exercent des fonctions lis llaboration de systmes dinformation
(p. ex., les gestionnaires de programme, les concepteurs et les dveloppeurs de systmes,
les spcialistes de la scurit de linformation et les intgrateurs de systmes);
les personnes qui exercent des fonctions lies aux activits et la mise en uvre de la
scurit de linformation (p. ex., les responsables de missions et dentreprises,
les responsables de systmes dinformation, les fournisseurs de contrles communs, les
propritaires de linformation et responsables de la grance de linformation,
les administrateurs de systme, les chefs de la scurit des systmes dinformation);
les personnes qui exercent des fonctions lies la surveillance et lvaluation de la

scurit de linformation (p. ex., les auditeurs, les valuateurs de systmes, les
valuateurs, les vrificateurs/validateurs indpendants, les analystes, les responsables de
systmes dinformation).
6
1 Contexte
1.1 Dfinition de la cyberscurit
Il existe actuellement de nombreuses dfinitions acceptes de la cyberscurit :
Le Comit sur les systmes nationaux de scurit (CNSS-4009) dfinit la cyberscurit

comme la capacit dune entreprise de protger ou de dfendre lutilisation du
cyberespace contre une attaque dans le cyberespace ayant pour but de dsorganiser, de
dsactiver, de dtruire ou de contrler de faon malveillante un milieu/une infrastructure
informatique; ou de dtruire lintgrit des donnes ou de voler des renseignements
contrls.
Le National Institute of Standards and Technology dfinit ainsi la cyberscurit :

[traduction] processus consistant protger linformation en empchant les attaques et
en intervenant en consquence. linstar du risque financier et du risque datteinte la
rputation, le risque de cyberscurit affecte le rsultat de la socit. Il peut majorer les
cots et influer sur les revenus. Il peut porter atteinte la capacit dune organisation
dinnover, et de recruter et de conserver des clients.
LOrganisation internationale de normalisation dfinit la cyberscurit ou la scurit

du cyberespace comme la prservation de la confidentialit, de lintgrit et de la
disponibilit de linformation dans le cyberespace. Puis, le cyberespace se dfinit
comme [traduction] le milieu complexe dcoulant de linteraction des personnes, des
logiciels et des services offerts sur Internet au moyen de dispositifs technologiques et de
rseaux qui leur sont rattachs, et qui ne prsentent aucune forme physique.
Fondamentalement, la cyberscurit a pour but de protger votre entreprise contre

ceux qui souhaitent lui nuire, voler vos renseignements ou votre argent, ou utiliser vos
systmes pour cibler vos pairs sur le march.
La cyberscurit nest pas difficile, elle est simplement complexe. LAustralian Signals
Directorate (ASD) a group les 35 plus importantes stratgies ncessaires pour protger les
rseaux informatiques. ii Parmi celles-ci, lASD prcise que la mise en uvre des quatre
principales stratgies de cyberscurit permettra dattnuer au moins 85 % des cyberintrusions
cibles. Ces quatre principaux contrles sont les suivants :
1. Ltablissement dune liste blanche des applications ne permettre, sur les rseaux, que
les applications qui ont t autorises.
2. La correction de la scurit des applications mettre en uvre des pratiques efficaces
pour dployer rapidement de nouveaux correctifs de scurit.
3. La correction de la scurit des systmes dexploitation mme pratique que la
prcdente, mais elle porte sur les systmes dexploitation.
4. La limitation des privilges administratifs nautoriser que le personnel digne de
confiance configurer, grer et surveiller les systmes informatiques.
7
Le dfi consiste excuter ces tches et dautres fonctions connexes dune manire complte et
globale tout en facilitant les fonctions oprationnelles essentielles dune entreprise prospre.
Le prsent document facilite cet effort en fournissant un guide consultable aux professionnels de
la scurit, aux membres de la haute direction dune entreprise et aux employs des courtiers
membres de lOCRCVM, pour leur permettre de comprendre la menace de cyberscurit qui
pse sur leur entreprise, et dlaborer un programme efficace de protection contre
les cybermenaces.
Figure 1 Cadre conceptuel de la cyberscurit
La cyberscurit ne reprsente pas un problme portant uniquement sur la TI, il sagit

dun problme dentreprise qui exige une approche interdisciplinaire et un vaste engagement en
matire de gouvernance pour faire en sorte que tous les volets de lentreprise soient bien aligns
pour appuyer des pratiques efficaces de cyberscurit.
La Figure 1 propose un cadre conceptuel qui permet de comprendre tous les aspects de la
cyberscurit, ce qui comprend des discussions, des solutions et des services.
Le secteur est guid par les politiques du gouvernement qui donnent vie aux
cyberdfenses, et par le Contexte de la rglementation qui tablit des normes de conduite.
Les Exigences oprationnelles prcisent les lments spcifiques de la cyberscurit qui
sont ncessaires pour atteindre les objectifs de lentreprise.
Les Renseignements sur les menaces recueillis dans les journaux, auprs des
gouvernements, des partenaires du secteur, des fournisseurs du milieu de la scurit,
8
et dans le cadre dinitiatives internes, tablissent le contexte auquel les mesures de

scurit doivent permettre de faire front, maintenant et lavenir.
Les activits de Scurit intgre qui se rapportent la cyberscurit, la scurit
physique et la scurit du personnel fournissent collectivement les lments intgrs
dune solution de protection efficace.
Enfin, la Technologie de la cyberscurit sous-tend mais ne dirige pas une politique
efficace de cyberscurit. La technologie est trop souvent perue comme la solution et
non comme un simple lment dune plus vaste stratgie.
Une vaste approche qui groupe ces six lments dans une stratgie adaptable de cyberscurit
encadrera les grandes priorits et orientera les mesures prendre pour attnuer les cyberrisques
qui menacent les actifs, les systmes et linformation.
Le prsent document a pour objectif de mettre la disposition des membres de

lOCRCVM les outils dont ils ont besoin pour concevoir et mettre en uvre des
programmes efficaces de cyberscurit.
1.2 Contexte des menaces
Le secteur des valeurs mobilires est confront diverses menaces de cyberscurit qui voluent
rapidement, notamment des pirates qui infiltrent des systmes, des initis qui compromettent les
donnes de lentreprise ou de ses clients pour en tirer un gain commercial, les tats-nations qui
peuvent acqurir des renseignements pour faire progresser des objectifs nationaux, et des pirates
activistes qui peuvent avoir pour objectif de dstabiliser une organisation et de la mettre dans
lembarras.
Selon lenvironnement dans lequel se trouve un systme dinformation ou un rseau, et selon le

type de renseignements que celui-ci doit permettre de soutenir, des menaces de catgories
diverses cibleront divers types de renseignements ou daccs.
Parmi les menaces les plus importantes et les plus problmatiques, mentionnons les attaques
complexes prenant la forme de menaces persistantes avances (MPA), dont lactivit est en
grande partie appuye, directement ou indirectement, par un tat-nation. Les MPA ciblent avec
soin des donnes de grande valeur dans chaque secteur, de larospatiale au commerce de gros,
et de lducation aux finances.
9
Groupes du crime organis : Les groupes criminels dans le

tats-nations : Ce sont les intervenants les plus puissants dans cyberespace reprsentent un problme croissance rapide, et la
le cyberespace. Leurs intrts comprennent des cibles collaboration internationale cre un march mondial des outils
politiques, conomiques, militaires et financires. de cybercriminalit.
l'interne : Des employs mcontents

peuvent tre recruts par chacun des quatre
groupes de menaces pour faciliter l'activit
criminelle. Ces personnes jouissent d'un
accs spcial aux renseignements et aux
systmes d'une organisation. Ils occupent
donc une position privilgie pour infliger
des dommages importants.
Socits : Les socits prives qui achtent et vendent des Pirates activistes : Catgorie disparate comprenant une grande
produits de scurit offrent des possibilits de service valeur varit de groupes et de personnes partageant une idologie et
ajoute sous forme de surveillance de rseau, de renseignements des motivations diffrentes. Sur le plan des techniques, il existe
sur les menaces, d'appareils de scurit des rseaux et d'outils un important chevauchement entre les pirates activistes et les
d'essai de pntration. Chacune de ces fonctions dfensives sous-traitants de groupes criminels.
reprsente galement une fonction offensive. Il existe un march
noir et gris pour ces fonctions.
Les sondages sur la cyberscurit mens par la FINRA en 2011 et 2014 ont permis de
dgager les trois menaces principales dans le secteur des valeurs mobilires,
savoir :
les pirates qui infiltrent les systmes dentreprise;
les employs qui compromettent les donnes de lentreprise ou de ses clients;
les risques oprationnels.
Les entreprises doivent connatre les menaces qui sont la fois les plus probables et les plus
dangereuses pour leur situation particulire afin dlaborer et de mettre en uvre efficacement
leur stratgie de cyberscurit.
10
xxxii
Fraude par courriel
Un type de fraude tlgraphique qui vise actuellement les entreprises prend la forme
descroquerie au chef dentreprise (ECE), qui constitue un type dhameonnage. La victime
ventuelle reoit un courriel qui semble provenir du service des ressources humaines ou des
services techniques de son employeur. Les fraudeurs crent des adresses courriel qui
reprennent fidlement celles des services rels. Un message par courriel est envoy au service
de la comptabilit pour aviser que le patron travaille hors du bureau et a repr un
paiement en souffrance qui doit tre effectu ds que possible. Le patron demande
lexcution du paiement et fournit le nom dune banque et un numro de compte bancaire
dans lequel les fonds, habituellement dun montant lev, doivent tre dposs. Les pertes
dpassent gnralement 100 000 $.
tude de cas Fraude par courriel Fvrier 2015
La chef des finances dInfront Consulting Group Inc., socit installe Toronto et Las Vegas, a
reu un courriel semblant provenir du chef de la direction, qui lui demandait de traiter un
paiement de 169 705,00 $US . Les instructions jointes la demande du virement tlgraphique
prcisaient que le paiement devait tre adress une socit de courtage en valeurs mobilires de
Naples, en Floride.
Le plan a chou seulement parce que, par concidence, le premier dirigeant dInfront a tlphon
la chef des finances au moment o elle examinait la requte. Lorsquelle a demand quelles fins
largent serait utilis, le premier dirigeant lui a dclar quil ne savait rien de cette requte. Un
examen plus approfondi a rvl que le courriel avait t envoy partir dune adresse semblable
celle de la socit, mais que seule la lettre I manquait dans le terme Consulting .
11
2 Introduction
2.1 Objet et applicabilit
Un cadre de cyberscurit est constitu dun ensemble dactivits de cyberscurit, de rsultats

souhaits et de renvois applicables qui sont communs lensemble des secteurs cls de
linfrastructure. Ces cadres peuvent prsenter les normes, les lignes directrices et les pratiques du
secteur dune manire qui permet la communication des activits de cyberscurit et leurs
rsultats tous les courtiers membres depuis la haute direction jusquaux chelons
oprationnels et de mise en uvre.
Le Cadre de cyberscurit du NIST se compose de cinq fonctions simultanes et continues :

Identifier, Protger, Dtecter, Intervenir, Recouvrer. Ensemble, ces fonctions fournissent un
point de vue stratgique de haut niveau portant sur le cycle de vie de la gestion du risque de
cyberscurit dune organisation. Ce cadre souligne les principales catgories et sous-catgories
sous-jacentes de chacune des fonctions. Il ajoute chaque sous-catgorie un index prsentant des
exemples de rfrences informatives, notamment les normes, lignes directrices et pratiques
existantes.
2.2 Synthse du document

2.2.1 Lien avec dautres publications portant sur le contrle de la scurit
Le prsent document repose sur diverses sources notamment les contrles de scurit employs
dans les domaines de la dfense, de laudit et des finances, les contrles effectus dans diffrents
secteurs dactivit ou contrles de processus, et les contrles employ dans le domaine du
renseignement de scurit ainsi que sur divers contrles dfinis par des organismes de
normalisation nationaux et internationaux. Les lignes directrices ont t labores dun point de
vue technique pour crer un ensemble de contrles de scurit stables et largement applicables
aux systmes informatiques et aux courtiers membres.
Les documents, principes et pratiques exemplaires qui suivent constituent le fonds

documentaire :
1. SANS Les 20 principaux contrles de scurit essentiels de SANS

Ensemble recommand de mesures pour la cyberdfense qui propose des faons prcises et
pratiques de contrecarrer les attaques les plus envahissantes.
2. Small Business Information Security: The Fundamentals (NISTIR 7621)
nonce les mesures absolument ncessaires que doit prendre une petite entreprise pour protger
ses renseignements, ses systmes et ses rseaux.
3. NIST Cybersecurity Fundamentals For Small Business Owners
Pratiques exemplaires recommandes par le National Institute of Standards and Technology pour
aider les petites entreprises protger la scurit des renseignements de leurs clients et de leurs
employs.
12
4. Security and Privacy Controls for Federal Information Systems and Organizations
(NIST 800-53r4)
La norme internationale des contrles de scurit couvrant 17 domaines, notamment le contrle
de laccs, lintervention en cas dincident, la continuit des activits, et la reprise aprs sinistre.
5. Plan de gestion des incidents de la TI du gouvernement du Canada
Porte sur les menaces, les vulnrabilits et les incidents de cyberscurit qui influent sur le
service aux Canadiens, sur les activits du gouvernement, sur la scurit ou la protection des
renseignements personnels, ou sur la confiance envers le gouvernement.
2.2.2 Contrles oprationnels, techniques et de gestion
Le catalogue des contrles de scurit noncs dans le prsent document peut tre utilis
efficacement pour grer le risque de scurit de linformation trois niveaux distincts le niveau
de lorganisation, le niveau de la mission/des processus oprationnels et le niveau des systmes
dinformation.
Les organisations ont le devoir de slectionner les contrles de scurit appropris, de les
appliquer correctement et den dmontrer lefficacit pour respecter les exigences tablies en
matire de scurit. Le prsent document a pour but de complter les processus de gestion des
risques de cyberscurit de lorganisation, mais non de les remplacer. Les utilisateurs qui
appliquent des programmes de cyberscurit peuvent mettre profit ce document pour
dterminer les possibilits de les faire correspondre aux pratiques exemplaires du secteur, tandis
que les courtiers membres qui ne disposent pas dun programme de cyberscurit peuvent utiliser
le document titre de rfrence pour laborer leur propre programme.
3 Pratiques exemplaires
3.1 Gouvernance et gestion des risques
La cyberscurit ne constitue pas uniquement un enjeu de TI. Il sagit dun dfi plusieurs volets
qui exige une approche de gestion intgre. La protection totale contre les cybermenaces est
impossible. Par contre, une pratique exemplaire reprsente une approche axe sur les risques qui
met en uvre une vaste stratgie visant viter, attnuer, accepter ou transfrer
dlibrment les risques que posent les cybermenaces. Les socits doivent tablir et tenir jour
un cadre appropri de gouvernance et de gestion des risques pour dtecter et liminer les risques
auxquels sont exposs les rseaux et services de communication.
3.1.1 Cadre de gouvernance
La premire mesure que doit prendre le conseil dadministration ou lquipe de la direction

consiste dterminer les responsables au sein de la socit qui doivent participer llaboration
dun programme de cyberscurit. Parmi les principales mesures internes prendre dans un
premier temps, mentionnons la dtermination des risques connus et des contrles tablis.
13
Une pratique exemplaire consiste mettre sur pied un comit interorganisationnel compos de
cadres suprieurs qui reprsentent lventail complet des connaissances et comptences de
lentreprise, entre autres la scurit intgre et la scurit de la TI, de mme que les responsables
oprationnels.
Le leadership est un lment cl. La dsignation dun cadre de direction ayant de vastes
responsabilits interfonctionnelles, comme le chef des finances ou le chef de lexploitation, la
tte de ce comit, pourrait permettre de maintenir laccent de cette initiative sur les
proccupations de lensemble de lorganisation, plutt que de la cloisonner dans un rseau de
renseignements sans les avantages dune plus vaste adoption au sein de lentreprise. Cette
initiative devrait relever dun comit spcial, notamment le comit daudit ou le comit de
gestion des risques ou, dans certains cas, du conseil dadministration.
Figure 2 tapes de mise en uvre du Cadre de cyberscurit
Le Cadre de cyberscurit du NIST prvoit un processus prouv qui permet dlaborer et de

grer un programme de cyberscurit. La Figure 2 ci-dessus nonce les tapes que les conseils
dadministration devraient exhorter les membres de la haute direction mettre en uvre.
Ces derniers devraient aussi tre tenus de faire rapport des progrs raliss.
Une pratique exemplaire consiste nommer un chef de la scurit de linformation (CSI) et lui
attribuer des fonctions en matire de scurit de linformation pour la supervision des initiatives
de la socit dans le domaine de la cyberscurit. Quelle que soit la personne nomme pour
superviser ces initiatives, la cyberscurit est une charge partage dans lensemble de la socit,
notamment avec les membres de la haute direction, le personnel, les experts-conseils,
14
les partenaires et les clients. La sensibilisation la cyberscurit doit viser tous ces titulaires
de charges.
Le programme doit dbuter par la dtermination des types de renseignements que dtient la
socit et de leur localisation. Les renseignements sont souvent conservs dans plus dun endroit
la fois, et diffrents contrles sont mis en place pour en garantir la protection. Une approche
axe sur les risques qui met laccent sur les systmes essentiels et ceux qui sont fondamentaux
pour la mission permet de centrer les efforts sur les enjeux ayant le plus dimpact. Les socits
devraient crer un relev prcis des lments suivants :
Les dispositifs et systmes matriels

Les plateformes logicielles et leurs applications
Les cartes de ressources rseau, connexions et flux de donnes
Les branchements aux rseaux de la socit
Une liste de priorits en matire de ressources, fonde sur la sensibilit et la valeur
oprationnelle
Les capacits et pratiques de branchement, values au chapitre de la suffisance, de la
conservation et de lentretien sr
Linitiative devrait tre axe sur les actifs attrayants de la socit et sur la priorisation des
autres donnes et systmes. Lorsque cette tape est franchie, la socit peut passer llaboration
dun programme de cyberscurit ax sur les risques qui accorde le niveau de protection le plus
lev aux donnes qui comportent la plus grande valeur. Elle devrait crer un profil jour de ses
protections de cyberscurit.
Les initiatives de cyberscurit devraient viser les menaces propres au secteur dactivit et aux
socits se trouvant dans la mme situation. Les socits devraient effectuer des valuations des
risques de menace propres aux systmes prioritaires, dans le but de mieux comprendre les
priorits en fonction des risques. Le contexte oprationnel doit tre constamment examin afin de
dterminer la probabilit dun vnement de cyberscurit et de son incidence. Il sagit dun
processus continu et rptitif reposant sur lvolution du contexte de la TI au sein de la socit, et
sur lvolution de son modle oprationnel.
partir de linformation recueillie au moyen de lvaluation des risques, la socit devrait

dterminer le profil cible qui porte sur les rsultats souhaits en matire de cyberscurit. Ce
profil devrait dpasser les systmes de la socit et englober ceux des intervenants de lextrieur
sur lesquels il repose, afin dinclure les entits, clients et partenaires commerciaux du secteur.
Une fois le profil cible tabli, la socit doit le comparer au profil actuel et dterminer les
lacunes. Ces lacunes devraient tre classes par ordre de priorit dans un plan nonant les
lacunes daprs des facteurs propres la socit, plus particulirement les besoins oprationnels,
la configuration des systmes et les ressources disponibles pour combler les carts. Chaque
socit est diffrente; par consquent, llaboration dun plan ralisable laide de ressources
suffisantes devrait constituer lobjectif.
15
La mise en uvre du plan daction et le suivi des progrs doivent devenir une fonction
oprationnelle de base. Dans le contexte actuel, la cyberscurit nest pas un projet ponctuel,
mais plutt une obligation continue pour la haute direction et le conseil dadministration pour
les socits de toutes tailles. La haute direction doit surveiller son plan de mise en uvre et faire
rapport priodiquement au conseil dadministration au sujet des progrs raliss en vue de
latteinte du rsultat cible ultime. Mme si le Cadre de cyberscurit du NIST prvoit un
excellent ensemble doutils pour orienter la mise en uvre dun programme de cyberscurit,
chaque socit doit dterminer les normes, lignes directrices et pratiques qui conviennent le
mieux ses besoins.
3.1.2 Participation du conseil dadministration et de la haute direction
La National Association of Corporate Directors (NACD) cite cinq principes de cyberscurit qui
relvent des conseils dadministration, savoir :
Les administrateurs doivent comprendre la cyberscurit et lenvisager comme un

enjeu de gestion des risques la grandeur de lorganisation, et non comme une simple
question de TI.
Les conseils dadministration doivent reconnatre que la cyberscurit dpasse les
rseaux de la socit et englobent les fournisseurs, les partenaires, les socits
affilies et les clients.
Il convient de comprendre lcosystme dans son entier et de veiller ce que le
leadership de la direction en matire de scurit soit de grande porte.
Les administrateurs doivent comprendre les rpercussions juridiques des cyberrisques,

compte tenu de la situation particulire de leur socit.
Les cyberattaques de haut niveau ont entran une vaste gamme de poursuites. Les
conseils dadministration doivent comprendre la teneur de la responsabilit et se
protger adquatement contre ces menaces.
Les administrateurs devraient demander la direction dobtenir le point de vue de
leur avocat externe au sujet de la divulgation ventuelle en cas dinfraction la
scurit, et lintgrer leurs plans daction.
Les conseils dadministration devraient avoir un accs suffisant lexpertise en

cyberscurit, et les discussions au sujet de la gestion des cyberrisques devraient avoir
lieu priodiquement et occuper une priode suffisante lordre du jour des runions
du conseil.
Les administrateurs devraient demander priodiquement conseil au sujet de la
cyberscurit et tenir des sances dinformation approfondies linterne et avec
des experts de lextrieur, entre autres des cabinets spcialiss en cyberscurit,
des organismes gouvernementaux, des associations sectorielles et des institutions
homologues.
Les administrateurs devraient fixer une attente selon laquelle la direction tablira un
cadre intgr de gestion des cyberrisques dot de ressources humaines et budgtaires
suffisantes.
16
Les administrateurs devraient veiller ce que la cyberscurit soit une fonction

intersectorielle dirige par un cadre suprieur investi dun pouvoir intersectoriel,
notamment le chef des finances ou le chef de lexploitation.
Les administrateurs devraient sattendre recevoir de la direction des rapports
priodiques renfermant des mesures qui quantifient les rpercussions des
initiatives de gestion des risques issus des cybermenaces dclares sur les
activits de la socit.
Les administrateurs devraient veiller ce quun budget prcis de cyberscurit
soit li la stratgie dexcution, de sorte que le programme ne soit pas
exclusivement raccord un secteur.
La discussion des cyberrisques au conseil dadministration et au sein de la direction

devrait prciser les risques viter, accepter, attnuer ou transfrer au moyen
dune assurance, et prvoir des plans prcis pour chaque approche envisage.
La cyberscurit totale est un objectif irraliste; la concentration des ressources
autour des donnes les plus essentielles constitue une pratique exemplaire.
Les administrateurs devraient faire en sorte que leur socit adopte une stratgie
prcise comportant des approches superposes qui rpondent le mieux aux
besoins oprationnels de la socit.
La surveillance de la mise en uvre du vaste programme de cyberscurit dcrit prcdemment

incombe tous les conseils dadministration, quelle que soit la taille de la socit.
xxxiii
tude de cas Ashley Madison Juillet 2015
La socit canadienne Ashley Madison a t la cible de pirates en juillet 2015. Se dsignant

lImpact Team, les pirates sopposaient au modle dentreprise de la socit qui offrait une
tribune facilitant linfidlit conjugale de personnes maries. Lobjectif des pirates consistait
obliger la socit mettre un terme ses activits, sans quoi ils menaaient de diffuser les
donnes voles.
En aot 2015, les pirates ont divulgu les profils de quelque 39 millions de clients,
y compris leur profil dutilisateur, leurs noms et leurs adresses courriel. Les avocats
reprsentant les victimes canadiennes ont intent un recours collectif dun montant de
760 millions de dollars en dommages-intrts. La socit-mre, Avid Life Media, a report
une date indtermine limminent premier appel public lpargne aux termes duquel elle
esprait obtenir une somme de 200 millions de dollars.
17
3.2 Pratiques exemplaires recommandes : petites et moyennes socits

membres
La cyberscurit est une responsabilit partage les personnes, les processus, les
outils et les technologies travaillent ensemble pour protger les biens dune organisation.
La protection des biens de votre organisation exige latteinte de trois objectifs

fondamentaux : iii
Confidentialit
Tous les renseignements importants en votre possession doivent tre tenus confidentiels.
Laccs ces renseignements doit se limiter aux personnes (ou systmes) qui dtiennent
lautorisation de les consulter.
Intgrit
Maintenir lintgrit des renseignements pour quils demeurent complets, intacts et
non corrompus.
Disponibilit
Garantir la disponibilit des systmes, des services et des renseignements au moment o
lentreprise ou ses clients en ont besoin.
Ces objectifs peuvent tre atteints en excutant les fonctions du Cadre de cyberscurit nonces
ci-aprs : iv
1. Prciser les renseignements qui doivent tre protgs, de mme que toutes les menaces
et les risques qui y sont rattachs.
2. Protger les biens laide de mesures de protection convenables.
3. Dtecter les intrusions, les infractions la scurit et laccs non autoris.
4. Intervenir en cas dvnement de cyberscurit potentiel.
5. Se remettre dun vnement de cyberscurit en rtablissant les activits et services
normaux.
3.3 Enqute de scurit sur le personnel et menaces internes
De faon gnrale, les organisations se concentrent principalement sur les menaces externes.
Elles appliquent des solutions techniques, notamment linstallation de programmes antivirus
pour protger leurs systmes informatiques contre les logiciels malveillants, ou de pare-feu pour
se protger contre les menaces lies Internet.
Un sondage men en 2012 par un fournisseur de services de cyberscurit, Cyber-Ark, a permis

de constater que 71 % des 820 gestionnaires de TI et professionnels de niveau C participants
estiment que les menaces internes constituent leur principale proccupation en matire
de cyberscurit. v
18
Par dfinition, une menace interne est personnifie par [traduction] un employ actuel ou un
ancien employ, un sous-traitant ou un partenaire daffaires qui a ou avait un accs autoris au
rseau, un systme ou aux donnes dune organisation, et qui a dlibrment dpass ou mal
utilis cet accs, et a ainsi port atteinte la confidentialit, lintgrit ou la disponibilit des
renseignements ou des systmes informatiques du courtier membre. vi
Certains des risques que posent les menaces internes dans le secteur financier sont noncs
ci-aprs : vii
La divulgation non souhaite de donnes confidentielles sur les clients et les comptes
qui mettent en pril les relations les plus prcieuses de lorganisation
La fraude
La perte de proprit intellectuelle
La dsorganisation de linfrastructure essentielle
Des pertes montaires
Des rpercussions sur le plan rglementaire
La dstabilisation, la dsorganisation et la destruction des cyberbiens dune institution
financire
Lembarras et le risque datteinte aux relations publiques et la rputation
Selon le Carnegie Mellons CERT Insider Threat Center, les employs qui posent le plus grand
risque de menace interne sont :
Les employs mcontents qui estiment quon a manqu de respect leur gard, et qui
souhaitent se venger
Les employs la recherche dun bnfice qui croient pouvoir monnayer la vente de la
proprit intellectuelle vole
Les employs qui passent chez un concurrent ou qui dmarrent une entreprise et qui, par
exemple, volent des listes de clients ou des plans daffaires pour se donner un avantage
sur les concurrents
Les employs qui ont pris part limplantation de la proprit intellectuelle et qui
estiment en tre les propritaires. Ils sapproprient donc cette proprit lorsquils quittent
lorganisation
19
Voici des recommandations qui permettront dliminer la menace interne : viii

Mettre sur pied une quipe pluridisciplinaire
Dans la mesure du possible, les organisations doivent compter sur une quipe compose
de professionnels des Ressources humaines, de la Scurit et des Services juridiques qui
crent des politiques, qui dirigent la formation et qui surveillent les employs risque.
Enjeux organisationnels
Comprendre si votre organisation sexpose un plus grand risque en raison de facteurs
organisationnels inhrents. Votre socit compte-elle des bureaux, des fournisseurs ou
des sous-traitants distance, dans des rgions o les diffrences culturelles, politiques
ou linguistiques pourraient engendrer des conflits?
Examiner les processus de filtrage de scurit pralable lembauche
Les renseignements recueillis au cours du processus aideront les gestionnaires chargs
de lembauche prendre des dcisions claires et attnuer le risque dembaucher un
employ problme .
laborer des politiques et des processus
Il sagit ici dune liste de contrle des secteurs particuliers de politique et de pratique
qui doivent tre pris en compte dans les structures de gouvernance de base dune
organisation.
Activits de formation et dducation
Ces activits sont essentielles pour lefficacit des politiques, car les politiques et les
pratiques qui ne sont pas reconnues, comprises et respectes peuvent avoir une efficacit
limite.
Surveiller les comportements douteux ou perturbateurs ds le processus
dembauche et y appliquer des mesures dintervention
Anticiper et grer les situations ngatives en milieu de travail
tablir une distinction entre les fonctions et les privilges minimum
En reconnaissant les torts qui ont pu tre causs par les employs en poste ou qui ont quitt,
lorganisation peut attnuer les dommages susceptibles de dcouler de menaces internes.
tude de cas Fuite de donnes internes Janvier 2014
Les donnes personnelles dau moins 20 millions dutilisateurs de carte de crdit et de carte
bancaire en Core du Sud ont t voles trois metteurs de cartes par un expert-conseil
temporaire travaillant pour le Bureau de crdit de la Core, une agence de notation du crdit
personnel.
Les donnes voles ont t vendues des socits de marketing par tlphone et elles
comprenaient les noms de clients, les numros de scurit sociale, les numros de tlphone, les
numros de carte de crdit et la date dchance.
la suite du vol, des dizaines de cadres suprieurs ont remis leur dmission, les organismes de
rglementation ont ouvert des enqutes au sujet des mesures de scurit en place dans les
socits en cause, qui ont t tenues responsables de la totalit des pertes financires touchant les
clients victimes de stratagmes se rapportant au vol des donnes.
20
3.4 Scurit physique et environnementale
La scurit physique des biens de TI constitue une premire ligne de dfense en cyberscurit.
Leffet du vol dun ordinateur portable ou dun tlphone intelligent peut tre tout aussi
perturbateur pour une organisation quune cyberattaque. Par consquent, les mesures de
protection tels les mots de passe et le PINS doivent tre compltes par dautres mesures de
scurit, comme des verrous qui empchent le vol dordinateurs portables ou lutilisation dun
systme dalimentation sans coupure afin de protger le systme dinformation lors dune panne
de courant.
La scurit physique englobe des mcanismes de dfense contre les menaces suivantes :
Menaces humaines
Dommages volontaires ou involontaires causs par des personnes, par exemple un intrus qui
pntre dans une zone accs restreint, ou une erreur commise par un employ.
Menaces environnementales
Dommages causs par les conditions climatiques, notamment la pluie, un incendie,
une inondation.
Menaces pour les systmes dalimentation

Dommages causs par une interruption de lapprovisionnement nergtique qui peut nuire un
systme dinformation.
Voici des recommandations touchant la scurit physique et environnementale :

Les employs devraient appliquer le principe du bureau propre , cest--dire que les
employs devraient ranger les documents renfermant des renseignements de nature dlicate
avant de quitter leur zone de travail. En outre, un bureau propre vite que les renseignements
de nature dlicate se retrouvent entre les mains de personnes qui ne sont pas autorises par la
loi les consulter. Le personnel des services dentretien et les agents de scurit font partie
des employs qui nont pas besoin de savoir .
Nautorisez les employs avoir accs votre zone de travail que sils ont un besoin
oprationnel lgitime.
Limitez laccs au contenu de votre ordinateur en verrouillant lcran lorsque vous vous
absentez de votre poste de travail.
Protgez votre systme dinformation contre les variations de lalimentation lectrique ou les
pannes de courant, et assurez-vous que votre ordinateur est branch dans un systme
dalimentation sans coupure.
Effectuez priodiquement des copies de vos renseignements pour tre labri des sinistres, tel
un incendie ou une inondation.
Les organisations de petite et moyenne taille doivent mettre en place un plan dintervention
portant sur les problmes de scurit physique. Lampleur des contrles de scurit physique
mis en uvre doit tre proportionnelle au niveau de sensibilit des renseignements protgs.
21
3.5 Sensibilisation la cyberscurit et formation
Le risque de cyberattaque contre des institutions financires ne cesse de crotre, mesure que le
monde trs branch cre des dbouchs pour les cybercriminels. tant donn que les institutions
financires sen remettent des outils en ligne pour mieux communiquer avec leurs intervenants,
elles demeurent constamment la cible de cybercriminels souhaitant voler leur proprit
intellectuelle et leurs renseignements confidentiels. Dans son Global State of Information
Security Survey, publi en 2015, Price Waterhouse Coopers laisse entendre que les
entreprises qui appliquent un programme de sensibilisation la scurit dclarent des pertes
financires moyennes sensiblement moins leves lgard des incidents de cyberscurit. Le
cabinet souligne galement quun programme efficace de sensibilisation la scurit exige un
des fonds suffisants. ix
Bon nombre dorganisations investissent massivement dans les contrles techniques pour
protger leurs systmes informatiques et leurs donnes. Toutefois, la plupart de ces contrles
deviennent inutiles parce que les employs nont pas t sensibiliss la cyberscurit ou nont
pas reu de formation en la matire. Les employs prennent des risques en ligne, ce qui accrot
de beaucoup les risques de cyberscurit auxquels sexpose leur organisation. Les activits
risques des employs comprennent louverture de courriels douteux et la non-protection de
renseignements de nature dlicate stocks sur leurs ordinateurs ou envoys partir de leurs
ordinateurs. Le sondage 2015 Cyberthreat Defense Report Survey rvle quune faible
sensibilisation la scurit au sein du personnel demeure le plus important facteur nuisant une
dfense efficace contre les cybermenaces. x
On a demand aux participants au sondage de coter les problmes qui nuisent une dfense
efficace contre les cybermenaces.
Sur une chelle de 1 5 (5 reprsentant la note la plus leve), dans quelle mesure chacun des problmes qui
suivent empche-t-il votre organisation de se dfendre efficacement contre les cybermenaces?
Figure 3 Facteurs empchant ltablissement de mesures de dfense efficaces contre les cybermenaces
(Source : 2015 Cyberthreat Defense Report)
Une faible sensibilisation la scurit trne au premier rang. Ce rsultat souligne limportance
de la sensibilisation la scurit et de la formation en la matire comme principale activit
quune organisation peut appliquer pour mieux se dfendre contre les cyberattaques.
Les employs devraient tre informs des saines pratiques de cyberscurit et bien comprendre
22
quils jouent un rle crucial dans la protection des actifs informationnels de leur organisation.
Grce une formation adquate, les employs deviennent la premire ligne de dfense contre les
cybermenaces.
Voici des recommandations touchant la sensibilisation et la formation :
Mettre en uvre des politiques portant sur lutilisation sre et acceptable des systmes
informatiques.
Rendre obligatoire la formation et la sensibilisation la cyberscurit pour tout le personnel. La
formation peut se drouler en classe, en ligne ou en sance vido, et elle doit tre offerte sur une
base annuelle. Les attaques par piratage (p. ex., lhameonnage par courriel) visent souvent les
cadres suprieurs; il est donc important que ces personnes suivent galement la formation
en cyberscurit.
Veiller ce que tous les membres du personnel comprennent bien leur rle et leurs
responsabilits au chapitre de la cyberscurit.
Les utilisateurs devraient tre aviss de ne pas ouvrir de courriels douteux ni de cliquer sur des
liens douteux, quelle quen soit la source.
Les utilisateurs devraient tre aviss de ne pas brancher des dispositifs au rseau, moins
davoir un motif professionnel lgitime de le faire ou dutiliser des dispositifs approuvs.
Les utilisateurs devraient tre aviss dappliquer de saines pratiques en matire de mot de passe.
Les utilisateurs devraient comprendre les dangers et les usages srs de mdias externes
(cls USB et DC).
Les utilisateurs ne devraient pas tlcharger ou installer des applications non autorises parce
leur contenu peut tre malveillant.
Les utilisateurs devraient comprendre que des sanctions seront imposes aux membres du
personnel qui ne se conforment pas aux principes de sensibilisation la cyberscurit et aux
politiques de scurit.
Les mthodes de formation continue pour les cadres de direction peuvent comprendre des
sances vido ou des webinaires qui ont pour but de sensibiliser les utilisateurs et de partager
des renseignements viss par mandat.
tude de cas Ranongiciel Juin 2015
Mahone Bay et Bridgewater, deux petites localits de la Nouvelle-cosse, ont dclar que les
ordinateurs municipaux ont t infects en juin 2015. Le virus connu sous lappellation
CryptoWall 3.0 a attaqu les rpertoires non raccords un rseau, que ce soit au moyen dun
courriel dhameonnage envoy lutilisateur dun systme, ou dun site Web infect visit par
un employ de la localit. Lorsquun clic a t effectu sur le lien, les systmes ont t infects
par le virus CryptoWall 3.0 et un deuxime virus, nomm CryptoLocker, a chiffr les fichiers du
systme cibl. Une fois activs, les virus ont livr un message automatis lutilisateur pour lui
rclamer le paiement denviron 900 $ pour le dverrouillage des fichiers infects il est presque
impossible de dchiffrer les fichiers sans payer la ranon exige. Le virus serait parvenu de
groupes criminels de Russie.
Le recours aux techniques CryptoLocker est trs rpandu. Selon le dpartement amricain de la
Justice, les attaques de ce virus ont infect plus de 234 000 ordinateurs ce qui a entran le
paiement de ranons de 27 millions de dollars au cours des deux premiers mois.
23
3.6 Lvaluation des menaces et des vulnrabilits
Les cybercriminels continuent de tirer profit des vulnrabilits de base des systmes
informatiques, notamment les systmes dexploitation Windows non corrigs, un mot de passe
faible et une formation inadquate des utilisateurs. Les organisations qui neffectuent pas
danalyse des vulnrabilits et qui ne corrigent pas efficacement les faiblesses de leurs systmes
dinformation sexposent davantage la compromission de leurs systmes informatiques. Pour
protger leurs actifs informationnels contre la menace grandissante de cyberattaques qui ciblent
les vulnrabilits des systmes, davantage dorganisations ont inclus des valuations de la
vulnrabilit dans leurs programmes de cyberscurit. Ces valuations permettent de dceler les
vulnrabilits dans les systmes informatiques. Les rsultats de ces valuations aident les
organisations localiser les risques de cyberscurit. xi
Voici des recommandations touchant lvaluation des menaces et des vulnrabilits :
Utiliser priodiquement un outil automatis pour valuer les vulnrabilits de tous les
systmes du rseau. Remettre des listes de priorit renfermant les vulnrabilits les plus
pressantes chaque administrateur de systme.
Sabonner un service de renseignement sur les vulnrabilits afin de demeurer au fait
des nouvelles menaces et expositions au risque.
Veiller ce que les outils dvaluation de la vulnrabilit utiliss soient priodiquement
mis jour et renferment les renseignements les plus jour sur les vulnrabilits.
Veiller ce que les logiciels/applications informatiques soient mis jour
priodiquement laide de correctifs de scurit.
Soumettre les correctifs essentiels des essais avant de les faire passer au mode
de production.
Services de rparation dordinateur non sollicits

Dans le cadre dun tel stratagme, lemploy dune socit appelle une personne en se
faisant passer, par exemple, pour le reprsentant de Microsoft; il informe linterlocuteur que
son ordinateur fonctionne au ralenti ou quil est touch par des virus. Il lui offre de rparer
lordinateur sur Internet, ce qui ncessitera linstallation dun logiciel, ou de procder
distance sur son ordinateur avec son autorisation.
Dans des variantes rcentes, le suspect sest fait passer pour un reprsentant du Centre
canadien de rponse aux incidents cyberntiques et il a adopt une approche plus directe. Il
a indiqu sa victime que son ordinateur tait utilis par des pirates et quelle pourrait en
tre tenue responsable si elle ne lautorisait pas rparer son ordinateur.
Autoriser un tiers tlcharger des logiciels ou avoir accs son ordinateur distance
comporte son lot de risques. Des enregistreurs de frappe ou dautres logiciels malveillants
pourraient tre installs pour saisir des donnes de nature dlicate, notamment les noms
dutilisateurs de services bancaires en ligne et des mots de passe, des renseignements sur les
comptes bancaires, des renseignements didentit, etc.
24
tude de cas Fraude lingnierie sociale Avril 2015
Mega Metals Inc., une entreprise qui transforme de la ferraille depuis 30 ans, a t victime de
fraude en 2015 lorsque la scurit du compte de courrier lectronique utilis par un courtier
dItalie a t compromise.
Mega Metals avait effectu un virement tlgraphique de 100 000 $ un fournisseur

allemand en guise de paiement pour un conteneur de 40 000 livres de copeaux de titane. la
suite de lopration, le fournisseur sest plaint quil navait pas reu le paiement. Une
enqute a rvl quun logiciel malveillant implant dans les systmes informatiques dun
courtier avait permis des criminels de saisir les mots de passe donnant accs la bote de
courrier lectronique du courtier et de falsifier les instructions de virement tlgraphique
pour un achat lgitime.
3.7 Scurit rseau
La connexion permanente dune organisation Internet lexpose un milieu hostile de menaces

qui voluent de faon trs rapide. En outre, les actions dlibres ou accidentelles des employs
peuvent menacer le rseau.
La scurit rseau sentend dune activit visant protger la confidentialit, lintgrit et la

disponibilit dun rseau et des actifs informationnels sur lesquels il repose. De faon gnrale,
la scurit rseau comporte trois objectifs fondamentaux : xii
protger le service de rseau;
rduire la vulnrabilit des systmes dextrmit et des applications aux menaces
provenant du rseau;
protger les donnes pendant leur transmission travers le rseau.
Les cybercriminels sont constamment la recherche de faiblesses dans les dispositifs de

protection de rseaux exposs Internet (p. ex., des pare-feu). Ces appareils protgent
lorganisation contre les menaces manant dInternet. dfaut de pare-feu dans le primtre du
rseau pour protger le rseau contre les menaces sur Internet, les cybercriminels pourraient
facilement voler la proprit intellectuelle et des renseignements de nature dlicate.
Une dfense multicouche compose de pare-feu de la prochaine gnration rduit sensiblement

le nombre dattaques Internet dans le rseau interne dune organisation.
25
Voici des recommandations touchant la scurit rseau :
Acheter un pare-feu de la prochaine gnration. Les petites entreprises peuvent se

procurer ce type de pare-feu pour moins de 1 000 $. Ces pare-feu saccompagnent des
services de scurit supplmentaires suivants :
o Le filtrage des sites Web renfermant des lments malveillants.
o La protection contre les virus sur Internet et contre les programmes malveillants
qui infiltrent le rseau.
o La technologie de prvention des menaces qui examine le trafic rseau pour
dtecter et empcher les vulnrabilits sur Internet dinfiltrer le rseau.
Exiger lauthentification double facteur pour tout accs distance, notamment
par RVP.
Fractionner le rseau interne de lorganisation pour faire en sorte que les utilisateurs
naient accs quaux services dont ils ont besoin des fins professionnelles.
Mettre en uvre une solution de contrle daccs au rseau afin dempcher des
systmes informatiques inconnus de communiquer avec le rseau de lorganisation.
tablir un comportement minimal normal pour les dispositifs rseau.
26
3.7.1 Scurit des rseaux sans fil

Mme si la connectivit sans fil offre lavantage dune mobilit et dune productivit accrues,
elle prsente galement un certain nombre de risques de scurit fondamentaux. Dans bien des
cas largement mdiatiss, les vols de proprit intellectuelle et de renseignements de nature
dlicate ont t causs par des attaquants qui ont eu un accs sans fil aux organisations
lextrieur de leurs locaux. Puisque les signaux sans fil sont habituellement mis lextrieur de
linfrastructure physique dun immeuble, ils passent outre les mesures de protection du primtre
de scurit fil, notamment les pare-feu et les systmes de protection contre les intrusions.
Dans certains cas, les cybercriminels obtiennent un accs illimit au rseau interne dune
organisation en dissimulant des points daccs sans fil non autoriss sur le rseau. Les employs
mcontents ou dautres membres du personnel ayant des intentions malveillantes, et prenant
lidentit de membres du personnel dentretien ou dun agent de scurit, sont habituellement
responsables du placement de ces dispositifs. Il est extrmement facile pour les cybercriminels
dutiliser les rseaux sans fil pour simmiscer dans les organisations sans mettre les pieds dans
leurs locaux. Il est donc essentiel de mettre en uvre de vigoureuses mesures de protection de la
scurit pour attnuer ces risques.
Voici des recommandations touchant la scurit des rseaux sans fil :
Veiller ce que chaque dispositif sans fil soit autoris tre raccord un rseau en fonction dun
besoin professionnel lgitime. Les organisations doivent refuser laccs tous les autres dispositifs sans
fil, y compris les appareils Bluetooth.
Effectuer une analyse de vulnrabilit des rseaux sans fil. Cette analyse permettra de dceler les
vulnrabilits dans le rseau sans fil et de dterminer les dispositifs non autoriss sur le rseau.
Dployer un systme de dtection dintrusions sans fil (SDISF) pour reprer les dispositifs sans fil non
autoriss, et dtecter les attaques et les compromissions russies. La plupart des principaux fournisseurs
de dispositifs sans fil vendent des solutions daccs sans fil universel, des pare-feu et des SDISF
destins aux petites entreprises pour moins de 1 000 $.
Dsactiver laccs sans fil sur les systmes informatiques sans besoins professionnels lgitimes. Afin de
rduire la probabilit quun employ active nouveau laccs sans fil, il convient dutiliser la
configuration matrielle de lordinateur qui est accessible lamorce du systme, puis de dsactiver
laccs sans fil et dexiger un mot de passe quiconque tente de pntrer dans la configuration
matrielle de lordinateur
tout le moins, veiller ce que la totalit du trafic dans le rseau sans fil soit protge par chiffrement
selon la norme Advanced Encryption Standard (AES) et la protection Wi-Fi Protected Access 2
(WPA2).
tout le moins, veiller ce que les rseaux sans fil utilisent des protocoles dauthentification comme
Extensible Authentication Protocol-Transport Layer Security (EAP/TLS).
Dsactiver les fonctions de rseau sans fil point point des clients.
Dsactiver laccs priphrique sans fil des dispositifs (notamment les appareils Bluetooth), moins
quil existe un besoin professionnel lgitime.
27
tude de cas Rseau local sans fil compromis Mai 2007
Des pirates ont vol 45 millions de dossiers de clients notamment des millions de
numros de carte de crdit de The TJX Companies Inc., en simmisant dans le rseau
local sans fil de la clientle de dtail de cette socit.
TJX avait protg son rseau sans fil laide du protocole Wired Equivalent Privacy
(WEP) lune des formes de scurit des rseaux locaux les plus faibles. Selon le Wall
Street Journal, les pirates se sont introduits dans le protocole de chiffrement WEP utilis
pour transmettre des donnes dappareils de vrification des prix, de caisses enregistreuses
et dordinateurs dans un magasin du Minnesota. Les intrus ont ensuite recueilli des
renseignements fournis par les employs qui se branchaient la base de donnes centrale
de la socit, au Massachusetts, et ont vol des noms dutilisateur et des mots de passe.
laide de ces renseignements, ils ont cr leurs comptes dans le systme de TJX. Sur une
priode de 18 mois, leur logiciel a recueilli des donnes sur les oprations, notamment des
numros de carte de crdit, dans une centaines de gros fichiers.
Selon les analystes, linfraction la scurit aurait cot environ 1 milliard de dollars la
socit, sans compter les frais de litige.
3.7.2 Accs distance

De nombreuses technologies sont maintenant accessibles pour garantir un accs protg aux
systmes informatiques dune organisation. Tout comme les technologies sans fil, il est essentiel
que laccs distance soit constamment gr et tenu jour pour empcher les utilisateurs non
autoriss davoir accs au rseau de votre organisation.
Voici des recommandations touchant laccs distance protg : xiii
Mettre en uvre une politique daccs distance et former le personnel pour quil
la respecte.
Laccs distance ne doit tre autoris qu laide de technologies de RPV protg.
Configurer le RPV protg de manire interdire la tunnellisation partage.
Surveiller et consigner toutes les sances par accs distance.
Exiger lauthentification double facteur pour toutes les sances par accs distance.
28
3.7.2.1 Scurit de laccs distance point terminal

Les employs qui ont accs aux ressources de lorganisation laide dun RPV protg devraient
utiliser le matriel de la socit. Outre les directives nonces la section Protection des
systmes dinformation, les utilisateurs de laccs distance devraient appliquer les conseils
suivants : xiv
Veiller ce que la solution de blocage de logiciels malveillants soit jour de sorte
quelle permette de surveiller en permanence lactivit malveillante.
Ne pas transfrer de renseignements vers des destinations non autorises (p. ex., des
dispositifs de stockage non autoriss, Hotmail, Gmail, DropBox).
Ne pas brancher des dispositifs non autoriss dans les ordinateurs de la socit
(p. ex., des tlphones intelligents, des cls USB et des disques durs).
Ne pas brancher des cls USB de la socit sur des dispositifs non approuvs
(p. ex., des ordinateurs portables, des ordinateurs personnels, des tlviseurs intelligents).
Se mfier des appels tlphoniques, des visites et des courriels de personnes qui vous
posent des questions sur les employs, leurs familles et des dossiers de travail de nature
dlicate.
Ne pas rpondre des courriels douteux et ne pas cliquer sur des liens dans des courriels
douteux.
Ne pas laisser son ordinateur portable ou des appareils semblables dans un espace public,
mme un instant.
Veiller garder les renseignements confidentiels son cran labri du regard
des curieux.
viter les connexions inconnues, non familires et Wi-Fi gratuites, moins quelles
soient protges par mot de passe et chiffrement.
tude de cas Piratage par accs distance Juin 2014
Les attaques au moyen doutils distance ont retenu lattention depuis latteinte massive
aux donnes des magasins Target en 2013; des pirates ont envahi les systmes de point de
vente de Target en utilisant un compte daccs distance appartenant une entreprise de
chauffage, ventilation et climatisation.
Plus rcemment, les pirates ont infiltr les systmes de paiement de plusieurs restaurants
et entreprises de services alimentaires du Nord-Ouest des tats-Unis en utilisant un
compte daccs distance appartenant un fournisseur de systmes de point de vente.
Dans cet incident, un compte LogMeIn utilis par le fournisseur afin dappuyer et de grer
distance les rseaux de service la clientle a t corrompu, puis utilis pour placer un
logiciel de vol de donnes sur les systmes de point de vente appartenant aux clients
du fournisseur.
29
3.8 Protection des systmes dinformation
Bien quil soit essentiel de protger le primtre du rseau dune organisation contre les menaces
provenant dInternet, il est tout aussi important que les systmes soient eux-mmes protgs
contre les tentatives de piratage. De mme, les ordinateurs de la socit qui sont utiliss pour
avoir accs aux ressources de lentreprise distance devraient tre dots des mmes contrles de
scurit que les ordinateurs sur place.
Voici des recommandations visant protger les systmes dinformation contre les menaces, tels
les ranongiciels et les virus :
Mettre en uvre des processus de sauvegarde et de recouvrement et effectuer

priodiquement des sauvegardes de vos systmes.
Dployer une solution de blocage de logiciels malveillants qui surveille en permanence
les postes de travail, les serveurs et les appareils mobiles laide de logiciels antivirus et
anti-espion et de pare-feu.
Dployer une solution de blocage de logiciels malveillants qui comprend une fonction
IPS en mode hte.
Mettre en uvre une politique pour contrler tous les accs des supports amovibles.
Limiter lutilisation des dispositifs internes, p. ex., des cls USB, aux personnes et
groupes qui ont un besoin professionnel lgitime.
Utiliser des pare-feu personnels intgrs Windows et des systmes UNIX.
Analyser tous les supports pour liminer les programmes malveillants avant de les
importer sur lordinateur de lorganisation.
Installer toutes les mises jour de scurit des applications et des systmes
dexploitation, notamment ceux offerts par la fonction intgre de mise jour
de Windows.
Surveiller lutilisation et la tentative dutilisation de dispositifs externes.
Les utilisateurs distance devraient recourir aux ressources daccs de lorganisation
laide dun RPV protg et ils devraient tre approuvs par authentification
double facteur.
Les fournisseurs, tels Norton et McAfee, vendent des solutions de scurit terminales intgres
pour les systmes informatiques personnels, de petites entreprises et de socits cot
trs raisonnable.
30
3.8.1 Apportez votre quipement personnel de communication
Le concept Apportez votre quipement personnel de communication (AVEC) est de plus en plus
populaire dans le milieu des affaires. Il sagit dune dmarche qui permet aux employs dapporter
leur propre matriel (p. ex., leur ordinateur portable, leur tlphone intelligent et leur tablette) leur
lieu de travail et de lutiliser pour avoir accs aux applications et aux donnes de lorganisation. Bien
que cette politique prsente de vritables avantages, elle comporte galement dimportants risques. .
Par exemple :
Lemploy peut perdre un appareil personnel qui renferme des renseignements

de lentreprise.
Lemploy peut accidentellement installer des applications de nature malveillante.
Lemploy peut accidentellement divulguer des renseignements de lorganisation, par
exemple en autorisant des membres de sa famille ou des amis utiliser un ordinateur portable
renfermant des renseignements de nature dlicate au sujet de lentreprise.
Il se peut que le concept AVEC entre en conflit avec des lois et rglements applicables du fait
que son application incorrecte contrevienne aux lois et rglements sur le caractre priv
des donnes.
Une entreprise devrait effectuer une vrification des risques et demander un avis juridique avant
de dcider si elle doit autoriser le concept AVEC et si elle peut grer les risques qui y sont
associs. Si elle dcide dadopter le concept, elle devrait mettre en uvre une srie de mesures
dattnuation des risques et des contrles. Compte tenu du fait que lapplication du concept
AVEC en milieu de travail a donn lieu de nombreux cas datteinte la scurit des donnes, xv
il est important que les entreprises envisagent la possibilit dappliquer une vaste politique fonde sur
le concept AVEC. tout le moins, cette politique devrait englober les lments suivants : xvi
qui la politique sapplique-t-elle (p. ex., le personnel, les sous-traitants)?

Quels appareils peuvent tre utiliss (p. ex., des ordinateurs personnels, des tablettes)?
quels services ou renseignements donne-t-elle accs (p. ex., des courriels, des calendriers,
des personnes-ressources)?
Quelles sont les obligations de lemployeur et des membres du personnel (notamment les
mesures de scurit qui doivent tre adoptes)?
Quelles applications peuvent et ne peuvent pas tre installes (p. ex., pour la navigation dans
les mdias sociaux, le partage, ou louverture de fichiers)?
Comment avoir accs aux applications et aux donnes?
o Idalement, les dispositifs non vrifis devraient avoir accs des applications et
des renseignements professionnels au moyen dun ordinateur personnel virtuel. Citrix
et VMware sont des exemples de socits offrant des produits dordinateur personnel
virtuel qui conviennent bien la mise en uvre protge du concept AVEC.
Quelle aide et quel soutien le personnel de la TI peut-il offrir?
Quelles sont les pnalits pour non-conformit (p. ex., la perte de privilges lis au concept
AVEC et autres procdures disciplinaires)?
31
3.8.2 Sauvegarde et rcupration

Une organisation doit appliquer un plan de sauvegarde afin de se prparer en vue dun sinistre,
sinon elle risque de perdre sa proprit intellectuelle et des renseignements de nature dlicate.
Les sauvegardes garantissent que lorganisation pourra reprendre rapidement ses activits en
rtablissant les fichiers perdus ou endommags.
Les petites et moyennes entreprises ont accs aux options de sauvegarde suivantes :
Disque dur (USB) pour ordinateur portable ou personnel
o Un processus automatis peut effectuer une sauvegarde priodique de chaque
systme dinformation.
Serveur
o Les donnes importantes des utilisateurs peuvent tre sauvegardes sur un serveur
branch au rseau. Un processus automatis du serveur sauvegarde ensuite
priodiquement les donnes sur les utilisateurs.
Voici des recommandations touchant la sauvegarde et la rcupration :
Mettre en uvre un plan et amorcer la sauvegarde priodique des donnes.

Pour attnuer le risque de vol/sinistre, conserver des copies des sauvegardes dans un
endroit sr lextrieur.
Inclure les paramtres des systmes et des logiciels dans vos sauvegardes.
Tester priodiquement vos sauvegardes en versant vos fichiers dans un ordinateur dessai
pour vrifier le bon fonctionnement du processus de sauvegarde.
tude de cas Sauvegarde et rcupration Avril 2007
Un cabinet de comptables des tats-Unis, A Desaur & Co., utilisait un systme de

rcupration sur bande lorsquest survenue une panne de serveur en avril 2007.
Le processus de rcupration a compltement chou parce que le fournisseur de service
de soutien en TI navait pas effectu un essai des donnes rcupres, ce qui aurait pu
permettre de constater que la sauvegarde navait pas t effectue.
Aprs une rcupration coteuse et fastidieuse du disque dur, seulement 80 % des donnes
ont pu tre recouvres, ce qui a entran la perte de prcieuses donnes darchive pour la
socit (prparation des comptes) et des travaux en cours (tenue de registres).
32
3.9 Gestion des comptes dutilisateur et contrle daccs
Les contrles daccs dterminent la faon dont les employs lisent leurs courriels, ont accs
leurs documents et se branchent dautres ressources rseau. Les contrles daccs correctement
appliqus permettent de garantir la protection de la proprit intellectuelle et des donnes de
nature dlicate contre leur utilisation, leur divulgation et leur modification non autorises.
Voici des recommandations touchant la gestion des comptes dutilisateur et les contrles
daccs :
Mettre en uvre un processus de gestion des comptes.

Grer centralement tous les comptes laide dun systme de gestion des comptes,
notamment Microsoft Active Directory.
Configurer les dispositifs de rseau et de scurit pour utiliser le systme centralis
dauthentification.
Limiter le nombre de comptes privilges ceux qui rpondent un besoin professionnel
lgitime.
Contrler laccs aux journaux daudit du systme informatique.
Examiner tous les comptes de systme et dsactiver les comptes qui ne peuvent tre
associs un processus oprationnel et un responsable.
Veiller ce quune date dchance soit associe chaque compte.
Mettre en place un processus dannulation immdiate de laccs au systme la cessation
de la relation avec un employ ou un sous-traitant. La dsactivation plutt que llimination
du compte permet de conserver une piste de vrification si une enqute savre ncessaire,
par exemple.
Obliger les utilisateurs se brancher nouveau aprs une priode fixe dinactivit.
Exiger que tous les comptes demploys comportent des mots de passe forts, renfermant des
lettres, des chiffres et des caractres spciaux. Veiller ce quils soient modifis aux
90 jours et que les 15 mots de passe les plus rcents ne puissent pas tre utiliss comme
nouveau mot de passe.
Exiger lauthentification double facteur pour les comptes privilges ou les comptes
donnant accs des donnes ou des systmes de nature dlicate. Lauthentification
double facteur peut tre active laide de cartes puces assorties de certificats, de mots de
passe usage unique ou de facteurs biomtriques.
tude de cas Comptes dutilisateur compromis Juillet 2015
Dans le cadre dune lente cyberattaque lance en Chine contre les rseaux du Bureau de la
gestion du personnel des tats-Unis, les auteurs ont obtenu laccs rseau authentifi au
rseau du Bureau en compromettant un compte dutilisateur sans privilge du domaine
Active Directory du Bureau appartenant un sous-traitant KeyPoint.
Ils se sont servi de cet accs authentifi sans privilge pour obtenir la liste de tous les
utilisateurs avec privilges du dploiement Active Directory du Bureau, et ils ont ensuite
suivi la liste de privilges dActive Directory ( laide de lun de ces deux vecteurs
dattaque) pour compromettre un des comptes dutilisateur avec privilges pour avoir
accs aux bases de donnes SF-86 et SF-85.33Ils ont ensuite exfiltr les donnes.
3.10 Gestion des actifs
Le contrle gr des systmes informatiques et des logiciels joue un rle crucial dans le maintien
de la scurit de lorganisation. Il est essentiel didentifier et de grer tous les systmes
informatiques pour que seuls les systmes autoriss aient accs au rseau. Il est tout aussi
important de veiller ce que seuls des logiciels autoriss soient installs et que lexcution de
logiciels non autoriss soit interdite. Les mises jour ou correctifs les plus rcents ne sont
gnralement pas installs sur les systmes et applications non autoriss, et parfois peu srs.
Par consquent, ces systmes sont habituellement plus susceptibles dtre exploits.
Voici des recommandations touchant la gestion des actifs :
Dployer et tenir jour un outil automatis de recherche des actifs, et lutiliser pour
mettre au point un relev des systmes branchs au rseau priv et public
de lorganisation.
Se brancher au serveur au moyen du Dynamic Host Configuration Protocol (DHCP) afin
damliorer le relev des actifs et dtecter les systmes inconnus laide des
renseignements fournis par le protocole.
Veiller ce que le systme de relev soit mis jour lorsque de nouveaux appareils
approuvs se raccordent au rseau.
Dployer le Network Access Control (NAC) et lauthentification rseau laide du
protocole 802.1x. Ces services de scurit empchent des dispositifs non autoriss de se
brancher au rseau.
Utiliser les certificats des clients pour valider et authentifier les systmes avant de les
brancher un rseau.
tude de cas Vulnrabilit dapplications/de programmes Octobre 2014
Un groupe de pirates actifs ltranger ont creus dans les systmes informatiques de la
banque JPMorgan Chase, compromettant les noms, adresses, numros de tlphone et
adresses courriel de 76 millions de mnages et de 7 millions de petites entreprises.
Les pirates ont obtenu une liste des applications et programmes excuts sur les
ordinateurs de la banque, quils pouvaient contrevrifier laide des vulnrabilits
connues de chaque programme et application Web, la recherche dun point dentre
dans les systmes de la banque. Lorsque lquipe de la scurit de la banque a dcouvert
lattaque, les pirates avaient dj obtenu le niveau de privilge administratif le plus lev
pour des dizaines de serveurs de la banque.
Par la suite, la banque a d informer ses organismes de rglementation de la porte de

lattaque, remplacer ses programmes et applications et rengocier les ententes de licence
avec ses fournisseurs de technologie.
34
3.11 Intervention en cas dincident
La planification et la prparation en vue dun incident de cyberscurit reprsente lun des plus
grands dfis dune organisation. Lorsque survient un incident de cyberscurit, il faut prendre
des mesures et attnuer, ds que possible, les menaces la confidentialit, lintgrit et la
disponibilit des actifs informationnels de lorganisation.
La gestion des cyberincidents permet dattnuer les risques associs aux menaces internes et
externes et aide lorganisation se conformer la rglementation, le cas chant. Une
organisation doit tre prte grer les incidents qui peuvent provenir de plusieurs sources,
notamment les membres du personnel agissant dans un dessein malveillant, les membres du
personnel dignes de confiance dont les actes causent des dommages par faute, et les
cybercriminels qui lancent des attaques.
La complexit des programmes malveillants et des techniques appliques par les cybercriminels
continue de crotre rapidement et, par consquent, les incidents de cyberscurit sont de plus en
plus courants. Les organisations doivent mener un dur combat aux cybercriminels qui, avec le
temps et largent, peuvent dtruire les mesures de protection les plus complexes.
Les organisations doivent faire preuve de diligence raisonnable et prendre les mesures qui
conviennent pour intervenir correctement en cas de cyberincident. Une intervention mal excute
peut entraner de lourdes pertes financires pour lorganisation, ruiner sa rputation et peut-tre
mme la mener tout droit la faillite. xvii Par consquent, il est ncessaire dlaborer et
dappliquer un plan dintervention en cas dincident afin de dtecter rapidement les incidents, de
limiter les pertes et la destruction, dattnuer les faiblesses des systmes dinformation, et de
garantir la reprise des activits aprs un incident de cyberscurit.
Suivent quelques objectifs de la gestion des incidents de cyberscurit :
Neutraliser les incidents de cyberscurit avant quils ne surviennent

Limiter limpact des incidents de cyberscurit sur la confidentialit, la disponibilit ou
lintgrit des services, des actifs informationnels et des activits du secteur des valeurs
mobilires
Attnuer les menaces et les vulnrabilits des incidents de cyberscurit
Amliorer la coordination et la gestion des incidents de cyberscurit au sein du secteur
des valeurs mobilires
Rduire les cots directs et indirects engendrs par les incidents de cyberscurit
Faire rapport des constatations la haute direction
35
Termes et expressions cls
Les dfinitions qui suivent reposent sur la Norme internationale de gestion des incidents de
scurit de linformation (ISO/IEC 27035). xviii
Les incidents de cyberscurit constituent une faible partie des

VNEMENT DE CYBERSCURIT vnements.
tat dun systme, dun service ou Figure 4 vnements de cyberscurit et incidents de cyberscurit xix
dun rseau qui indique une
infraction possible la scurit de
linformation, une panne de contrles
ou une situation antrieure inconnue
qui peut se rapporter la scurit.
INCIDENT DE CYBERSCURIT
vnement ou srie dvnements
non souhaits ou inattendus lis la
scurit de linformation, qui sont
susceptibles de compromettre
sensiblement les activits
oprationnelles et qui menacent la
scurit de linformation.
GESTION DES INCIDENTS DE CYBERSCURIT

Processus de dtection, de signalement, dvaluation, dintervention, de traitement des incidents
de cyberscurit, et qui permet den tirer des leons.
INTERVENTION EN CAS DINCIDENT

Mesures prises pour protger et rtablir les conditions de fonctionnement normales dun systme
dinformation et des renseignements qui y sont stocks lors dun incident de cyberscurit.
QUIPE DINTERVENTION EN CAS DINCIDENT (EII)

quipe de lorganisation dont les membres sont suffisamment comptents et dignes de confiance
et qui prend en charge les incidents pendant leur cycle de vie.
36
Lorsque vous dtectez un incident de cyberscurit, communiquez immdiatement avec votre

conseiller juridique pour obtenir des consignes sur la faon dappliquer les dix mesures
suivantes : xx
Consigner la date et lheure o linfraction a t dcouverte.

Alerter et mobiliser tous les membres de lquipe dintervention pour quils lancent le plan
de prparation.
Scuriser le primtre du lieu o a eu lieu linfraction la scurit des donnes afin de conserver
les lments de preuve.
Empcher toute autre perte de donnes. Mettre tous les systmes informatiques touchs
hors tension.
Documenter tous les lments connus au sujet de linfraction.
Interviewer toutes les personnes vises par la dcouverte de linfraction et celles qui pourraient
possder de linformation ce sujet.
Examiner les protocoles touchant la dissmination de linformation au sujet de linfraction pour
toutes les personnes vises au tout dbut du processus.
valuer les priorits et les risques daprs ce que vous savez au sujet de linfraction.
Informer les autorits comptentes, y compris votre organisme de rglementation.
Aviser les organismes dapplication de la loi, le cas chant, pour quune enqute approfondie
soit ouverte.
Les cinq phases de la gestion dun incident de cyberscurit sont prsentes la Figure 5
ci-dessous.
1. Planification et prparation
Mise sur pied de l'quipe d'intervention
en cas d'incident
Sensibilisation la scurit
Application de mesures de protection
Mise l'essai du plan
5. Activit aprs 2. Dtection et

l'incident signalement
Leons tires
Surveillance des systmes
Conservation d'lments de scurit et des donnes
de preuve
Dtection des incidents
Amlioration continue de cyberscurit
4. Intervention 3. valuation et dcision

Limitation, radication et Est-ce vraiment un incident?
recouvrement, et analyse du Triage et tablissement de priorits
point de vue de l'expertise
judiciaire
Figure 5 - 5 lments cls de la gestion dun incident de cyberscurit
1. La premire phase comprend la planification et la prparation pour que votre organisation soit
prte en cas dincident de cyberscurit.
2. La phase de dtection et de signalement comprend la surveillance permanente des sources
dinformation, la dtection dun vnement de cyberscurit, et la collecte et la consignation de
linformation associe lvnement.
37
3. La phase dvaluation et de dcision comprend lvaluation des vnements de cyberscurit et

la dcision savoir si un incident de cyberscurit est survenu.
4. La phase dintervention comprend la limitation et lattnuation dun incident de cyberscurit,
et la reprise des activits aprs lincident.
5. Lactivit aprs lincident comprend les leons tires de lincident et les changements apports
en vue daccrotre la scurit de lorganisation et damliorer ses processus.
Lannexe A renferme une liste de contrle dun incident de cyberscurit.
38
3.12 Partage de linformation et signalement dune infraction

3.12.1 Avis dinfraction la scurit
En juin 2015, la Loi sur la protection des renseignements personnels numriques a modifi une
loi canadienne fondamentale, la Loi sur la protection des renseignements personnels et les
documents lectroniques (LPRPDE), pour indiquer que lorganisation devra aviser le
commissaire la protection de la vie prive et les personnes vises de toute atteinte aux
mesures de scurit qui a trait des renseignements personnels dont elle a la gestion, sil est
raisonnable de croire, dans les circonstances, que latteinte prsente un risque rel de prjudice
grave lendroit dun individu. La Loi sur la protection des renseignements personnels
numriques prvoit des amendes pouvant atteindre 100 000 $ pour le non-respect en
connaissance de cause des exigences de signalement dune infraction aux mesures de scurit, et
lexigence de conserver et de tenir jour un registre des infractions concernant les mesures de
scurit portant sur les renseignements personnels dont lorganisation a la garde.
Les exigences de notification comprises dans les rglements qui ne sont pas encore promulgus
ne seront pas mises en vigueur. Il est vident que le non-respect des exigences canadiennes de
signalement dune infraction volue et que les socits canadiennes doivent faire preuve de
vigilance cet gard.
Les dispositions de la LPRPDE ne sappliquent pas dans les provinces qui disposent de lois sur
la protection des renseignements personnels qui, de lavis du gouvernement fdral, sont
essentiellement semblables la LPRPDE. lheure actuelle, seules les provinces de lAlberta,
de la Colombie-Britannique et du Qubec appliquent de vastes lois sur la protection des
renseignements personnels dclares essentiellement semblables la LPRPDE. Mais seule la loi
de lAlberta renferme des dispositions de signalement obligatoire des infractions aux mesures de
scurit. Les socits ont lobligation dtre au courant du signalement dune infraction dans
chacun des territoires o elles exercent des activits et dappliquer des politiques internes
conformes aux lois applicables.
3.12.2 change de renseignements
Les cybermenaces sont prsentes lchelle plantaire et elles ne se limitent pas une socit,
un secteur ou un march. Lchange de renseignements est un lment essentiel dun
programme efficace de cyberscurit. De plus en plus dans le secteur financier, la cyberscurit
est perue comme un bien collectif par les intervenants du march. Des doutes au sujet de
lintgrit dun intervenant peuvent rapidement en toucher dautres. On note un empressement
participer au partage des pratiques exemplaires en cyberscurit et des renseignements sur les
menaces entre les membres du secteur financier.
En outre, le libell de la Loi sur la protection des renseignements personnels numriques est plus
permissif que celui des lois antrieures et il permet aux organisations de partager entre elles des
renseignements afin de dtecter ou de supprimer les possibilits de fraude. Il est galement plus
permissif au chapitre du partage de renseignements dans le cadre dune enqute sur une
39
infraction, ou une attente raisonnable dinfraction un accord ou une loi du Canada ou dune
province. Mme si les lois antrieures exigeaient lexistence dun organisme denqute accrdit,
la nouvelle loi semble permettre aux secteurs de partager plus efficacement des renseignements
sur la cyberscurit ou dautres renseignements lis la scurit dans le but de protger leurs
intrts. Le secteur canadien des valeurs mobilires est bien positionn pour suivre les secteurs
des services bancaires et des assurances afin de mettre en place des ententes spciales et
structures de partage des renseignements lappui des programmes de cyberscurit
des socits.
Le partage ou lchange de renseignements constitue un outil essentiel dattnuation des menaces

de cyberscurit. Il embrasse les niveaux stratgiques, tactiques, oprationnels et techniques, de
mme que toutes les phases du cycle dintervention en cas dincident. Il transcende les frontires
des domaines public et priv. Enfin, il porte sur les renseignements de nature dlicate, ce qui
peut tre nuisible pour une organisation, tout en tant trs utile dautres. xxi
Pour les courtiers membres, il existe diverses possibilits et tribunes de partage proactif des
renseignements. Scurit publique Canada exploite le Centre canadien de rponse aux incidents
cyberntiques (CCRIC) dans le but exprs de faciliter le cyberchange de renseignements entre
les secteurs canadiens et avec le gouvernement du Canada. Le Centre comprend lun des
laboratoires de lutte aux programmes malveillants les plus modernes du Canada et il peut fournir
une aide prcieuse aux courtiers membres qui ont t victimes de cybermenaces.
Le Financial Services Information Sharing and Analysis Center (FS-ISAC) est une ressource
mondiale de partage de renseignements visant prcisment les cybermenaces et les menaces
physiques diriges contre la communaut financire mondiale. Le FS-ISAC recherche
constamment auprs de ses membres des donnes sur les menaces qui pourraient les toucher, afin
dmettre des avis proactifs sur dventuelles menaces.
Les exemples qui prcdent ne reprsentent que deux des nombreuses collectivits qui partagent
des renseignements et pratiques exemplaires de cyberscurit. Ces collectivits appliquent le
principe selon lequel la cyberscurit efficace est un bien collectif et quun incident de scurit
dans une institution constitue le rapport de pr-alerte de la collectivit. Les courtiers membres
sont invits appuyer ces collectivits laide de rapports dincident pertinents et mettre
contribution les renseignements reus dans le cadre du partage de linformation afin doptimiser
leurs programmes de cyberscurit.
Microsoft formule les huit recommandations qui suivent pour le partage des renseignements. xxii
1. laborer une stratgie de partage de linformation et de collaboration.

a. Une stratgie de partage de linformation peut aider une organisation : cerner les
priorits, dterminer des valeurs partages et prvoir de mettre au point des
processus efficaces de partage de linformation.
b. La stratgie de partage de linformation devrait rpondre aux questions suivantes :
i. Qui doit partager linformation, et qui peut rsoudre les problmes
ventuels?
ii. Quels renseignements sont partags, et dans quel but?
40
iii. Quelle est la motivation qui sous-tend le partage de linformation?

Linformation est-elle partage sur une base volontaire ou sagit-il dune
obligation rglementaire?
iv. Quelle est la structure de partage de linformation au sein de
lorganisation?
v. Comment linformation est-elle partage de faon sre?
vi. Comment lchange de renseignements est-il structur pour en optimiser
la valeur?
2. Concevoir en tenant compte de la protection des renseignements personnels.

Les projets de partage de linformation doivent respecter la vie prive et doivent tre
conus dans le but doffrir une protection maximale.
3. tablir un processus de gouvernance significatif.

Le respect des rgles de partage de linformation par les membres est essentiel pour la
crdibilit de linitiative et le raffermissement de la confiance. Un processus de
gouvernance significatif prvoit la gestion efficace des donnes partages, partir de leur
cration jusqu leur destruction, en passant par leur diffusion et leur utilisation.
4. Insister sur le partage des renseignements sur les menaces, les vulnrabilits et
lattnuation pouvant servir la mise en place de mesures.
Le partage de renseignements pouvant servir la mise en place de mesures permet
lorganisation damliorer la dfense de ses rseaux et dattnuer les menaces.
5. Btir des relations interpersonnelles.

Il est essentiel dtablir une relation de confiance entre les participants au processus de
partage de linformation, de mme que la confiance dans le programme proprement dit.
Le partage de renseignements de bonne foi entre les participants peut inciter davantage de
participants prendre part au partage de linformation sur les menaces et les
vulnrabilits.
6. Limiter le partage de linformation des circonstances prcises.

Dans certains cas, notamment lorsquil sagit de la scurit nationale et de la sret
publique, il se peut que le signalement dun incident soit obligatoire. Une telle dmarche
doit tre dfinie de faon stricte et tre mise en uvre dans le cadre de mcanismes
dignes de confiance.
7. Garantir le partage de linformation, en effectuant des analyses sur les tendances

long terme.
Une analyse des tendances recueillies partir de renseignements partags peut permettre
de mieux cerner les tendances long terme, aider les dfenseurs des rseaux mieux
comprendre les nouvelles cybermenaces et se dfendre contre les menaces futures ou
les prvenir.
41
8. Encourager le partage des pratiques exemplaires.

Lchange des pratiques exemplaires avec des organisations peut permettre ces
dernires de jouer un rle actif entre elles et avec des organisations de lextrieur.
3.13 Cyberassurance
Lassurance lie aux infractions la scurit des donnes en vertu des polices commerciales
traditionnelles est devenue de plus en plus incertaine. Au dbut des annes 2000, les socits
dassurances ont commenc offrir des polices portant spcifiquement sur la protection contre
les pertes financires engendres par des infractions la scurit des donnes.
Les types de risques et les pertes ventuelles sont :

Le vol didentit
Linterruption des activits
Les dommages causs la rputation et la clientle
Le cot des enqutes et des correctifs
Le cot de remplacement des biens
Le vol de biens numriques
Les programmes malveillants et les virus
Lerreur humaine
Le cot de rglement des litiges
La protection dassurance lie certaines pertes peut tre offerte dans le cadre de certaines
polices de type traditionnel :
Administrateurs et dirigeants (A et D)
Erreurs et omissions (E et O) / Responsabilit professionnelle
Crime / Vol
Biens
Responsabilit civile gnrale (RCG)
Dans bien des cas, lassurance traditionnelle nembrasse pas toute la gamme des risques et les
pertes ventuelles que posent les cyberrisques. ltape de lexamen des assureurs ventuels, il
importe de savoir que cette sous-spcialit demeure ltape de llaboration; il nexiste donc
pas de clauses standard au sein du secteur.
Une pratique exemplaire consiste examiner minutieusement les dispositions des polices
dassurance gnrale de la socit et des administrateurs et dirigeants en ce qui concerne les
demandes de rglement pour infractions la scurit des donnes et la protection des
renseignements personnels, et veiller ce quaucune demande de ce type ne soit exclue. Dans
le cadre dune vaste stratgie de cyberscurit, il convient de dterminer le type et la porte de la
protection qui correspond le mieux aux intrts de lentreprise, et de chercher une police
dassurance adapte qui englobe tous les risques auxquels un cyberincident pourrait exposer
lentreprise.
42
Une protection rtroactive constitue une importante possibilit. Il faut compter des mois, voire
des annes, avant de dcouvrir des cyberinfractions; par consquent, les membres doivent savoir
quils ont peut-tre dj t victimes dune infraction non dtecte lorsquils soumettent une
demande de police dassurance. Dans certains cas, les socits dassurance accepteront doffrir
une protection rtroactive pouvant atteindre deux ans avant de souscrire une police. Cet avenant
dpend dans une large mesure du profil de risque exclusif de lassur ventuel et de la nature du
programme de cyberscurit.
Une protection type offerte dans le cadre de polices de cyberscurit peut comprendre les
lments suivants :
Exemples de protection de cyberassurance

Protection de premire Protection en responsabilit
partie civile
Embauche dun professionnel : Cot de dfense rglementaire,
Avocat-conseil y compris les amendes et les
Cabinet de relations publiques dommages-intrts punitifs
Cabinet de gestion de crise Cot de dfense contre les litiges
Cabinets spcialiss dans lexpertise Dommages-intrts lissue de litiges
judiciaire
Cots lis aux avis :
Cots directs, y compris
limpression/lenvoi postal
Services de surveillance du crdit pour
les personnes touches
Cot de protection administrative :
Formation des employs
Cration de portails dinformation
Cration de modles de scurit et
dintervention en cas dincident
Ddommagement des assurs pour la
perte de revenu imputable une
infraction
Rcupration des donnes perdues
43
3.14 Gestion des risques de fournisseur
Le nombre dincidents de scurit survenus dans des socits et qui sont imputables aux
systmes des clients, des partenaires et des fournisseurs est pass de 20 % en 2010 28 % en
2012. xxiii Lexemple le plus connu de risque de fournisseur est linfraction massive touchant les
donnes de Target Corp, en 2013; cette occasion, des pirates ont obtenu laccs aux donnes de
cartes de crdit grce un sous-traitant du domaine du chauffage et de la climatisation. Jusqu
40 millions de numros de carte de crdit et de dbit ont t exposs.
Les lments essentiels dun programme de gestion des risques de fournisseur comprennent le
classement des fournisseurs en fonction des risques, ltablissement de politiques prcises que
les fournisseurs doivent respecter, lintgration de conditions explicites dans les contrats, et la
mise au point dun programme visant vrifier le rendement des fournisseurs.
Figure 6 Cycle de la gestion des risques pour le risque de tiers

Office of the Comptroller of the Currency (OCC)
De nos jours, il est presque impossible de trouver une entreprise qui ne sen remet pas des
fournisseurs. Compte tenu du risque que pose la relation avec un tiers fournisseur, les entreprises
intgrent les pratiques de scurit de ces fournisseurs dans leur propre profil de risque. LOffice
of the Comptroller of the Currency (OCC), des tats-Unis, a labor un excellent cadre
permettant de crer un programme efficace de gestion du risque de fournisseur (voir la Figure 6
ci-dessus). Ce modle de cycle de vie souligne les principales tapes de planification
prliminaire, de diligence et de ngociation pour que les fournisseurs respectent les politiques de
scurit de lentreprise. Mme si la surveillance permanente est essentielle, il est tout aussi
44
important de planifier la cessation de la relation pour que laccs aux rseaux soit interrompu et
que les donnes confidentielles soient retournes.
Une pratique exemplaire consiste envisager la gestion du risque de fournisseur par niveau,
le premier tant rserv aux relations posant le plus grand risque. La stratification des
fournisseurs xxiv peut tre envisage sous langle des considrations suivantes :
Risques lis au service :
Volume doprations financires traites

Concentration associe aux services
Risque li la sensibilit des donnes auxquelles le fournisseur pourrait avoir accs
Risque de conformit et risque rglementaire se rapportant au service
Impact financier et consquences pour la clientle
Risques lis au fournisseur :
Emplacement du fournisseur (sous rserve des lois et rglements multinationaux, etc.)

Infractions antrieures la scurit ou la scurit des donnes
Porte de limpartition excute par le fournisseur
Historique du rendement
Lacunes courantes des tiers fournisseurs :
Plan de gestion dintervention en cas dincident

Sensibilisation insuffisante la scurit
Prvention de la perte de donnes
Chiffrement des donnes stockes et en transit
Blocage du privilge de ladministrateur
Essais de vulnrabilit ou tests de pntration
Les approches courantes dvaluation des tiers fournisseurs comprennent :
Questionnaires intgrs aux demandes de propositions

o Un modle de questionnaire dvaluation des fournisseurs figure lAnnexe B.
Demandes de documentation aux fournisseurs ventuels
o Le modle de questionnaire dvaluation des fournisseurs prsent lAnnexe B
renferme des exemples de ces types de documentation.
valuations administratives pour dterminer la valeur des renseignements demands
Visites sur place par des experts linterne ou de lextrieur
Tests de pntration portant sur les fournisseurs ventuels
45
Pour tre efficace, la gestion des risques de fournisseur devrait tre intgre au programme de
gestion des risques de lorganisation et comporter des processus tablis et rptitifs uniformes
dans tous les services de lorganisation.
tude de cas Piratage des fins de court-circuitage - 2010 2014
Sur une priode de cinq ans schelonnant de 2010 2014, des pirates trangers de
mche avec des initis des tats-Unis ont vol des renseignements dentreprise non
publics et ont effectu des tentatives payantes en infiltrant les serveurs de PRNewswire
Association LLC, Marketwired LP et Business Wire.
Les suspects ont eu recours des techniques dhameonnage et ont plant un code de
programmation malveillant dans des applications ou des sites Internet pour avoir accs
aux bases de donnes renfermant les communiqus des entreprises susmentionnes. Ils
ont ensuite tir profit de la priode comprise entre le moment o les socits dsignes
ont tlcharg les communiqus dans des fils de presse et la diffusion du contenu des
communiqus dans le public.
Ce stratagme reprsente la plus importante collaboration connue entre des pirates et des
initis; ils ont engrang des profits illgaux de 30 millions de dollars. Cette dmarche a
soulign le danger invisible des finances modernes et de lInternet; un lien compromis
dans la vaste chane peut lentement mettre le systme en danger pendant des annes.
3.14.1 Infonuagique
Dans sa forme la plus simple, linfonuagique correspond au stockage des donnes et leur accs
sur Internet plutt que sur le lecteur dun ordinateur. xxv Mme si ce concept prsente de
nombreux avantages, il comporte des risques semblables ceux associs limpartition des
fournisseurs tiers; toutefois, contrairement aux fournisseurs tiers, la principale activit dun
fournisseur de services dinfonuagique est le stockage dapplications essentielles et de donnes
de nature dlicate. Par consquent, la protection de la scurit et des donnes constitue la
principale proccupation de la plupart des entreprises qui envisagent de recourir cette option.
Les entreprises doivent tenir compte des risques et de menaces inhrentes, en plus des risques
quelles sont disposes assumer. Ces risques comprennent la non-disponibilit des donnes ou
des applications, la perte de donnes, et le vol et la divulgation non autorise de renseignements
de nature dlicate.
Outre les directives concernant lattnuation des risques, nonces la section portant sur la
gestion des fournisseurs, les entreprises qui envisagent de souscrire des services
dinfonuagique doivent trouver un fournisseur aux caractristiques suivantes : xxvi
46
Dimportants antcdents dans le domaine des services dinfonuagique qui peuvent

fournir des rfrences professionnelles solides
Le fournisseur nonce clairement ses contrles dattnuation au chapitre de la gestion des
risques contrles se rapportant la scurit, la disponibilit, lintgrit du
traitement, la confidentialit et la protection des renseignements personnels
Le fournisseur peut auditer et vrifier ses contrles
Le fournisseur est accrdit ou reconnu par au moins une autorit du domaine des normes
de scurit
Ses procdures de sauvegarde, ses plans de reprise des activits et ses plans de reprise
aprs sinistre respectent les exigences de votre entreprise.
3.15 Politique de cyberscurit
Un programme de cyberscurit est dfini par la politique qui le sous-tend. La politique de

scurit de lorganisation constitue la pice matresse des objectifs de la socit, qui ont t
convenus par la direction et qui tablissent les exigences qui doivent tre respectes. Plutt que
des orientations ou des lignes directrices, la politique tablit une conduite obligatoire.
La cration dune politique de scurit exige que la direction nonce ce quelle estime ncessaire
et les risques quelle est dispose assumer, plutt que de simplement tlcharger un modle
de politique de scurit. Une pratique exemplaire consiste mobiliser la direction de
lorganisation dans le cadre dun processus de sensibilisation au sujet des risques de scurit afin
dtablir un consensus clair entre les membres de la haute direction et avec eux, qui constituent
lautorit sur laquelle reposent llaboration et lexcution de la stratgie de cyberscurit.
Lexpression politique de scurit est utilise en connaissance de cause plutt que politique
de cyberscurit . La scurit englobe la scurit physique, la scurit du personnel, la
cyberscurit, de mme que lappui des pratiques de continuit des activits de lentreprise. Bien
que le prsent guide porte plus prcisment sur la cyberscurit, il est impossible dappliquer un
programme efficace de cyberscurit sans y intgrer les autres disciplines de la scurit.
Les principaux lments dune politique de scurit comprennent :

La porte tous les renseignements, les systmes, les installations, les programmes, les
rseaux de donnes, et tous les utilisateurs de la technologie au sein de lorganisation
( linterne et lextrieur), sans exception
La classification de linformation doit fournir des dfinitions axes sur le contenu plutt
que des dfinitions plus gnrales de type confidentiel ou restreint
Les objectifs de la direction au chapitre de la manutention protge de linformation dans
chacune des catgories de la classification
La place de la politique dans le contexte des autres directives et documents de la direction
Les renvois aux documents dappui, notamment les normes et lignes directrices
du secteur
Des instructions prcises au sujet de mandats de scurit la grandeur de lorganisation
(p. ex., aucun partage des mots de passe)
47
La dsignation spcifique des rles et responsabilits tablis

Les consquences de la non-conformit (p. ex., mesures pouvant aller jusquau
congdiement ou la rsiliation du contrat) xxvii
La mise en uvre dune politique ne constitue pas un vnement unique; il sagit plutt dun
processus itratif rexamin au fil de lvolution des modles de lentreprise, des relations et des
changements technologiques. En labsence dune politique, la gouvernance du programme
de cyberscurit ne peut tre efficace, car il nexiste pas dorientations ou de lignes
directrices prcises qui permettent de prendre des dcisions relatives aux programmes.
48
Annexe A Liste de contrle dun incident de cyberscurit
Vous trouverez ci-dessous les processus et procdures qui doivent tre en place avant, pendant et
aprs un incident de cyberscurit xxviii:
LISTE DE CONTRLE DUN INCIDENT DE CYBERSCURIT
AVANT UN INCIDENT
Dresser une liste priorise des actifs informationnels dune importance critique pour
le bon fonctionnement de votre organisation.
Identifier les intervenants responsables de chaque actif dune importance critique.
Mettre sur pied une quipe dintervention en cas dincident qui sera charge de tous
les incidents (comprenant des reprsentants des services juridiques, des
communications et des ressources humaines).
Veiller ce que des technologies pertinentes de surveillance et de suivi soient en

place pour protger les actifs informationnels de votre organisation (notamment des
pare-feu, des systmes de prvention des intrusions (SPI) et des antivirus).
Fournir une formation mdia aux personnes comptentes.
Mettre en place un processus la grandeur de lorganisation pour permettre aux

employs, aux sous-traitants et aux tiers de signaler les activits suspectes ou les
soupons de piratage.
Donner de la formation dans toute lorganisation au sujet de la sensibilisation aux

infractions, de la responsabilit des employs et des processus de signalement.
PENDANT UN INCIDENT
Consigner les problmes et prparer un rapport dincident.
Convoquer lquipe dintervention en cas dincident (EII).
Organiser une tlconfrence avec les intervenants comptents pour discuter
49
des mesures prendre pour rtablir les activits.
Organiser une tlconfrence avec les intervenants comptents pour faire le point sur
la situation avec la haute direction.
Trier les enjeux actuels et les communiquer la haute direction.
Dterminer la cause initiale de lincident et convoquer les spcialistes pour corriger

les problmes afin de rtablir les activits.
Conserver les lments de preuve et suivre une chane de preuves rigoureuse lappui
de toute mesure juridique ncessaire ou prvue.
Communiquer avec les tiers viss, les organismes de rglementation et les mdias
(si ncessaire).
APRS UN INCIDENT
Mettre jour le rapport dincident et dterminer exactement ce qui est arriv et quel
moment.
Vrifier dans quelle mesure le personnel et la direction ont bien agi au cours
de lincident.
Dterminer si les procdures documentes ont t suivies.
Discuter des changements quil faudra apporter aux processus ou la technologie

pour attnuer les incidents futurs.
Dterminer les renseignements qui auraient d tre fournis plus tt.
Dterminer si les tapes appliques ou les mesures prises auraient pu nuire

la reprise.
Prciser les outils ou autres ressources ncessaires pour dtecter, trier, analyser et
attnuer les incidents futurs.
Discuter des exigences de signalement ncessaires (notamment au chapitre de la

rglementation et de la clientle).
Dans la mesure du possible, quantifier les pertes financires causes par linfraction.
50
Annexe B Modle de questionnaire dvaluation des fournisseurs

Adaptation du Third-Party Assessment Questionnaire, University of British Columbia. xxix
Loriginal peut tre consult ladresse

suivante : https://it.ubc.ca/sites/it.ubc.ca/files/3rd%20Party%20Outsourcing%20Information%20
Security%20Assessment%20Questionnaire%20V1.4.xlsx
Sources additionnelles :
Gestion des fournisseurs de lISACA laide de COBIT 5 xxx
Questionnaire sur linitiative dvaluation consensuelle de la Cloud Security Alliance
V3.0.1 xxxi
Modle de questionnaire dvaluation des fournisseurs
Raison sociale
Courriel
Numro de tlphone
Site Internet de la socit
Date de lvaluation
Documents additionnels Diagramme du rseau

fournis Architecture de scurit
Rsultats de lvaluation de la scurit
Politiques de scurit
Rapports ISO, SAE16
Politique de gestion des risques
Politique de gestion des fournisseurs
Plan de gestion du changement
Procdures de sauvegarde et de rtablissement
Politique de conservation des documents
Plan de gestion des incidents
Plan de continuit des activits
Plan de reprise aprs sinistre
Procdures dvaluation des risques
Autres documents pertinents
51
Contrles chez le fournisseur Rponse du fournisseur

Oui/Non/Mise en uvre partielle
1. Permet laudit de scurit sur place avec pravis de 24 heures
2. Stocke toutes les donnes au Canada
3. Tient un registre daudit pour la localisation de toutes les
donnes confidentielles.
4. Naccdera pas des donnes confidentielles de ltranger
5. Peut fournir les rsultats rcents de lvaluation externe de la
scurit de linformation
6. Tient jour des procdures dintervention en cas dincident
7. Applique une politique de protection des renseignements sur
le client contre laccs non autoris
8. Applique une politique qui interdit le partage de comptes et de
mots de passe personnels
9. Applique une politique qui met en uvre les principes du
besoin de savoir et de la division des tches
10. Applique un processus dauthentification plurifactorielle pour
laccs aux ressources du client
11. Vrifie les antcdents de tous les employs
12. Fournit un soutien la clientle et a prvu une procdure
de signalement
13. Dispose de processus documents de contrle du changement
14. Oblige les employs assister des sances priodiques de
sensibilisation et de formation en scurit
Architecture de scurit Rponse du fournisseur

1. Fournira un diagramme de topologie du rseau
2. A mis en uvre une protection rseau au moyen de pare-feu
3. A mis en uvre une protection de pare-feu pour les
applications Web
4. Protge les systmes hte au moyen de pare-feu
5. Prvoit la redondance du rseau
6. A mis en place une technologie de systmes de prvention
des intrusions
7. A mis en uvre une architecture DMZ par paliers pour les
systmes fonds sur Internet
8. Utilise une protection virus intgre pour tous les systmes
9. Applique un programme de gestion des correctifs
10. Offre des serveurs clients dsigns afin de sparer les donnes
des autres donnes sur les clients, sinon, comment cette
mesure est-elle applique dans une configuration virtuelle ou
segmente protge?
11. Met en uvre des contrles pour limiter laccs aux donnes
dautres clients
52
12. Laccs distance seffectue au moyen de connexions

protges qui utilisent lauthentification plurifactorielle
13. Llaboration, la mise lessai et le mode de production sont
spars physiquement ou virtuellement
14. Utilise des points daccs grs et protgs sur son rseau
sans fil
53
Configuration des systmes dinformation Rponse du fournisseur
1. Met en uvre le chiffrement des renseignements confidentiels

un niveau minimal de AES 128 octets et TLS 1.0
2. Dispose dcrans de veille protgs par mot de passe qui
sactivent automatiquement pour empcher laccs non
autoris aux systmes
3. Utilise des logiciels de surveillance de lintgrit des fichiers
sur les serveurs (notamment Tripwire, etc.)
4. Utilise des mots de passe dau moins dix caractres dont les
exigences de complexit doivent tre modifies aux 90 jours
5. Veille ce que le mot de passe ne soit jamais archiv sous
forme de texte en clair
6. Met en uvre la redondance ou la disponibilit leve pour
les fonctions essentielles
7. Nutilise pas de donnes de production dans les modes de
dveloppement et dessai
8. Active la fonction de blocage de compte pour les checs
rptitifs de branchement sur tous les ordinateurs dappui
du systme
9. Interdit la tunnelisation partage lors du branchement aux
rseaux des clients
Contrles daccs Rponse du fournisseur

1. Supprime ou modifie immdiatement laccs lorsquun

employ quitte son poste, est mut ou change de fonctions
2. Veille ce quau moins deux personnes autorises et dignes de
confiance aient accs aux donnes ou systmes essentiels pour
viter une panne un point de service
3. Veille ce que les utilisateurs ne disposent que de
lautorisation de lecture ou de modification des programmes
ou des donnes ncessaires pour excuter leurs tches
Surveillance de la scurit Rponse du fournisseur

1. Examine priodiquement les permissions daccs pour tous les
fichiers, bases de donnes et applications du serveur
2. Examine et analyse priodiquement laccs aux systmes aprs
les heures normales
3. Examine priodiquement les registres des systmes pour
reprer les checs de branchement ou les tentatives daccs
qui ont chou
4. Examine et supprime priodiquement les comptes inactifs
dans les systmes
5. Examine priodiquement les registres de rseau et de pare-feu
6. Examine au moins priodiquement les registres daccs sans fil
7. Recherche priodiquement les points daccs non autoriss
Scurit physique Rponse du fournisseur

1. Contrle laccs aux zones protges
2. Contrle laccs aux salles de serveur et applique les principes
du privilge minimum et du besoin de savoir
3. A mis en place des mesures de sauvegarde (p. ex., serrures
code, accs restreint, registre daccs aux salles, contrle
daccs par carte glisse)
4. Dchiquette ou brle les documents dinformation
confidentiels
5. Accompagne les visiteurs dans les salles dordinateur et les
zones de serveur
6. Met en uvre des contrles environnementaux afin
dattnuer les menaces environnementales au matriel
Planification durgence Rponse du fournisseur

1. Applique un plan durgence crit aux activits informatiques
essentielles pour la mission
2. Met jour le plan durgence au moins une fois lan
3. Applique des procdures et processus de sauvegarde crits
4. Vrifie lintgrit des supports de sauvegarde une fois par
trimestre
5. Archive le support de sauvegarde de faon protge et en
contrle laccs
6. Tient jour un plan de reprise aprs sinistre document et
vrifi
7. Fournit des avis en cas dinfraction la scurit
8. Le fournisseur a-t-il t victime dune infraction la
cyberscurit au cours des trois cinq dernires annes?
9. Dans laffirmative, veuillez indiquer les renseignements perdus
dans la section rserve aux commentaires
Associs du fournisseur Rponse du fournisseur

1. Des ententes de confidentialit ont t signes avant que des
renseignements exclusifs et/ou confidentiels aient t
divulgus aux associs du fournisseur.
2. Des contrats ou ententes avec les associs du fournisseur sont
en vigueur et protgent convenablement contre les risques
relis aux besoins des consommateurs
3. Les associs du fournisseur sont au courant des politiques de
scurit des clients et de ce que lon attend deux
4. Les ententes avec les associs du fournisseur documentent le
transfert convenu des donnes des clients lorsque la relation
daffaires est rompue
55
Annexe C Glossaire
La prsente section sinspire du guide du gouvernement du Canada intitul Pensez cyberscurit
pour les petites et moyennes entreprises titre de source faisant autorit pour permettre au
lecteur de mieux comprendre les termes et expressions cls utiliss dans le prsent document.
Actif : lment ou article appartenant la socit ou quelle a en sa possession et qui prsente

une certaine valeur (notamment des renseignements, sous toutes formes et sur tous systmes).
Attaque : Tentative dobtenir laccs non autoris des renseignements personnels ou propres
la socit, des systmes ou rseaux informatiques dans un dessein (habituellement) criminel.
Une attaque russie peut se traduire par une atteinte la scurit ou tre gnralement considre
comme un incident .
Authentification : Pratique de scurit (prenant habituellement la forme dun contrle logiciel)

visant confirmer lidentit dune personne avant de lui donner accs aux services, ordinateurs
ou renseignements de la socit.
Cyber : Relatif aux ordinateurs, aux logiciels, aux systmes de communication et aux services
utiliss pour avoir accs Internet et interagir sur la toile.
Chiffrement : Conversion dune information en code ne pouvant tre lu que par les personnes
autorises et qui ont reu la cl ncessaire (et habituellement unique) et les logiciels spciaux
de manire pouvoir renverser le processus (p. ex., le dchiffrement) et utiliser linformation.
Correctif : Mise jour ou rparation dune forme de logiciel applique sans remplacement du
programme original. De nombreux correctifs sont fournis par des dveloppeurs de logiciels pour
corriger des vulnrabilits de scurit connues.
Hameonnage : Type prcis de pourriel qui cible une ou plusieurs personnes et qui se prsente
sous une forme lgitime, dans le but de frauder le destinataire ou les destinataires.
Infraction la scurit : Problme de scurit imputable la ngligence ou une attaque

dlibre. Il peut sagir dune action contraire une politique ou une loi, et elle est souvent
exploite pour favoriser une autre action nuisible ou criminelle.
Logiciel malveillant : Logiciel cr et distribu des fins malveillantes. Le plus souvent, ce type
de logiciel prend la forme dun virus .
Menace : vnement ou acte potentiel (dlibr ou accidentel) qui pose un danger pour la
scurit de lorganisation.
Mesure de protection : Processus de scurit, mcanisme physique ou outil technique servant

liminer des menaces prcises. Parfois dsign contrle.
56
Mot de passe : Mot secret ou combinaison de caractres secrets utiliss pour authentifier leur
utilisateur.
Pare-feu : Type de barrire de scurit place entre divers rseaux. Il peut sagir de dispositifs
ddis ou dun ensemble de composantes et techniques. Seules les oprations autorises, dfinies
par la politique de scurit locale, sont autorises.
Pourriel : Courriel envoy sans la permission du destinataire ou que celui-ci na pas demand.
Risque : Exposition un rsultat ngatif si une menace se concrtise.
RPV : Rseau priv virtuel.
Sauvegarde : Processus qui consiste copier des fichiers dans un dispositif de stockage
secondaire, pour que ces fichiers soient accessibles en cas de besoin (p. ex., aprs une panne
dordinateur).
Serveur : Ordinateur membre dun rseau qui fait fonction de ressource partage pour dautres
processeurs rattachs au rseau (pour stocker et servir des donnes ou des applications).
Vol didentit : Copie des renseignements identitaires dune personne (notamment son nom et
son numro dassurance sociale) pour se faire passer pour elle afin de commettre un acte de
fraude ou une autre activit criminelle.
Vulnrabilit : Faiblesse du logiciel, du matriel, de la scurit physique ou des pratiques

humaines qui peut tre exploite pour lancer une attaque la scurit.
Wi-Fi : Rseau local (LAN) qui utilise les frquences radio pour transmettre et recevoir des
donnes sur une distance de quelques centaines de pieds.
57
Annexe D Bibliographie
NIST Cybersecurity Framework, Version 1.0, 2014
CGI, Cybersecurity in Modern Critical Infrastructure Environments , 2014
ENISA, Technical Guideline on Security Measures , Version 2.0, 2014
Scurit publique Canada. Scurit informatique et systmes de contrle industriel (SCI)
Pratiques exemplaires recommandes, 2012
xxxii xxxiii xxxiv xxxv
i
Publication spciale 800-53 du NIST, Security and Privacy Controls for Federal Information Systems and
Organizations
ii
Australian Signals Directorate. Strategies to Mitigate Targeted Cyber Intrusions, fvrier 2014
iii
Guide Pensez cyberscurit pour les petites et moyennes entreprises
iv
National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity,
2014
v
Cyber-Ark. Security & Passwords Survey, 2012
vi
CERT Insider Threat Center, http://www.cert.org/insider-threat/
vii
Bunn, C. A Focus on Insider Threats in Banking & Financial Institutions, 2013
viii
Shaw, E.D. et H.V. Stock. Harley V. Stock, Ph.D. Behavioral Risk Indicators of Malicious Insider Theft of Intellectual
Property: Misreading the Writing on the Wall, 2011
ix
Price Waterhouse Coopers. 2015 Global State of Information Security Survey, 2015
x
CyberEdge Group. 2015 Cyberthreat Defense Report: North America & Europe, 2015
xi
The Council On CyberSecurity. The Critical Security Controls For Effective Cyber Defense, 2015, pp. 27-32
xii
Centre de la scurit des tlcommunications Canada. Exigences de base en matire de scurit pour les zones de
scurit de rseau au sein du gouvernement du Canada, 2007, p. 5
xiii
Scurit publique Canada. Scurit informatique et systmes de contrle industriel (SCI) Pratiques exemplaires
recommandes, 2012
xiv
Gouvernement du Canada. Guide Pensez cyberscurit pour les petites et moyennes entreprises,
http://www.pensezcybersecurite.gc.ca/cnt/rsrcs/pblctns/smll-bsnss-gd/index-fr.aspx
xv
Trend Micro. Mobile Consumerization Trends & Perceptions: IT Executive and CEO Survey, 2012
xvi
Fraud Advisory Panel. Bring your own device (BYOD) policies, 2014
xvii
ISACA. Incident Management and Response, 2012
xviii e
ISO/IEC. ISO 27035-2 (2 bauche de travail), Technologies de linformation -- Techniques de scurit -- Gestion
des incidents de scurit de linformation Partie 1 : Principes de gestion des incidents
xix
Government of South Australia. ISMF Guideline 12aCybersecurity Incident Reporting Scheme, 2014
xx
Experian Data Breach Resolution. Data Breach Response Guide, 2013
xxi
Luiijf, E. et A. Kernkamp. Sharing Cyber Security Information: Good Practice Stemming from the Dutch Public-
Private-Participation Approach, mars 2015
xxii
Goodwin, C. et J.P. Nicholas (Microsoft). A Framework for Cybersecurity Information Sharing and Risk Reduction,
2015
xxiii
PwC. Global State of Information Security Survey, 2013.
xxiv
Ibid.
xxv
Eric Griffith. What Is Cloud Computing?, http://www.pcmag.com/article2/0,2817,2372163,00.asp, avril 2015
xxvi
ISACA. Security Considerations for Cloud Computing, 2012
xxvii
CSO Online. How to write an information security policy, consultable
http://www.csoonline.com/article/2124114/strategic-planning-erm/how-to-write-an-information-security-
policy.html
xxviii
Hewlett-Packard. Executive breach response playbook: How to successfully navigate the enterprise through
a serious data breach, 2015
58
xxix
University of British Columbia. Third-Party Assessment Questionnaire
https://it.ubc.ca/sites/it.ubc.ca/files/3rd%20Party%20Outsourcing%20Information%20Security%20Assessment%2
0Questionnaire%20V1.4.xlsx
xxx
ISACA. Vendor Management using COBIT 5, http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/VendorManagementDownload.aspx
xxxi
Cloud Security Alliance. Consensus Assessments Initiative Questionnaire V3.0.1.
https://downloads.cloudsecurityalliance.org/initiatives/cai/caiq-v3.0.1.zip
xxxii
http://www.antifraudcentre-centreantifraude.ca/fraud-escroquerie/types/phishing-hameconnage/index-
fra.htm
xxxiii
http://www.cbc.ca/news/technology/ashley-madison-data-dump-what-s-at-risk-and-for-whom-1.3199031
xxxiv
http://www.law360.com/articles/662840/sec-finra-officials-talks-cyberbreach-enforcement
xxxv
http://www.cbc.ca/news/canada/nova-scotia/cryptowall-virus-hits-some-mahone-bay-and-bridgewater-town-
computers-1.3171424
http://www.cbc.ca/news/world/100m-cybercrime-ring-busted-by-u-s-led-team-of-investigators-1.2662871
59

CybersecurityBestPracticesGuide FR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

CybersecurityBestPracticesGuide FR

Enviado por

Direitos autorais:

Formatos disponíveis

Guide de pratiques exemplaires en matire de cyberscurit

lintention des courtiers membres de lOCRCVM

Table des matires

Les points saillants du rapport sont les suivants :

Les courtiers membres de lOCRCVM ont habituellement recours des fournisseurs de

le nombre dincidents de scurit imputs aux partenaires et aux fournisseurs ne cesse

Le prsent guide comporte les objectifs prcis suivants :

Sa structure facilite la communication des activits de cyberscurit et de leurs rsultats dans

les personnes qui exercent des fonctions lies la surveillance et lvaluation de la

1.1 Dfinition de la cyberscurit

Il existe actuellement de nombreuses dfinitions acceptes de la cyberscurit :

Le Comit sur les systmes nationaux de scurit (CNSS-4009) dfinit la cyberscurit

Le National Institute of Standards and Technology dfinit ainsi la cyberscurit :

LOrganisation internationale de normalisation dfinit la cyberscurit ou la scurit

Fondamentalement, la cyberscurit a pour but de protger votre entreprise contre

Figure 1 Cadre conceptuel de la cyberscurit

La cyberscurit ne reprsente pas un problme portant uniquement sur la TI, il sagit

et dans le cadre dinitiatives internes, tablissent le contexte auquel les mesures de

Le prsent document a pour objectif de mettre la disposition des membres de

1.2 Contexte des menaces

Selon lenvironnement dans lequel se trouve un systme dinformation ou un rseau, et selon le

Groupes du crime organis : Les groupes criminels dans le

l'interne : Des employs mcontents

tude de cas Fraude par courriel Fvrier 2015

2.1 Objet et applicabilit

Un cadre de cyberscurit est constitu dun ensemble dactivits de cyberscurit, de rsultats

Le Cadre de cyberscurit du NIST se compose de cinq fonctions simultanes et continues :

2.2 Synthse du document

Les documents, principes et pratiques exemplaires qui suivent constituent le fonds

1. SANS Les 20 principaux contrles de scurit essentiels de SANS

2.2.2 Contrles oprationnels, techniques et de gestion

3.1 Gouvernance et gestion des risques

3.1.1 Cadre de gouvernance

La premire mesure que doit prendre le conseil dadministration ou lquipe de la direction

Figure 2 tapes de mise en uvre du Cadre de cyberscurit

Le Cadre de cyberscurit du NIST prvoit un processus prouv qui permet dlaborer et de

Les dispositifs et systmes matriels

partir de linformation recueillie au moyen de lvaluation des risques, la socit devrait

3.1.2 Participation du conseil dadministration et de la haute direction

Les administrateurs doivent comprendre la cyberscurit et lenvisager comme un

Les administrateurs doivent comprendre les rpercussions juridiques des cyberrisques,

Les conseils dadministration devraient avoir un accs suffisant lexpertise en

Les administrateurs devraient veiller ce que la cyberscurit soit une fonction

La discussion des cyberrisques au conseil dadministration et au sein de la direction

La surveillance de la mise en uvre du vaste programme de cyberscurit dcrit prcdemment

La socit canadienne Ashley Madison a t la cible de pirates en juillet 2015. Se dsignant

3.2 Pratiques exemplaires recommandes : petites et moyennes socits

La protection des biens de votre organisation exige latteinte de trois objectifs

3.3 Enqute de scurit sur le personnel et menaces internes

Un sondage men en 2012 par un fournisseur de services de cyberscurit, Cyber-Ark, a permis

Voici des recommandations qui permettront dliminer la menace interne : viii

tude de cas Fuite de donnes internes Janvier 2014

3.4 Scurit physique et environnementale

Menaces pour les systmes dalimentation

Voici des recommandations touchant la scurit physique et environnementale :

3.5 Sensibilisation la cyberscurit et formation

Voici des recommandations touchant la sensibilisation et la formation :

tude de cas Ranongiciel Juin 2015

3.6 Lvaluation des menaces et des vulnrabilits

Services de rparation dordinateur non sollicits

tude de cas Fraude lingnierie sociale Avril 2015

Mega Metals avait effectu un virement tlgraphique de 100 000 $ un fournisseur

3.7 Scurit rseau