avril 2019 | Groupe Cyberswat

Conférence : Quelles sont vos options pour éviter une brèche de sécurité ou en réduire les conséquences?

25 mars 202229 avril 2019 par Jean-Philippe Racine

Conférence :

Quelles sont vos options pour éviter une brèche de sécurité ou en réduire les conséquences?

Saviez-vous que, lors d’une brèche de sécurité informatique, le coût pour une entreprise canadienne varie généralement de 300$ à 550$ par dossier client? Imaginez le coût du vol des renseignements de 1500 de vos clients. On atteint près de 825 000$ de perte! Seriez-vous en mesure de rebondir après une telle perte?

En plus de l’impact sur vos données, vous pourriez être assujettis à de nouvelles obligations légales destinées aux entreprises du Québec et du Canada. Des obligations supplémentaires sont à observer si vous avez des clients européens.

Heureusement, lors de cette conférence, plusieurs solutions s’offrent à vous. Nous vous invitons à rencontrer des spécialistes en sécurité de l’information, en protection des données, en assurance cyberrisques ainsi qu’un avocat spécialisé en cybersécurité.

Notre conférence a pour but de vous éclairer sur les enjeux de sécurité informatique et ainsi favoriser la protection et la pérennité de votre organisation. Pendant cette conférence, vous aurez accès à des informations essentielles sur les nouvelles menaces en cybersécurité, les enjeux légaux d’aujourd’hui ainsi que sur l’assurance en cyberrisques.

Où et quand est cette conférence?

À qui s’adresse cette conférence?

Cette conférence s’adresse tout particulièrement aux chefs d’entreprise, aux directeurs des technologies de l’information, mais également à toute personne en position de gestion préoccupée par la protection des données de son entreprise.

Votre entreprise :

Détient-elle des renseignements personnels sur ses employés et clients?
Possède-t-elle de la propriété intellectuelle qu’elle doit protéger?
Fait-elle affaire ou désire-t-elle faire affaire en Europe?
A-t-elle réalisé ou a-t-elle planifié un virage numérique important?
Se questionne-t-elle à propos de l’assurance en cyberrisques?

Si vous avez répondu « oui » à une ou plusieurs de ces questions, cette conférence est faite pour vous !

Quels sont les lieux exacts des conférences?

Lundi 27 mai : Langlois avocats, 1250 Boul. René-Lévesque Ouest #20, Montréal, QC H3B 4W8
Mercredi 29 mai : Langlois avocats, 2820 Boulevard Laurier, Québec, QC G1V 0C1

Quel est l’horaire de la conférence?

L’horaire est la même, que vous vous inscriviez à Québec ou Montréal!

8:00	Arrivée des participants
8:30	Quelles sont les obligations canadiennes en matière de protection des renseignements personnels lors d’une atteinte à la vie privée? (Jean-François De Rico - Avocat, Associé chez Langlois)
9:20	Pourquoi le Règlement Général sur la Protection des Données (RGPD) me concerne en tant qu’entreprise canadienne ? (Mélanie Gagnon - CEO & fondatrice chez MGSI)
10:10	Pause
10:25	Quoi faire pour prévenir un incident de sécurité informatique? Que faire lorsque le pire se produit? (Jean-Philippe Racine – Président chez Groupe Cyberswat)
11:15	À quoi sert l’assurance en cyberrisques et comment cela fonctionne? Québec : Marc-André Laflamme - Courtier en assurances de dommage des entreprises chez EgR Inc. Montréal : Christine Jutras - Chargée de Programme de Cyber Assurance chez Niche Assurance inc.
12:00 à 13:00	Lunch réseautage

Vos conférenciers

Jean-François De Rico – Avocat, Associé chez Langlois

Me Jean-François De Rico exerce sa pratique en droit des technologies de l’information et de la propriété intellectuelle, en protection des renseignements personnels, en litige commercial ainsi qu’en faillite et insolvabilité. Me De Rico agit régulièrement à titre de conférencier sur différents sujets liés au cadre juridique des technologies de l’information, à la protection des renseignements personnels et à la cybersécurité.

Mélanie Gagnon – CEO & fondatrice chez MGSI

Mélanie Gagnon cumule plus de 15 années d’expérience dans la sécurité de l’information et de la protection des données. Grâce à son expérience et expertise multidisciplinaire, elle met en œuvre une approche globale et transversale de la protection des données qui tient compte à la fois des objectifs stratégiques et du profil de risque de l’entreprise.

Jean-Philippe Racine – Président chez Groupe Cyberswat et spécialiste en cybersécurité

Grâce à ses 17 années d’expérience dans le secteur des TI et à ses nombreuses certifications et formations, M. Racine possède plus d’une décennie d’expérience dédiée à la cybersécurité. Ayant commencé sa carrière du côté technique de la sécurité informatique, il a rapidement évolué dans les volets tactiques et stratégiques de la sécurité de l’information.

Marc-André Laflamme – Courtier en assurances de dommage des entreprises chez EgR Inc.

Marc-André Laflamme oeuvre particulièrement auprès de clients ayant des besoins spécialisés en matière de gestion des risques et d’assurance. Il a débuté sa carrière en tant qu’avocat en droit commercial avant de faire le saut en 2010 à titre de courtier en assurance de dommages des entreprises. Il accompagne plusieurs clients provenant d’industries différentes dans la mise en place de leur programme d’assurances spécialisées, dont fait partie l’assurance cyberrisques.

Christine Jutras – Chargée de Programme de Cyber Assurance chez Niche Assurance inc.

Christine Jutras se spécialise en assurance cyberrisques et est à l’emploi de Niche Assurance inc. depuis maintenant 6 ans (ultérieurement connue sous le nom de Dubé, Cooke, Pedicelli Créneau Inc.). Ayant obtenu son permis de courtier d’assurance en suivant l’AEC en Assurance de dommages à Saint-Jérôme elle a travaillé pendant 5 ans en tant que courtier commercial avant de se consacrer pleinement à l’assurance cyberrisques.

En collaboration avec

Fier de notre participation au SeQcure 2019!

25 mars 202225 avril 2019 par Jean-Philippe Racine

On vous avait annoncé le 21 mars notre participation à l’événement SeQCure grâce à une entrevue avec Nicolas‑Loïc Fortin, le Chef d’Orchestre de l’événement. On se réjouissait, à tort, de l’arrivée du printemps (on essaie encore de se remette de la tempête du 8 avril) mais plus qu’à raison de l’événement !

C’est donc le 8 avril dernier que nous avons eu le privilège d’être partenaire de l’événement SeQCure organisé dans le cadre de la semaine du numérique à Québec. C’est au terminal du port de Québec que nous avons eu la chance de vous rencontrer en grand nombre et de partager avec vous notre passion de la cybersécurité !

Le SeQCure c’est quoi ? C’est un événement qui rassemble les professionnels en sécurité informatique en offrant des conférences sur le domaine et en leur donnant l’opportunité de se rencontrer. Mais c’est aussi l’opportunité de faire découvrir les enjeux de la sécurité informatique à un plus grand public, pas la peine d’être un expert pour profiter de cet événement ! Nous avons d’ailleurs été enchantés de pouvoir discuter avec des personnes de tout horizon et d’avoir pu vous sensibiliser à ces nouveaux enjeux.

Cybersécurité et complémentarité

Cette année, l’événement a eu lieu en parallèle de 3 autres événements : Réalité Augmentée Québec (RAQ), Intelligence Artificielle (IA) et Insurtech. Ils ont tous eu lieu au même endroit et les participants de chaque événement pouvaient assister à toutes les conférences et se rencontrer. Les 3 sujets sont finalement complémentaires et ça a engendré de beaux débats et un 5 à 7 des plus animés !

Vous avez manqué l’événement ? Pas de panique, l’édition 2020 est confirmée ! On sera présent et nous espérons vous y rencontrer.

En attendant, on vous laisse revivre l’événement : quelques conférenciers nous ont gâtés en nous donnant accès à leurs présentations : cliquez simplement ici pour les (re) découvrir !

On termine avec une autre image de l’événement:

Les PME québécoises encore trop vulnérables face aux rançongiciels

13 avril 202223 avril 2019 par Jean-Philippe Racine

Les rançongiciels affectent de plus en plus les entreprises. Encore récemment, une nouvelle PME québécoise a fait les manchettes suite à une attaque par ce type de virus. Dans le cas de l’entreprise Laurin Inc., située à Laval, les conséquences sont sans équivoque : à la suite de l’infection, instantanément, tout est devenu inaccessible; les courriels, la comptabilité, la facturation, la liste de clients ainsi que le carnet de commandes. Dans notre article d’aujourd’hui, nous allons non seulement démystifier comment les entreprises se font infecter, mais surtout, nous allons aborder les moyens de s’en prémunir !

Pour en discuter avec nous aujourd’hui, nous nous entretenons avec Martin Soro, conseiller en sécurité opérationnelle chez CyberSwat et professionnel des TI avec plus de 9 années d’expérience en réseautique et en sécurité. Martin est également titulaire d’une maîtrise en ingénierie de l’Université du Québec à Rimouski et possède plusieurs certifications telles que le SSCP de (ISC)², CCNP routing and switching et le CCNA cybersecurity Operations.

Tout d’abord Martin, qu’est-ce qu’un ransomware?

Le ransomware ou encore rançongiciel est un logiciel malveillant qui après avoir infecté un ordinateur, un serveur, un téléphone, etc., crypte certains fichiers ou même le disque dur complet du dispositif. Il présente ensuite un message exigeant un paiement afin de recouvrir ces données. La demande de rançon est écrite par l’auteur du logiciel malveillant qui parfois menace de détruire définitivement ces informations (ou encore de les divulguer au public), si le paiement n’est pas effectué dans des délais impartis.

Qui peut être ciblé par un ransomware?

La ransomware n’a aucune frontière. Toutes les entreprises, de petites comme de grandes tailles peuvent être la cible d’une attaque de type ransomware. Les motivations du malfaiteur sont principalement d’ordre financier. Les cibles les plus fréquentes de nos jours sont :

Les PME
Les Multinationales
Les institutions publiques
Les hôpitaux
Le secteur bancaire
Les établissements scolaires
Les particuliers

Aucune industrie n’est immunisée contre cette attaque. Au cours des dernières années, plusieurs entreprises canadiennes ont été victimes de cyberattaque ransomware. Nous pouvons citer en exemple :

L’hôpital d’Ottawa : Elle a été victime d’un ransomware qui a bloqué toutes ses données les rendant ainsi inaccessibles. L’hôpital a été forcé de payer une rançon de 17 000 $ US en bitcoins afin de récupérer ces informations.
Le centre de la petite enfance du centre hospitalier de l’Université Laval : Elle a également été victime d’une attaque de type ransomware et les cybercriminels demandaient une rançon de 2500 $.
La Commission scolaire des Appalaches : Toute l’infrastructure a été paralysée par un ransomware. Les autorités scolaires ont refusé de payer la rançon. Cependant, cette attaque a finalement coûté 270 000 $ à la commission pour la reconstruction de son réseau. Ceci inclut l’achat de nouveaux équipements et la paye des heures supplémentaires des informaticiens.
Le fabricant de meubles Artopex : La production de quatre des cinq usines a été affectée durant une période d’environ 48 heures, par une cyberattaque de type ransomware qui a pris ses données en otage. Cependant, l’entreprise a réussi à répartir ses activités grâce à son plan de contingence.

Comment est-ce que cela arrive?

De nos jours, il existe plusieurs vecteurs d’attaque de type ransomware utilisés par les cybercriminels pour atteindre leurs objectifs. En voici quelques-unes.

Par courriel – lorsqu’un usager clique sur un lien contenant une pièce jointe malicieuse. La plupart du temps, un faux prétexte est élaboré afin d’inciter le destinataire du courriel à cliquer sur la pièce jointe (ex. une supposée facture).

Par site web – lorsque l’usager visite un site web compromis ou clique sur un lien dans une page web. Prendre note qu’un usager peut être infecté simplement en visitant un site web malicieux même s’il ne clique sur aucun lien. Cette technique s’appelle un drive-by download. Comment cela fonctionne ? En visitant le site web compromis, un code malicieux est automatiquement et discrètement téléchargé sur la machine de l’utilisateur à son insu. Le code malicieux va alors rechercher une vulnérabilité sur l’ordinateur de la victime. Une fois la vulnérabilité identifiée, il va établir une connexion vers le centre de commande du cybercriminel pour télécharger le code malicieux permettant de l’exploiter. Dans le cas d’une attaque ransomware, s’il réussit à exploiter la vulnérabilité, alors il va télécharger la clé de chiffrement pour crypter les données et afficher par la suite le message exigeant une rançon.

Par l’ingénierie sociale – le cybercriminel peut usurper le soutien informatique de l’entreprise et demander à un usager de se connecter à distance pour faire une mise à jour. En réalité, le malfaiteur pourrait, au moment de l’intervention à distance soit désactiver l’antivirus ou même dissimuler et exécuté un code malveillant.

Par attaque RDP (Remote Desktop Protocol) – C’est une forme d’attaque ransomware qui gagne en popularité. RDP est une fonctionnalité Windows utilisée couramment en entreprise pour se connecter à distance sur les postes de travail. Le problème réside dans le fait que les administrateurs informatiques ouvrent parfois les ports RDP des serveurs ou postes de travail directement sur Internet. Ainsi, si les cybercriminels découvrent le système et le port RDP lors d’un balayage, alors ils vont utiliser les techniques de brute force pour trouver le mot de passe de l’équipement informatique. En général, ils réussissent avec les machines ayant des mots de passe faibles. Ils utilisent ensuite ces machines comme point d’appui pour détecter les identifiants de l’administrateur du domaine avec les outils comme mimikatz puis ils lancent le chiffrement des données. Quelques exemples de ransomware utilisant cette méthode sont : BitPaymer, SamSam, Ryuk, Dharma et GandCrab. L’une des particularités de BitPaymer et Ryuk est qu’ils prennent le temps de s’assurer que toutes les sauvegardes sont détruites avant de lancer l’attaque.

Quels sont les impacts potentiels des attaques ?

Une attaque de type ransomware peut causer une perte totale de données sensibles et confidentielles d’une organisation. Cela résulte à un dysfonctionnement des opérations, perte de disponibilité des systèmes informatiques, perte de temps de la part des employés. Il y aura également des pertes financières importantes, une dégradation de l’image de marque et de confiance vis-à-vis des clients et des partenaires. Il peut également y avoir du vol d’identité et des poursuites potentielles dans l’éventualité où de l’information serait divulguée publiquement par les pirates. L’histoire des ransomwares démontre à quel point les compagnies sont vulnérables face à ces cyberattaques.

Peut-on se protéger contre cette attaque ?

S’il est vrai qu’on ne peut aucunement être immunisé à 100 % contre le ransomware, force est de constater qu’il existe plusieurs méthodes de contrôle de sécurité permettant de mitiger les risques et minimiser les impacts.

Nous pouvons, entre autres, citer les antivirus modernes, les pare-feu nouvelle génération, les technologies de sauvegarde de données, les mises à jour régulières des systèmes d’exploitation et applications tierces. Par ailleurs, les bonnes pratiques en matière de sécurité de l’information constituent le vecteur principal pour se protéger contre une cyberattaque en général et contre le ransomware en particulier.

Nous pouvons prendre en exemple le principe de moindre privilège. Il est très important de limiter les droits d’accès des usagers aux systèmes informatiques et aux données. Il est impératif d’éviter d’accorder des droits administrateurs à un usager pour ses opérations courantes. En effet, lorsqu’un ordinateur est infecté par un code malicieux, celui-ci utilise les données d’identification de l’utilisateur piraté. Si le compte de l’usager ne possède pas de hauts privilèges alors l’exécution du code est limitée et les conséquences moins graves. C’est pourquoi même les administrateurs de systèmes informatiques devraient utiliser un compte utilisateur standard pour leurs opérations courantes et utiliser les comptes administrateurs uniquement pour les tâches qui requièrent de hauts privilèges. De plus, les comptes administrateurs devraient être supervisés et audités régulièrement afin de détecter toute activité suspicieuse.

Par ailleurs, la sauvegarde de données est d’une importance capitale pour la protection contre les attaques ransomware. En effet, si vous êtes victime d’une attaque et que les données de production ont été chiffrées par le cybercriminel, alors l’une des alternatives est de restaurer les données sauvegardées et nettoyer l’ensemble du système. Cependant, il faut s’assurer d’adopter une bonne stratégie de sauvegarde sinon celle-ci ne donnera pas les résultats escomptés. L’une des stratégies de sauvegarde très recommandée est la règle du 3-2-1. Selon cette règle, 3 copies des données doivent être enregistrées sur 2 supports différents et 1 copie doit se trouver hors site. Il faut également prendre soin de mettre en place des mécanismes qui feront en sorte que le rançongiciel ne sera pas en mesure de chiffrer les sauvegardes au même moment que toutes les autres données.

Outre les outils technologiques, il faut également considérer la mise en place de programmes récurrents de gestion de vulnérabilités, de test d’intrusions, de campagne d’hameçonnages comme recommandé dans les cadres de références en Cybersécurité tels que le NIST. Il est aussi fortement recommandé d’évaluer la maturité des contrôles de sécurité afin de s’assurer de leur efficacité de protection. En d’autres termes, il faut aussi surveiller les contrôles de sécurité. Tous ces processus ont pour but de réduire la surface d’attaque des systèmes et améliorer le niveau de risque de vos environnements.

Au-delà des techniques susmentionnées, il est primordial de prendre en considération le capital humain, car c’est souvent le maillon faible de la sécurité des organisations. En effet, aucun contrôle technique ne peut empêcher un usager de cliquer sur un lien reçu par courriel qui pourrait le connecter à un centre de contrôle de commandement d’un cybercriminel. L’une des solutions, c’est la sensibilisation et la formation. Il faut sensibiliser les usagers sur les risques de sécurité au moyen d’ateliers, d’affiches, de babillards ou même des articles de blogues. Ils devraient également être sensibilisés contre l’ingénierie sociale qui est l’un des principaux vecteurs d’attaque aujourd’hui pour mener une cyberattaque. La compétition de l’ingénierie sociale organisée au Hackfest 2018 a permis de mettre en évidence la vulnérabilité de plusieurs compagnies canadiennes (même les plus grosses) face à ce vecteur d’attaque.

Par ailleurs, une bonne politique de sécurité devrait être élaborée, approuvée par les cadres de la compagnie et strictement appliquée par tout usager du système d’information de l’organisation. L’adhésion à la politique de sécurité corporative devrait être la condition sine qua non avant tout accès au système d’information par l’usager.

Que faire quand on est victime d’un ransomware malgré tout ?

Quatre options sont envisageables lorsqu’on est victime d’une attaque de type ransomware.

Si vous aviez effectué des sauvegardes régulières, alors il faut restaurer les données. Attention, prendre note que cette méthode n’est pas nécessairement efficace à 100 %. En effet, les virus peuvent s’infiltrer dans la sauvegarde. Alors, si vous restaurez la sauvegarde, vous vous réinfectez alors et vous vous mettez dans une boucle infinie. Des spécialistes dans le domaine peuvent vous aider afin de faire les vérifications qui s’imposent au moment de la restauration.
Si les sauvegardes n’ont pas été faites, alors vous pouvez regarder la possibilité de payer la rançon. Cependant, il faut prendre en considération que payer la rançon ne garantit aucunement la restauration de vos fichiers. De plus, il est fort probable que le cybercriminel récidive parce que vous devenez lucratif.
Choisir de tout perdre et restaurer son système à son état initial afin de reprendre ses activités. Bien sûr, ce n’est pas du tout la solution à préconiser d’emblée. En revanche, cette situation s’est déjà produite chez certains clients qui nous ont contactés que trop tard.
Recourir à son assurance cyberrisques. Les assurances en cyberrisques peuvent amener une aide financière pour remettre les systèmes dans leur état initial ou encore de payer la rançon. Il faut alors informer l’assureur le plus tôt possible dans le processus afin de prendre la bonne décision. L’assurance peut également couvrir d’autres éléments tels que les frais juridiques, les frais de gestion d’incident par une firme de spécialistes comme Cyberswat. Néanmoins, ce n’est pas parce que l’on a pris une assurance en cyberrisque que l’on n’a pas besoin de prévenir le pire ! C’est comme pour l’assurance feu et vol ; nous devrons tout de même mettre en place un système d’alarme et des gicleurs dans notre entreprise.

Toutes ces options démontrent à quel point il est important de miser sur la prévention plutôt que sur la correction.

Martin, que pourrais-tu nous dire en guise de conclusion ?

Sun Tzu dans L’Art de la Guerre disait :
« Si vous connaissez vos ennemis et que vous vous connaissez vous-même, mille batailles ne pourront venir à bout de vous. Si vous ne connaissez pas vos ennemis, mais que vous vous connaissez vous-même, vous en perdrez une sur deux. Si vous ne connaissez ni votre ennemi ni vous-même, chacune sera un grand danger. »

Bien que cette citation fasse référence à des stratégies militaires, elle est aussi vraie et adaptée au monde de la cybersécurité contemporaine. Cela signifie qu’il est plus qu’indispensable de bien connaître ses adversaires (les cybercriminels) afin de gagner la bataille contre le cybercrime. Cela passe nécessairement par l’étude et la connaissance de leurs TTP (Techniques, Tactiques et Procédures).

Vous voulez bien connaître votre ennemi ? Chez Cyberswat, nous pouvons vous accompagner dans cette modélisation des menaces et la mise en place de stratégie de cyberdéfense.