Sélection de la langue

Alerte - Cyberactivité malveillante ciblant les fournisseurs de services gérés

Numéro : AL17-004
Date : Le 04 Avril 2017

Objet

Cette alerte vise à attirer l’attention sur une cyberactivité malveillante en cours qui cible des fournisseurs de services gérés (FSG).

Évaluation

Le CCRIC est conscient de l’existence d’une cyberactivité malveillante qui cible des FSG à l’échelle internationale. Étant donné le degré de sophistication associé à cette activité, les organisations doivent faire preuve d’un niveau accru de sensibilisation en vue de détecter les compromissions potentielles. Divers organismes dépendent sur les FSG en vue d’offrir une vaste gamme de services de soutien d’infrastructure à leurs clients, comme des services consultatifs spécialisés ou des solutions matérielles et d’hébergement dématérialisés.

L’atténuation des risques associés à l’emploi de fournisseurs de services constitue une responsabilité partagée entre l’organisme (appelé « locataire ») et le FSG ou le FSC. Toutefois, le premier est ultimement responsable de protéger ses systèmes et d’assurer la confidentialité, l’intégrité ainsi que la disponibilité de ses données. On recommande aux organismes qui externalisent leur infrastructure de TI d’entretenir des discussions ouvertes avec leur fournisseur et de comprendre le modèle que celui-ci emploie afin de gérer les services des clients.

Les auteurs de cette cyberactivité utilisent les FSG comme canal d’accès en vue de tenter d’obtenir des renseignements de nature délicate des clients. Ces opérations sont facilitées par la liaison intrinsèquement étroite entre les réseaux des FSG et ceux des clients. Ces fournisseurs constituent donc des proies de choix aux yeux des acteurs malveillants, car la compromission de leur réseau peut offrir l’accès à de multiples réseaux de clients. Au final, ces derniers, qui peuvent être membres du secteur public ou privé, sont probablement la cible des tentatives de compromission.

Compte tenu du degré apparent de sophistication de la cyberactivité et de l’étendue potentielle de la compromission, il se peut que les acteurs malveillants aient accès à des entreprises de par le monde qui font partie de divers secteurs à infrastructure essentielle. Il n’existe aucun élément de preuve laissant penser que le grand public ni que des PME soient ciblés. De plus, le CCRIC collabore actuellement avec des partenaires à l’étranger et du secteur privé en vue de déterminer l’envergure de cette activité ainsi que son incidence sur les organismes canadiens. Le signalement de toute activité suspecte au CCRIC aiderait grandement celui-ci à en cerner la nature et la portée.

Mesures Recommandées

Le CCRIC recommande aux organismes de consulter les renseignements d’atténuation suivants et de les mettre en œuvre en fonction de leur environnement réseau.

  • Envisager de mettre en place une politique sur l’utilisation de mots de passe robustes.
  • Tenir à jour votre système d’exploitation et vos logiciels en appliquant les correctifs les plus récents.
  • Envisager de n’accorder les privilèges administratifs et autres qu’aux comptes qui en ont besoin à des fins opérationnelles.
  • Surveiller régulièrement les résultats d’analyse antivirus et d’autres journaux réseau en vue d’y relever toute activité suspecte.
  • Faire appel à un plan de sauvegarde et de récupération de données pour l’intégralité des renseignements essentiels.
  • Si vous faites appel à un FSG, tenir compte de facteurs comme la propriété des données, l’emplacement où celles-ci sont stockées, la méthode de sauvegarde ainsi que les mesures de sécurité en place. Une solution de FSG doit répondre aux exigences législatives ainsi qu’en matière de sécurité et de protection des renseignements personnels de l’organisme.
  • On encourage les organismes qui font appel à des fournisseurs de services gérés de communiquer avec ceux-ci afin de s’entretenir au sujet des risques.
  • Si vous souhaitez obtenir des renseignements additionnels sur l’atténuation et des pratiques exemplaires en matière de gestion des relations avec les FSG, reportez-vous à la note d’information du CCRIC IN17-003 – Pratiques exemplaires en matière de sécurité cybernétique : passation de marchés avec des fournisseurs de services gérés.

Références :

Note d’information du CCRIC IN17-003 – Pratiques exemplaires en matière de sécurité cybernétique : passation de marchés avec des fournisseurs de services gérés
https://www.securitepublique.gc.ca/cnt/rsrcs/cybr-ctr/in/in17-003-fr.aspx

Partenaires à l’étranger
https://acsc.gov.au/global-targeting-enterprises-managed-service-providers.html

https://www.ncsc.gov.uk/news/advice-managing-enterprise-security-published-after-major-cyber-campaign-detected

Guide Pensez cybersécurité pour les petites et moyennes entreprises :
https://www.pensezcybersecurite.gc.ca/cnt/rsrcs/pblctns/smll-bsnss-gd/index-fr.aspx

Utiliser les mots de passe
https://www.pensezcybersecurite.gc.ca/cnt/prtct-yrslf/prtctn-dntty/usng-psswrds-fr.aspx

Date de modification :