Capteurs au niveau de l’hôte

Une partie du mandat du Centre pour la cybersécurité est de protéger les systèmes informatiques et les réseaux du gouvernement du Canada contre les cyberattaques.

On mentionne souvent notre approche par couche multiple dans cette tâche, mais qu’est-ce que ça veut dire exactement?

C’est simple, la couche la plus à l’extérieur détecte les menaces au niveau du réseau.

Et il y a une couche complémentaire à l’intérieur qui détecte les menaces aux points de terminaison, c’est-à-dire les serveurs, les portables et les ordinateurs de bureau du gouvernement du Canada.

C’est notre technologie maison : les capteurs au niveau de l’hôte ou HBS pour Host-Based Sensors en anglais.

La petite histoire

  • Les HBS sont une innovation qui vient entièrement du Centre canadien pour la cybersécurité.
  • Notre équipe l’a créée pour protéger les systèmes du gouvernement du Canada.
  • Cette innovation détecte et neutralise automatiquement l’activité malveillante, par exemple un maliciel qui tente un téléchargement.
  • Les HBS sont conçus pour respecter la vie privée.*
  • La première version des HBS est sortie en 2012 au CST.
  • Des HBS sont maintenant installés sur plus d’un demi-million d’ordinateurs du gouvernement du Canada dans plus de 50 ministères.
  • Nos homologues du Royaume-Uni au National Cyber Security Centre ont tellement aimé les HBS qu’ils les ont adoptés sur les réseaux de leur gouvernement.

*Le contenu des courriels ou des documents n’est pas visible pour les HBS. Ces derniers ne se concentrent qu’à arrêter les logiciels malveillants et l’analyse des courriels est effectuée de manière automatique dans d’autres systèmes.

Le roman 

Tout a commencé il y a environ une dizaine d’années, en novembre 2010 pour être précis.

Six personnes ont formé une nouvelle unité au sein de l’équipe des services TI au CST.

Ils travaillaient sur de vieux ordinateurs construits avec des pièces de rechange, un concentrateur Ethernet récupéré dans le fond d’un entrepôt et des câbles qu’ils avaient sertis eux-mêmes. Une partie de leur espace de travail était un ancien débarras.

Malgré son environnement des moins chics, cette équipe avait une mission de la plus haute importance.

En raison d’un cyberenvironnement de plus en plus hostile, on ne pouvait plus se fier aux antivirus traditionnels. On devait créer une défense plus efficace et non pas seulement dans le périmètre réseau, mais au niveau des dispositifs eux-mêmes. On avait besoin d’une capacité de détection, mais aussi de neutralisation, automatique, de l’activité malveillante.

Par-dessus tout, cette capacité devait avoir des contrôles stricts de la confidentialité entièrement intégrés dans sa conception.

Cette capacité devait s’ajouter aux autres produits de sécurité de manière complémentaire. Elle devait fonctionner parfaitement sur plusieurs centaines de logiciels différents et sur tous les différents systèmes d’exploitation, en plus d’être facile d’utilisation.

En 2010, aucun produit commercial n’offrait tout ce dont on avait besoin. Le CST a donc eu recours à l’ingéniosité de ses employés, qui l’on construit eux-mêmes.

En octobre 2020, cette solution était carrément une réussite; le déploiement de HBS avait été effectué sur plus d’un demi-million de points de terminaison du gouvernement du Canada.

Chaque capteur collecte les données des systèmes de façon sécuritaire tout en respectant la vie privée de ceux qui utilisent le service. Les données sont envoyées à nos experts à des fins d’analyse. Les capteurs relèvent l’activité malveillante, par exemple un maliciel qui tente un téléchargement, et documentent la recette pour protéger les autres dispositifs d’infection possible dans le futur.

En somme, chaque dispositif sur lequel tourne un HBS devient une sentinelle pour les autres dispositifs.

Collectivement, les capteurs traitent plus de 200 000 événements sur l’hôte par seconde.

Les HBS transfèrent plus de 30 000 fichiers de programme et de systèmes par jour à Chaîne de montage (ou Assemblyline en anglais, notre outil d’analyse et de détection de maliciels) à des fins de triage et de traitement.

Il faut clairement comprendre que les HBS ne lisent d’aucune manière le contenu des courriels et des documents des systèmes du gouvernement du Canada.

L’analyse est automatisée et des contrôles stricts de la vie privée sont intégrés dès le départ.

En fin de compte, ce qui prenait des mois à trouver et à régler s’effectue maintenant en quelques heures.

Le prochain chapitre

On recherche des façons d’exploiter les données qu’on obtient grâce au HBS pour renforcer les options de cybersécurité de tous les Canadiens. Par exemple, les données obtenues par les HBS composent les indicateurs de compromission qu’on fournit à l’Autorité canadienne pour les enregistrements Internet qui s’en sert pour le Bouclier canadien.

Le Bouclier canadien est un service public de pare-feu pour les DNS qui est offert gratuitement à tous les Canadiens afin que ces derniers puissent fureter en toute sécurité. Fondamentalement, tous les serveurs sont basés au Canada et sont assujettis aux lois canadiennes sur la protection de la vie privée.

Le prochain chapitre portera sur la création d’une version de HBS qui seront déployés chez des partenaires externes, comme les fournisseurs d’infrastructures essentielles, d’autres niveaux de gouvernement et des partenaires clés du secteur privé.

Selon la réception des HBS par les dirigeants des ministères responsables de la sécurité des TI au sein du gouvernement du Canada, on anticipe que la réponse sera unanimement : « Oui, svp! ».

 

Dernière mise à jour: