Le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) s’est joint à la Cybersecurity and Infrastructure Security Agency (CISA), à la National Security Agency (NSA) et aux partenaires internationaux suivants pour publier des conseils axés sur les mesures de cybersécurité nécessaires pour protéger les infrastructures essentielles contre les cyberactivités parrainées par la République populaire de Chine (RPC) :
- le Federal Bureau of Investigation (FBI);
- l’Australian Cyber Security Centre (ACSC);
- le National Cyber Security Centre de la Nouvelle-Zélande (NCSC-NZ);
- le National Cyber Security Centre du Royaume-Uni (NCSC-UK).
Cette fiche de renseignement vise à fournir aux cadres supérieures et supérieurs et aux dirigeantes et dirigeants d’entreprises du secteur des infrastructures essentielles des conseils sur la façon de prioriser la protection de leur infrastructure et de leurs fonctions essentielles. Les organismes ayant rédigé la présente exhortent les dirigeantes et dirigeants d’entreprises du secteur des infrastructures essentielles à considérer les risques liés à la cybersécurité comme étant des risques organisationnels fondamentaux. La gestion de ces risques vise à assurer une bonne gouvernance et est fondamentale à la sécurité nationale.
Les dirigeantes et dirigeants devraient prendre les mesures nécessaires pour reconnaître et gérer les risques liés aux cyberactivités de la RPC, comme Volt Typhoon.
- Prenez des décisions éclairées et proactives en matière d’affectation des ressources afin que vos équipes de cybersécurité puissent faire ce qui suit :
- adopter des pratiques exemplaires en matière de détection et de renforcement de la sécurité;
- appliquer les conseils formulés dans les bulletins conjoints;
- recevoir une formation en cybersécurité propre à l’environnement de menace;
- mettre à jour et tester votre plan de sécurité de l’information;
- Sécurisez la chaîne d’approvisionnement :
- mettez en place des processus rigoureux pour la gestion des risques liés aux fournisseurs;
- veillez à ce que le principe de diligence raisonnable soit appliqué au moment de sélectionner des logiciels, des dispositifs, des fournisseurs de services infonuagiques et des fournisseurs de services gérés;
- faites valoir aux fournisseurs l’importance de livrer des systèmes sécurisés et résilients;
- Favorisez une culture axée sur la cybersécurité :
- assurez-vous que les résultats de la gestion du rendement permettent d’atteindre les objectifs de l’organisation en matière de cybersécurité;
- faites connaître les tactiques associées au piratage psychologique;
- signalez toujours les incidents lorsqu’ils se produisent.
Ces conseils comprennent également les étapes à suivre pour assurer une intervention en cas d’incident et aider les dirigeantes et dirigeants des entreprises qui ont été touchées par un incident confirmé ou présumé.
Cette fiche de renseignement fait suite au bulletin de cybersécurité conjoint sur les auteures et auteurs de cybermenace parrainés par la RPC publié le 7 février 2024.
Prière de consulter les conseils formulés dans la publication conjointe PRC State-Sponsored Cyber Activity: Actions for Critical Infrastructure Leaders (en anglais seulement).