Sélection de la langue

Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels

La Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels décrit 36 OEPC pour appuyer les propriétaires et exploitants d’infrastructures essentielles (IE) du Canada œuvrant dans n’importe quel secteur afin qu’ils priorisent des investissements en cybersécurité et renforcent leur posture de cybersécurité.

La liste ci-dessous présente les objectifs avec :

  • le résultat escompté,
  • les risques que l’objectif permet d’atténuer, tels que les tactiques, techniques et procédures (TTP) du cadre MITRE ATT&CK (en anglais seulement)
  • les mesures recommandées,
  • les références pertinentes, comme celles en lien aux sous-catégories du cadre Cybersecurity Framework 2.0 du National Institute of Standards et les conseils connexes du Centre pour la cybersécurité.

Gouvernance (0)

Leadership en matière de respect de la vie privée (0.0)

Résultat

Une ou un leader, ou une équipe, est responsable et imputable de la gestion des risques d’atteinte à la vie privée qui touchent à la cybersécurité.

TTP ou risques gérés

  • Responsabilisation, investissement ou efficacité insuffisants.

Mesure recommandée

Déterminer un rôle ou un titre précis qui sera responsable et imputable du programme de gestion des risques d’atteinte à la vie privée de l’organisation. La personne ou l’équipe responsable établit les politiques et procédures nécessaires afin que l’organisation :

  1. tienne compte de l’ensemble complet des obligations en matière de respect de la vie privée et des risques d’atteinte à la vie privée en matière de cybersécurité, y compris les lois applicables sur la protection de la vie privée;
  2. applique cette analyse pour appuyer les décisions opérationnelles. Le programme de gestion des risques d’atteinte à la vie privée pourrait comprendre le maintien d’un répertoire des renseignements personnels ainsi que des politiques visant à limiter la collecte et la conservation des renseignements personnels.

Le programme de gestion des risques d’atteinte à la vie privée pourrait comprendre le maintien d’un répertoire des renseignements personnels ainsi que des politiques visant à limiter la collecte et la conservation des renseignements personnels.

Références

Processus et politiques de signalement des incidents liés à la chaîne d’approvisionnement (0.1)

Résultat

Les organisations sont informées plus rapidement des incidents et des atteintes touchant les autres fournisseurs et prestataires de services, et peuvent y intervenir plus rapidement.

TTP ou risques gérés

  • Compromission de la chaîne d’approvisionnement (T1195, ICS T0862)

Mesure recommandée

Veiller à ce que le programme de gestion des risques liés à la chaîne d’approvisionnement en cybersécurité de l’organisation stipule que les fournisseurs et/ou les prestataires de services doivent aviser les clientes et clients d’incidents de sécurité. La notification doit être réalisée dans un délai proportionnel aux risques, établi par l’organisation, et doit être documentée dans les documents et contrats d’approvisionnement, tels que les accords sur les niveaux de service (ANS).

Références

Exigences en matière de cybersécurité des fournisseurs (0.2)

Résultat

Réduit les risques en se procurant des produits et des services plus sécurisés, de fournisseurs plus sécurisés.

TTP ou risques gérés

  • Compromission de la chaîne d’approvisionnement (T1195, ICS T0862)

Mesure recommandée

Inclure les exigences et les questions en matière de cybersécurité dans les documents d’approvisionnement des organisations, et veiller à ce que les réponses soient évaluées dans la sélection des fournisseurs de manière à privilégier, entre deux options à prix et fonctions similaires, l’option et/ou le fournisseur offrant une meilleure sécurité ou, dans la mesure du possible, à privilégier l’option la plus sécurisée même si elle est plus coûteuse.

Références

Leadership en matière de cybersécurité organisationnel et des technologies opérationnelles (0.3)

Résultat

Une ou un leader est responsable et imputable de la cybersécurité au sein d’une organisation. Le cas échéant, une ou un leader est responsable et imputable de la cybersécurité liée aux TO dans une organisation détenant des biens de TO . Dans certaines organisations, une personne peut être responsable des deux leaderships.

TTP ou risques gérés

  • Responsabilisation, investissement ou efficacité insuffisants dans les programmes de cybersécurité ou de cybersécurité des TO .

Mesure recommandée

Déterminer un rôle ou un titre précis qui sera responsable et imputable de la planification, des ressources et de l’exécution des activités de cybersécurité. Ce rôle peut entreprendre des activités, telles que gérer les opérations de cybersécurité au niveau de la haute direction, demander et obtenir les ressources budgétaires ou diriger la stratégie pour informer le positionnement futur. Déterminer également un rôle ou un titre précis qui est responsable des ressources et de l’exécution des activités de cybersécurité s’appliquant aux TO . Dans certaines organisations, les rôles associés au leadership en matière de cybersécurité et au leadership en matière de TO peuvent être assumés par la même personne.

Références

Amélioration des partenariats en matière de cybersécurité des TI et TO (0.4)

Résultat

Améliorer la cybersécurité des TO et intervenir plus rapidement et efficacement aux cyberincidents liés aux TO .

TTP ou risques gérés

  • De mauvaises relations de travail et un manque de compréhension mutuelle entre le personnel chargé de la cybersécurité des TI et des TO peuvent souvent augmenter le risque pour la cybersécurité des TO .

Mesure recommandée

Au moins une fois par année, parrainer une activité d’établissement de relations axée sur le renforcement des relations de travail entre le personnel de la sécurité des TI et des TO et qui ne constitue pas un événement de travail (comme fournir des repas pendant une intervention à un incident). Cette activité peut donner l’occasion au personnel dans le domaine des TI et des TO de favoriser la communication, de permettre une compréhension commune de l’exposition aux menaces qui évolue, d’établir des priorités communes et de créer un plan de sécurité pour protéger les TO et les TI connexes.

Références

Identification (1)

Répertoire des biens et topologie de réseau (1.0)

Résultat

Permet de mieux identifier les biens connus, inconnus et non gérés, y compris les biens connectés au Web pour le nuage et les biens de données. L’organisation peut ensuite détecter plus rapidement les nouvelles vulnérabilités, les corriger et assurer la continuité des services.

TTP ou risques gérés

  • Ajouts de matériel (T1200)
  • Applications exposées au public exploitables (T1190, ICS T0819)
  • Dispositif accessible par Internet (ICS T0883)

Mesure recommandée

Tenir un répertoire de tous les biens dans les réseaux de TI (y compris IPv6) et de TO de l’organisation (le cas échéant) et le mettre à jour régulièrement. Inclure dans le répertoire des documents fiables sur la topologie de réseau et sur les biens de données identifiés, plus particulièrement l’information sensible ou classifiée. Mettre à jour le répertoire régulièrement pour les TI et les TO , et ajouter immédiatement au répertoire tout nouveau bien qui est intégré à l’infrastructure de l’organisation.

Références

Atténuation des vulnérabilités connues (1.1)

Résultat

Réduit la probabilité que des auteures et auteurs de menace exploitent les vulnérabilités connues pour s’introduire dans les réseaux de l’organisation.

TTP ou risques gérés

  • Analyse active – Analyse des vulnérabilités (T1595.002)
  • Applications exposées au public exploitables (T1190, ICS T0819)
  • Exploitation de services distants (T1210, ICS T0866)
  • Compromission de la chaîne d’approvisionnement (T1195, ICS T0862)
  • Services externes distants (T1133, ICS T0822)

Mesure recommandée

Dans un délai proportionnel aux risques, corriger toutes les vulnérabilités exploitées connues (qui figurent dans le catalogue Known exploited vulnerabilities catalog (en anglais seulement) de la CISA ) dans les systèmes connectés à Internet, en priorisant les biens essentiels. Identifier les vulnérabilités de sécurité dans vos systèmes en réalisant des tests de pénétration et en utilisant des outils automatisés d’analyse des vulnérabilités. Ces activités font partie d’une stratégie complète de gestion des vulnérabilités.

Note concernant les TO : Pour les biens auxquels il est impossible d’appliquer les correctifs nécessaires ou dont l’application de correctifs risquerait de compromettre considérablement la disponibilité ou la sécurité, appliquer des contrôles compensatoires (comme la segmentation ou la surveillance) et les consigner. Les contrôles adéquats rendent le bien inaccessible par Internet ou réduisent la capacité des auteures et auteurs de menace d’exploiter les vulnérabilités de ces biens.

Sélectionner minutieusement des outils automatisés de détection des vulnérabilités aux fins d’analyse rigoureuse des systèmes. Ces outils peuvent provoquer un comportement erratique des dispositifs, entraîner l’arrêt, une panne ou un redémarrage de ceux-ci, ou nécessiter une intervention manuelle pour retourner à un état opérationnel.

Références

Validation de tierce partie de l’efficacité des contrôles de cybersécurité (1.2)

Résultat

Identifie les TTP contre lesquelles les mesures de défense sont insuffisantes et établit une confiance dans les mesures de cyberdéfense de l’organisation.

TTP ou risques gérés

  • Lacunes sur le plan des mesures de cyberdéfense ou faux sentiment de sécurité avec les mesures de protection existantes.

Mesure recommandée

Des tierces parties possédant de l’expertise éprouvée en cybersécurité des TI et/ou des TO valident régulièrement l’efficacité et la couverture des mesures de cyberdéfense d’une organisation. Mener ces exercices annuellement, ce qui comprend des activités telles que des tests de pénétration, des primes de bogues, des simulations d’incident ou des exercices de simulation, et inclure des tests annoncés et non annoncés.

Les exercices tiennent compte de la capacité d’une ou un adversaire potentiel d’infiltrer le réseau de l’extérieur et des répercussions d’une telle infiltration, ainsi que la capacité d’une ou un adversaire dans le réseau (par exemple dans le cas d’une infiltration présumée) à se déplacer latéralement afin de démontrer l’incidence possible sur les systèmes essentiels, y compris les systèmes de technologies opérationnelles et les systèmes de contrôle industriels.

Atténuer en temps opportun les conclusions à incidence élevée des tests antérieurs afin qu’elles ne soient plus observées lors de futurs tests.

Références

Plans d’intervention en cas d’incident (1.3)

Résultat

Les organisations tiennent, mettent en pratique et mettent à jour des plans d’intervention en cas d’incident de cybersécurité pour les scénarios de menace pertinents.

TTP ou risques gérés

  • Incapacité à contenir, à atténuer et à communiquer rapidement et efficacement les incidents de cybersécurité.

Mesure recommandée

Élaborer, tenir, mettre à jour et mettre à l’essai régulièrement les plans d’intervention en cas d’incident de cybersécurité s’appliquant aux TI et aux TO pour les TTP et les scénarios de menace courants et propres à l’organisation (par secteur ou par site, par exemple). Envisager de collaborer avec les parties prenantes appropriées pour mener des exercices de simulation axés sur les attaques renforcées par l’intelligence artificielle. Dans le cadre des tests ou des exercices, veiller à ce qu’ils soient le plus réalistes, faisables et conformes possible aux niveaux d’interruption acceptables de l’organisation. Mettre à l’essai rigoureusement les plans d’intervention en cas d’incident au moins une fois par année et les mettre à jour dans un délai proportionnel aux risques à la suite des leçons retenues des tests ou des exercices.

Références

Déploiement de fichiers security.txt (1.4)

Résultat

Permet aux chercheuses et chercheurs en sécurité de soumettre plus rapidement les faiblesses ou les vulnérabilités découvertes.

TTP ou risques gérés

  • Analyse active – Analyse des vulnérabilités (T1595.002)
  • Applications exposées au public exploitables (T1190, ICS T0819)
  • Exploitation de services distants (T1210, ICS T0866)
  • Compromission de la chaîne d’approvisionnement (T1195, ICS T0862)

Mesure recommandée

Veiller à ce que tous les domaines Web publics aient un fichier security.txt conforme aux recommandations du document RFC 9116.

Références

Sélection d’un fournisseur de services infonuagiques de confiance (1.5)

Résultat

Si le nuage est utilisé et si une relation de confiance est établie avec un fournisseur de services infonuagiques (FSI) possédant des capacités techniques éprouvées, les organisations peuvent adopter des services infonuagiques en toute confiance pour bénéficier des avantages d’extensibilité, de souplesse et de rentabilité tout en assurant la protection de leurs biens sensibles.

TTP ou risques gérés

  • Attaque et/ou compromission liée à un FSI inexpérimenté
  • Compromission de la chaîne d’approvisionnement (T1195, ICS T0862)

Mesure recommandée

Veiller à ce que votre FSI offre le stockage sécurisé des données, le chiffrement et des contrôles d’accès, et confirmer que les pratiques et les capacités du FSI en matière de cybersécurité sont conformes aux normes et règlements de sécurité pertinents. Cette étape peut être réalisée en confirmant que le FSI respecte les régimes de conformité existants, lesquels peuvent varier selon les besoins opérationnels de l’organisation.

Références

Protection (2)

Changement de mots de passe par défaut (2.0)

Résultat

Empêche les auteures et auteurs de menace d’utiliser les mots de passe par défaut pour obtenir un accès initial à un réseau ou pour se déplacer latéralement dans un réseau.

TTP ou risques gérés

  • Comptes valides – Comptes par défaut (T1078.001)
  • Comptes valides (ICS T0859)

Mesure recommandée

Appliquer un processus et/ou une politique à l’échelle de l’organisation qui exige que les mots de passe par défaut du fabricant soient changés pour tout le matériel, tous les logiciels et tous les micrologiciels avant de les intégrer à un réseau interne ou externe. Cette mesure s’applique entre autres aux biens de TI pour les TO , comme les pages Web d’administration des TO .

Dans les cas où il est impossible de changer les mots de passe par défaut (comme un système de contrôle avec un mot de passe codé en dur), mettre en œuvre des contrôles de sécurité compensatoires appropriés et les documenter, et surveiller les journaux, particulièrement le trafic réseau et les tentatives d’ouverture de session sur ces dispositifs.

Note concernant les TO : Appliquer une stratégie de changement des justificatifs d’identité par défaut pour tous les dispositifs futurs ou nouveaux, puisque le changement des mots de passe par défaut sur les TO existantes d’une organisation représente beaucoup plus de travail. Cette mesure est non seulement beaucoup plus facile à mettre en œuvre, elle réduit également le risque si l’adversaire modifie ses TTP .

Références

Robustesse minimale de mot de passe (2.1)

Résultat

Les mots de passe organisationnels sont plus difficiles pour les auteures et auteurs de menace à deviner ou à craquer.

TTP ou risques gérés

  • Force brute – Supposition de mots de passe (T1110.001)
  • Force brute – Cassage de mots de passe (T1110.002)
  • Force brute – Rafale de mots de passe (T1110.003)
  • Force brute – Bourrage d’identifiants (T1110.004)

Mesure recommandée

Les organisations doivent mettre en place une stratégie appliquée par le système qui exige un mot de passe d’une longueur minimale de 15Note de bas de page * caractères pour tous les biens de TI protégés par mot de passe et pour tous les biens de TO , si c’est possible sur le plan techniqueNote de bas de page **. Envisager d’utiliser des phrases de passe comptant au moins quatre mots et 15 caractères. Dans les situations convenables, utiliser des phrases de passe puisqu’elles sont plus longues, mais plus faciles à retenir qu’un mot de passe composé de divers caractères choisis au hasard. Dans les cas où la longueur minimale des mots de passe ne peut pas être respectée pour des raisons techniques, appliquer des contrôles compensatoires et les documenter, et journaliser toutes les tentatives de connexion à ces biens. Prioriser la mise à niveau ou le remplacement des biens qui ne peuvent pas prendre en charge la longueur minimale recommandée pour les mots de passe.

Cet objectif est particulièrement important pour les organisations qui ne peuvent pas mettre en œuvre, à grande échelle, l’authentification multifacteur (AMF) et des capacités pour se protéger contre les attaques par force brute (telles que des pare-feu d’applications Web et des réseaux de diffusion de contenu tiers) ou qui ne peuvent pas adopter de méthodes d’authentification sans mot de passe.

Références

Justificatifs d’identité uniques (2.2)

Résultat

Les attaquantes et attaquants ne peuvent pas réutiliser les justificatifs d’identité compromis pour se déplacer latéralement dans l’organisation, particulièrement entre les réseaux de TI et de TO .

TTP ou risques gérés

  • Comptes valides (T1078, ICS T0859)
  • Force brute – Supposition de mots de passe (T1110.001)

Mesure recommandée

Fournir des justificatifs d’identité uniques et distincts pour des services similaires et l’accès aux biens sur les réseaux de TI et de TO . S’assurer que les utilisatrices et utilisateurs ne peuvent pas réutiliser les mots de passe pour d’autres comptes, applications, services, etc. Exiger que les comptes de services et de machines aient des mots de passe uniques et différents de tous les comptes d’utilisateur.

Références

Révocation des justificatifs des employées et employés quittant leur poste (2.3)

Résultat

Empêche l’accès non autorisé aux comptes ou aux ressources de l’organisation par d’anciennes et anciens membres du personnel.

TTP ou risques gérés

  • Comptes valides (T1078, ICS T0859)

Mesure recommandée

Pour tous les employées et employés quittant leur poste, appliquer un processus administratif défini et mis en œuvre avant la journée de leur départ qui :

  • révoque tous les laissez-passer, cartes-clés, jetons physiques, etc. et permet de les retourner de manière sécurisée;
  • désactive tous les comptes d’utilisateur et tous les accès aux ressources de l’organisation.

Références

Séparation des comptes d’utilisateur et privilégiés (2.4)

Résultat

Rend la tâche plus difficile pour les auteures et auteurs de menace d’obtenir un accès aux comptes privilégiés ou d’administrateur, même lorsque les comptes d’utilisateur courants sont compromis.

TTP ou risques gérés

  • Comptes valides (T1078, ICS T0859)

Mesure recommandée

Les comptes d’utilisateur n’ont pas toujours des privilèges d’administrateur ou de superutilisateur. Les administratrices et administrateurs ont des comptes d’utilisateur séparés pour réaliser les activités qui ne sont pas liées au rôle d’administrateur (comme le courrier électronique et la navigation Web). Réévaluer les privilèges à un intervalle régulier pour vérifier que les différents ensembles d’autorisations sont toujours nécessaires.

Références

Segmentation réseau (2.5)

Résultat

Réduit la probabilité que des auteures et auteurs de menace accèdent au réseau de TO après avoir compromis le réseau de TI .

TTP ou risques gérés

  • Découverte de services réseau (T1046)
  • Relation de confiance (T1199)
  • Énumération de connexions réseau (ICS T0840)
  • Reniflage de réseau (T1040, ICS T0842)

Mesure recommandée

Toutes les connexions au réseau de TO sont refusées par défaut à moins qu’elles aient été explicitement autorisées (p. ex. pour une adresse IP et un port particuliers) à des fins de fonctionnement du système. Les voies de communication nécessaires entre les réseaux de TI et de TO doivent passer par un intermédiaire, tel qu’un pare-feu configuré adéquatement, un hôte bastion, un serveur intermédiaire ou une zone démilitarisée (ZD), qui est surveillé étroitement, saisit les journaux réseau et autorise seulement les connexions de biens approuvés.

Références

Détection des tentatives (automatisées) d’ouverture de session infructueuses (2.6)

Résultat

Protège les organisations des attaques automatisées basées sur les justificatifs d’identité.

TTP ou risques gérés

  • Force brute – Supposition de mots de passe (T1110.001)
  • Force brute – Cassage de mots de passe (T1110.002)
  • Force brute – Rafale de mots de passe (T1110.003)
  • Force brute – Bourrage d’identifiants (T1110.004)

Mesure recommandée

Journaliser toutes les tentatives infructueuses et les envoyer à l’équipe de sécurité ou au système de journalisation pertinent de l’organisation. Veiller à ce que les équipes de sécurité soient avisées (p. ex. au moyen d’une alerte) lorsque le nombre maximal de tentatives consécutives d’ouverture de session infructueuses a été atteint dans un délai très court (p. ex. cinq tentatives infructueuses en deux minutes). Ces alertes sont journalisées et conservées dans le système de demandes de service ou de sécurité pertinent aux fins d’analyse rétroactive. Pour les biens de TI , une stratégie appliquée par le système doit être en place pour empêcher les ouvertures de session futures provenant du compte suspect. Cette stratégie pourrait, par exemple, être mise en place pour une période minimale précise ou jusqu’à ce que le compte soit réactivé par une utilisatrice ou un utilisateur privilégié. Activer cette configuration sur un bien dans la mesure du possible. À titre d’exemple, Windows 11 peut verrouiller automatiquement les comptes pendant dix minutes à la suite de dix tentatives infructueuses d’ouverture de session dans un délai de dix minutes.

Références

AMF résistante à l’hameçonnage (2.7)

Résultat

Ajoute une couche de sécurité additionnelle et essentielle pour protéger les comptes de biens dont les justificatifs d’identité ont été compromis.

TTP ou risques gérés

  • Force brute (T1110)
  • Services distants – Protocole RDP (T1021.001)
  • Protocole SSH pour services distants (T1021.004)
  • Comptes valides (T1078, ICS T0859)
  • Services externes distants (ICS T0822)

Mesure recommandée

Mettre en œuvre l’ AMF pour accéder aux biens en utilisant la méthode la plus robuste possible pour chaque bien (voir la portée ci-dessous). Voici les options d’ AMF classées par robustesse, de la plus robuste à la moins robuste :

  1. AMF matérielle résistante à l’hameçonnage (p. ex. FIDO/WebAuthn ou basée sur l’infrastructure à clé publique [ICP])
  2. Des jetons logiciels basés sur des applications mobiles (préférablement des notifications de type « pousser » avec correspondance des nombres) ou une technologie émergente telle que les clés d’accès FIDO, si une telle AMF matérielle n’est pas possible
  3. AMF  par message texte court ou appel vocal lorsqu’aucune autre option n’est possible

Note concernant les TI : Tous les comptes de TI doivent avoir recours à l’ AMF pour accéder aux ressources de l’organisation. Prioriser les comptes qui posent le risque le plus élevé, tels que les comptes administratifs privilégiés pour les systèmes de TI importants.

Note concernant les TO : Dans les environnements de TO , activer l’ AMF pour tous les comptes et systèmes auxquels il est possible d’accéder à distance, y compris les comptes de fournisseurs ou de maintenance, les postes de travail d’ingénierie et d’utilisateur accessibles à distance et les interfaces homme-machine (IHM) accessibles à distance.

Références

Formation relative à la cybersécurité de base et des TO (2.8)

Résultat

Les utilisatrices et utilisateurs de l’organisation apprennent à adopter des comportements plus sécuritaires. Le cas échéant, le personnel responsable de sécuriser les biens de TO reçoit de la formation spécialisée en cybersécurité axée sur les TO .

TTP ou risques gérés

  • Formation destinée aux utilisatrices et utilisateurs (M1017, ICS M0917)

Mesure recommandée

Donner de la formation sur les concepts de base en matière de sécurité et de protection de la vie privée, tels que l’hameçonnage, les compromissions de courriel d’affaires, la sécurité opérationnelle (OPSEC) de base, la sécurité des mots de passe et les atteintes à la vie privée, et promouvoir une culture interne de sécurité et de sensibilisation à la cybersécurité. Donner de la formation au moins annuellement à toutes les employées et à tous les employés, ainsi qu’à toutes les entrepreneures et à tous les entrepreneurs. Exiger que les nouvelles employées et nouveaux employés reçoivent une formation initiale en cybersécurité au moment de l’intégration, puis de façon récurrente au moins annuellement et au besoin à la suite de certains événements ou de certains changements de système.

Veiller à ce que les programmes axés sur la sécurité et la protection de la vie privée collaborent afin d’élaborer des procédures et politiques de formation et de sensibilisation.

Note concernant les TO : En plus de la formation de base en matière de cybersécurité, s’assurer que le personnel qui entretient ou sécurise les TO dans le cadre de leurs tâches courantes reçoit de la formation en matière de cybersécurité propre aux TO au moins tous les ans.

Références

Chiffrement fort et agile – données en transit (2.9)

Résultat

Chiffrement efficace déployé pour assurer la confidentialité des données sensibles et l’intégrité du trafic réseau transitant par des environnements de TI , de TO et infonuagiques.

TTP ou risques gérés

  • Adversaire au milieu (T1557)
  • Collecte automatisée (T1119)
  • Reniflage de réseau (T1040, ICS T0842)
  • Compromission sans fil (ICS T0860)
  • Reniflage sans fil (ICS T0887)

Mesure recommandée

Utiliser un protocole SSL à jour et configuré adéquatement pour protéger les données en transit, lorsqu’il est possible de le faire sur le plan technique. Déterminer toute utilisation de chiffrement faible ou désuète, les mettre à jour pour utiliser des algorithmes suffisamment forts et envisager de gérer les implications relatives à la cryptographie post-quantique. Chiffrer les données en transit au moyen d’un chiffrement suffisamment fort et approuvé en fonction de la sensibilité des données.

Note concernant les TO : Pour réduire au minimum l’incidence sur la latence et la disponibilité, utiliser le chiffrement dans la mesure du possible pour les communications des TO avec des biens externes ou distants.

Références

Données sensibles sécurisées – données au repos (2.10)

Résultat

Protège l’information sensible des accès non autorisés.

TTP ou risques gérés

  • Justificatifs d’identité non sécurisés (T1552)
  • Tickets Kerberos volés ou forgés (T1558)
  • Vidage de justificatifs d’identité de système d’exploitation (T1003)
  • Données de dépôts d’information (T1213, ICS T0811)
  • Vol d’information opérationnelle (T0882)

Mesure recommandée

Veiller à ce que les données sensibles, y compris les justificatifs d’identité, ne soient pas conservées en clair dans l’organisation et que seuls des utilisateurs et utilisatrices autorisés et authentifiés puissent y accéder. Conserver les justificatifs d’identité de manière sécurisée, par exemple à l’aide d’un coffre-fort ou d’un gestionnaire de mots de passe ou de justificatifs d’identité, ou de toute autre solution de gestion de comptes privilégiés. Chiffrer les données sensibles au repos à l’aide d’un chiffrement suffisamment fort et approuvé en fonction de la sensibilité des données.

Références

Sécurité des courriels (2.11)

Résultat

Réduit les risques liés aux menaces courantes par courriel, telles que la mystification, l’hameçonnage et l’interception.

TTP ou risques gérés

  • Hameçonnage (T1566)
  • Compromission du courriel d’affaires

Mesure recommandée

Dans l’ensemble de l’infrastructure de courriel de l’organisation :

  • activer STARTTLS;
  • activer les protocoles SPF (pour Sender Policy Framework) et DKIM (pour DomainKeys Identified Mail);
  • activer le protocole DMARC (pour Domain-based Message Authentication, Reporting, and Conformance) et le régler à « rejeter ».

Utiliser également un chiffrement de courriels réglé au niveau approprié et approuvé selon la sensibilité du contenu des courriels.

Références

Macros désactivées par défaut (2.12)

Résultat

Réduit le risque lié aux macros intégrées et au code d’exécution similaire, une TTP d’auteure et auteur de menace très courante et efficace.

TTP ou risques gérés

  • Hameçonnage – Pièce jointe de harponnage (T1566.001)
  • Exécution par l’utilisatrice ou utilisateur – Fichier malveillant (T1204.002)

Mesure recommandée

Établir une stratégie appliquée par le système qui désactive par défaut sur tous les dispositifs les macros de Microsoft Office ou le code similaire intégré. Si les macros doivent être activées dans des circonstances précises, établir une stratégie pour que les utilisatrices et utilisateurs autorisés puissent demander à ce que les macros soient activées sur des biens précis.

Références

Processus d’approbation du matériel et des logiciels (2.13)

Résultat

Assure une meilleure visibilité des biens de technologies déployés et réduit la probabilité de violation de la sécurité par les utilisatrices et utilisateurs qui installent du matériel, des micrologiciels ou des logiciels non approuvés.

TTP ou risques gérés

  • Compromission de la chaîne d’approvisionnement (T1195, ICS T0862)
  • Ajouts de matériel (T1200)
  • Extensions de navigateur (T1176)
  • Bien numérique temporaire (ICS T0864)

Mesure recommandée

Mettre en œuvre une stratégie administrative ou un processus automatisé qui exige une approbation avant l’installation ou le déploiement d’une nouvelle version logicielle ou d’un nouveau logiciel, micrologiciel ou matériel. Tenir une liste de matériel, de micrologiciels et de logiciels autorisés en fonction du risque qui comprend des versions précises approuvées, lorsqu’il est possible de le faire sur le plan technique. Pour les biens de TO en particulier, aligner ces mesures sur les activités définies de tests et de contrôle des changements.

Références

Sauvegardes et redondance de système (2.14)

Résultat

Réduit la probabilité et la durée de la perte de données pour les opérations ou la prestation de service d’une organisation.

TTP ou risques gérés

  • Destruction de données (T1485, ICS T0809)
  • Données chiffrées pour réduire l’incidence (T1486)
  • Effacement de disque (T1561)
  • Récupération des systèmes interdite (T11490)
  • Déni de contrôle (ICS T0813)
  • Déni ou perte de vue (ICS T0815, T0829)
  • Perte de disponibilité (T0826)
  • Perte ou manipulation de contrôle (T0828, T0831)

Mesure recommandée

Sauvegarder régulièrement tous les systèmes nécessaires aux opérations. Déterminer au cas par cas les systèmes qui doivent faire l’objet d’une sauvegarde et la fréquence précise à laquelle la sauvegarde doit être faite, car tous les systèmes auront différentes exigences en matière de sauvegarde et de récupération des données. Conserver les sauvegardes séparément des systèmes sources et effectuer des tests régulièrement au moins annuellement. Veiller à ce que l’information conservée pour les biens de TO comprenne, au minimum :

  • les configurations;
  • les rôles;
  • les automates programmables industriels (API);
  • les dessins techniques;
  • les outils.

Mettre en œuvre les redondances appropriées (établies par l’organisation), comme les composants réseau et le stockage de données. S’assurer que le système secondaire redondant n’est pas situé au même endroit que le système principal et qu’il peut être activé sans perte d’information ou perturbation des opérations.

Références

Collecte des journaux (2.15)

Résultat

Permet d’obtenir une meilleure visibilité pour détecter les cyberattaques et y intervenir efficacement.

TTP ou risques gérés

  • Capacité retardée, insuffisante ou incomplète à détecter les cyberincidents et à y intervenir.
  • Défenses affaiblies (T1562)

Mesure recommandée

Recueillir et conserver les journaux pour les utiliser dans les activités de détection et d’intervention en cas d’incident (comme les enquêtes numériques), y compris les journaux suivants :

  • axés sur l’accès et la sécurité (comme les systèmes de détection et de prévention d’intrusion [SDI/SPI]);
  • pare-feu;
  • prévention de la perte de données (PPD);
  • réseaux privés virtuels (RPV).

Les équipes de sécurité sont avisées lorsqu’une source de journaux essentielle est désactivée, comme la journalisation des événements Windows.

Note concernant les TO : Pour les biens de TO dont les journaux ne sont pas standards ou disponibles, recueillir le trafic réseau et les communications entre ces biens et d’autres biens.

Références

Stockage des journaux sécurisé et central (2.16)

Résultat

Les journaux de sécurité des organisations sont protégés contre tout accès et toute modification non autorisés.

TTP ou risques gérés

  • Retrait d’indicateur sur l’hôte – Suppression des journaux d’événement Windows (T1070.001)
  • Retrait d’indicateur sur l’hôte – Suppression des journaux système Linux ou Mac (T1070.002)
  • Retrait d’indicateur sur l’hôte – Détection de fichier (T1070.004)
  • Retrait d’indicateur sur l’hôte (ICS T0872)

Mesure recommandée

Veiller à ce que les journaux soient conservés dans un système central, comme un outil de gestion des informations et des événements de sécurité (GIES) ou une base de données centrale, et que seuls les utilisateurs et utilisatrices autorisés et authentifiés puissent y accéder et les modifier. Conserver les journaux pendant une période déterminée en fonction des risques ou des lignes directrices règlementaires pertinentes.

Références

Connexion interdite de dispositifs non autorisés (2.17)

Résultat

Empêche les auteures et auteurs de menace d’obtenir un accès initial ou d’exfiltrer des données à l’aide de supports amovibles non autorisés.

TTP ou risques gérés

  • Ajouts de matériel (T1200)
  • Duplication par support amovible (T1091, ICS T0847)

Mesure recommandée

Appliquer des politiques et des processus pour veiller à ce que le matériel et les supports non autorisés ne soient pas connectés aux biens de TI et de TO , par exemple en limitant l’utilisation de dispositifs USB et de supports amovibles, ou en désactivant le lancement automatique.

Note concernant TO : Établir des procédures pour retirer, désactiver ou sécuriser les ports physiques de façon à empêcher la connexion de dispositifs non autorisés, ou établir des procédures pour accorder l’accès au moyen d’exceptions approuvées.

Références

Limitation des connexions de TO à l’Internet public (2.18)

Résultat

Réduit le risque que des auteures et auteurs de menace exploitent ou interrompent des biens de TO connectés à l’Internet public.

TTP ou risques gérés

  • Analyse active – Analyse des vulnérabilités (T1595.002)
  • Applications exposées au public exploitables (T1190, ICS T0819)
  • Exploitation de services distants (T1210, ICS T0866)
  • Services externes distants (T1133, ICS T0822)

Mesure recommandée

S’assurer qu’aucun bien de TO n’est connecté à l’Internet public, à moins que la connexion soit explicitement requise pour le fonctionnement. Exiger que les exceptions soient justifiées et documentées, et que des mesures de protection additionnelles soient mises en place pour les biens exclus afin d’empêcher et de détecter les tentatives d’exploitation (comme la journalisation, l’ AMF , l’accès obligatoire par serveur mandataire ou autre intermédiaire).

Références

Documentation des configurations de dispositifs (2.19)

Résultat

Améliore l’efficacité de la gestion des cyberattaques contre l’organisation, de l’intervention et de la reprise, et assure la continuité des services.

TTP ou risques gérés

  • Capacité retardée, insuffisante ou incomplète à maintenir les services et la fonctionnalité des dispositifs essentiels, ou à les rétablir.

Mesure recommandée

Tenir des documents fiables qui décrivent les détails de configuration actuels et de base de tous les biens de TI et de TO essentiels pour faciliter des activités de gestion des vulnérabilités, d’intervention et de reprise plus efficaces. Effectuer des mises à jour et des examens périodiques, et en assurer le suivi.

Références

Aucun service exploitable sur Internet (2.20)

Résultat

Les utilisatrices et utilisateurs non autorisés ne peuvent pas obtenir un accès initial aux systèmes en exploitant des faiblesses connues dans les biens exposés au public.

TTP ou risques gérés

  • Analyse active – Analyse des vulnérabilités (T1595.002)
  • Applications exposées au public exploitables (T1190, ICS T0819)
  • Exploitation de services distants (T1210, ICS T0866)
  • Services externes distants (T1113, ICS T0822)
  • Services distants – Protocole RDP (T1021.001)

Mesure recommandée

S’assurer que les biens dans l’Internet public n’exposent aucun service exploitable, tel que le protocole RDP. Lorsque ces services doivent être exposés, mettre en œuvre des contrôles compensatoires appropriés pour prévenir les formes courantes d’abus et d’exploitation. Désactiver tous les protocoles réseau et toutes les applications de système d’exploitation qui ne sont pas nécessaires sur les biens connectés à Internet.

Références

Poste de travail administratif sécurisé (SAW) (2.21)

Résultat

Les SAW (pour Secure Administrative Workstation) dédiés à usage limité réduisent les risques pour la cybersécurité liés aux maliciels, à l’hameçonnage et aux attaques de type « Pass-the-Hash ». Ils permettent aux administratrices et administrateurs (c"est-à-dire, les utilisatrices et utilisateurs détenant un accès privilégié) de se connecter de façon sécurisée au réseau de l’organisation.

TTP ou risques gérés

  • Vidage de justificatifs d’identité (T1003)
  • Utilisation d’une autre méthode d’authentification (T1550)
  • Exploitation pour l’élévation des privilèges (T1068)
  • Exploitation pour l’élévation des privilèges (SCI) (T0890)
  • Comptes valides (T1078)
  • Services distants (T1021)
  • Interpréteur de commandes et de scripts (T1059)
  • Données du système local (T1005)
  • Exploitation pour l’évasion des défenses (T1211)
  • Découverte de compte (T1087)
  • Reniflage de réseau (T1040)

Mesure recommandée

Les organisations fournissent des SAW aux administratrices et administrateurs pour réaliser leurs tâches administratives. Créer des SAW sécurisés et renforcés en mettant en œuvre les mesures suivantes :

  1. isoler les SAW du réseau de TI public et, le cas échéant, du plan de données;
  2. désactiver la capacité d’installer d’autres logiciels;
  3. limiter l’accès à Internet ou aux services de courriel;
  4. pour l’administration du nuage à partir de cette station de travail dédiée, il convient d’utiliser un RPV ou des listes d’applications autorisées pour accéder à l’architecture du nuage.

Références

Détection (3)

Détection de menace pertinente et de TTP (3.0)

Résultat

Les organisations sont au courant des menaces et des TTP et sont en mesure de les détecter en temps opportun.

TTP ou risques gérés

  • Sans connaître les menaces pertinentes et sans avoir la capacité de les détecter, les organisations risquent que les auteures et auteurs de menace soient présents dans leurs réseaux pendant de longues périodes sans être détectés.

Mesure recommandée

Documenter une liste de menaces et de TTP des auteures et auteurs de cybermenace qui s’applique à l’organisation (par exemple, en fonction de l’industrie ou du secteur) et être capable de détecter ces principales menaces (par exemple, à l’aide de règles, d’alertes ou de systèmes commerciaux de détection et de prévention).

Références

Intervention (4)

Signalement des incidents (4.0)

Résultat

Le Centre pour la cybersécurité et d’autres organisations peuvent mieux comprendre l’ampleur d’une cyberattaque et sont en mesure de fournir une assistance appropriée.

  • Sans signalement opportun des incidents, l’assistance offerte aux organisations touchées par le Centre pour la cybersécurité et d’autres groupes est moins efficace en raison du manque de renseignements essentiels relatifs à l’environnement global de menaces (par exemple si une attaque plus vaste est orchestrée contre un secteur précis).

Mesure recommandée

Avoir en place des politiques et procédures codifiées sur la façon de signaler tous les cyberincidents confirmés aux entités externes appropriées.

Signaler les incidents connus au Centre pour la cybersécurité et à d’autres parties dans les délais prescrits par les lignes directrices règlementaires applicables ou, en l’absence de lignes directrices, dès qu’il est possible de le faire en toute sécurité.

Références

Reprise (5)

Planification en cas d’incident et état de préparation (5.0)

Résultat

Les organisations sont en mesure d’assurer la reprise des activités de façon efficace et en toute sécurité à la suite d’un incident de cybersécurité.

TTP ou risques gérés

  • Perturbation de la disponibilité d’un bien, d’un service ou d’un système.

Mesure recommandée

Élaborer, tenir à jour et exécuter des plans visant à assurer la reprise et la restauration des activités et des systèmes ou biens essentiels à la mission qui pourraient avoir été touchés par un cyberincident.

En cas de cyberincident, exécuter une analyse de l’incident après la reprise afin de déterminer les leçons retenues et d’empêcher de futurs incidents. Intégrer les leçons retenues aux améliorations apportées aux processus de gouvernance et/ou au plan d’intervention en cas d’incident.

Références

Signaler un problème ou une erreur sur cette page

Ce site est protégé par reCAPTCHA et les Règles de confidentialité et Conditions de service de Google s'appliquent.

Veuillez sélectionner toutes les cases qui s'appliquent :

Merci de votre aide!

Vous ne recevrez pas de réponse. Pour toute question, contactez-nous.

Date de modification :