Cyberbulletin : Cyberactivités parrainées par la République populaire de Chine et menées contre les gouvernements provinciaux, territoriaux et autochtones et les administrations municipales du Canada

Des auteurs de cybermenace de la République populaire de Chine compromettent des réseaux gouvernementaux du Canada

Le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (Centre pour la cybersécurité) informe les gouvernements provinciaux, territoriaux et autochtones et les administrations municipales et les organisations de gouvernance autochtone du Canada de la menace que fait planer la République populaire de Chine (RPC).

Des auteurs de cybermenace CybermenaceEntité malveillante qui utilise Internet pour profiter d’une vulnérabilité connue en vue d’exploiter un réseau et l’information qu’il contient. de la RPC représentent presque certainement la plus grande menace constante de cyberespionnage pour le Canada. Le Centre pour la cybersécurité a déjà signalé que les activités de cybermenace de la RPC dépassent celles de tout autre État-nation en ce qui concerne le volume, la sophistication et la portée du ciblage^{Note de bas de page 1}. Les auteurs de la RPC disposent de ressources importantes, sont tenaces et peuvent mener de nombreuses opérations simultanées au Canada.

Le Centre pour la cybersécurité a constaté que tous les ordres de gouvernement sont ciblés à répétition et a observé de nombreuses compromissions de réseaux gouvernementaux. Chaque incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. de ciblage est fort probablement le résultat d’une occasion saisie (comme le fait de profiter des défenses faibles), mais pris ensemble, tous les incidents représentent une menace stratégique de taille pour la sécurité des systèmes du Canada. Il convient de noter que lorsque le Centre pour la cybersécurité sait qu’une activité de cybermenace cible une entité, il en informe l’entité en question.

Les évaluations du Centre pour la cybersécurité sont fondées sur des informations provenant de nombreuses sources. Il compte sur le volet du mandat du CST touchant le renseignement étranger qui lui procure de précieuses informations sur le comportement des adversaires dans le cyberespace. Il met aussi à profit son expérience de la défense des systèmes d’information du gouvernement du Canada.

Les gouvernements provinciaux, territoriaux et autochtones et les administrations municipales sont des cibles constantes

La RPC perçoit presque certainement les gouvernements provinciaux, territoriaux et autochtones et les administrations municipales comme des cibles précieuses de cyberespionnage. Les activités de cybermenace menées contre ces ordres de gouvernement reflètent probablement celles dont fait l’objet le gouvernement du Canada. Tous les réseaux gouvernementaux contiennent de l’information sur la prise de décisions et des dossiers régionaux ainsi que les renseignements personnels de Canadiennes et Canadiens.

Les auteurs de cybermenace de la RPC répondent souvent aux besoins directs ou indirects des services de renseignement chinois. Leurs cibles sont fréquemment choisies en fonction des objectifs stratégiques nationaux de la RPC. Ils sont régulièrement à la recherche de réseaux compromis qui leur permettent d’acquérir de l’information qui procurera un avantage économique ou diplomatique à la RPC dans ses relations bilatérales avec le Canada. Ils veulent aussi obtenir de l’information qui porte sur des technologies prioritaires dans la planification centrale de la RPC. Souvent, ils cherchent aussi à mettre la main sur de grands ensembles de données contenant des renseignements personnels, probablement dans le but de faire de l’analyse de données en masse et d’améliorer le ciblage.

Tous les ordres de gouvernement gèrent des réseaux imposants offrant des services uniques et reposant souvent sur un ensemble complexe de fournisseurs de services gérés (FSG) et de fournisseurs tiers. Il est déjà arrivé que des auteurs de cybermenace de la RPC exploitent les systèmes des FSG et des fournisseurs de logiciels pour ensuite obtenir accès aux réseaux gouvernementaux.

Les auteurs de cybermenace de la RPC disposent de moyens sophistiqués et sont difficiles à détecter

Les auteurs de cybermenace de la RPC passent sous les radars, se fondent dans le trafic normal d’un système et accèdent aux systèmes de cibles à grande échelle. Il est donc probable que certaines cyberactivités de la RPC passent sous le radar des défenseurs des réseaux.

Le mode opératoire des auteurs de cybermenace de la RPC rend leurs activités difficiles à détecter. Voici quelques exemples de moyens qu’ils utilisent :

• ils compromettent les routeurs de petits bureaux et de bureaux à domicile, généralement dans le même secteur géographique que leurs victimes, et se servent de ces routeurs comme de réseaux mandataires pour cacher l’origine de leurs activités;
• ils lancent des attaques d’exploitation des ressources locales, c’est-à-dire qu’ils profitent des outils intégrés d’administration de réseau d’un système, notamment en se servant de justificatifs d’identité légitimes compromis pour ouvrir une session sur les réseaux visés par l’entremise de dispositifs publics, comme les réseaux privés virtuels;
• ils adaptent leurs opérations pour échapper à toute détection à la suite de la publication d’information sur les campagnes en cours;
• ils compromettent les réseaux de fournisseurs de services de confiance pour accéder à l’information ou aux réseaux de clients;
• ils procèdent rapidement au développement de capacités offensives et à la prolifération d’exploits pour profiter des nouvelles vulnérabilités.

L’échange d’information permet la détection des menaces et la restauration des systèmes

La menace que la RPC fait peser sur les réseaux fédéraux est la plus grande préoccupation du Centre pour la cybersécurité, mais ce dernier bénéficie d’une bonne visibilité sur les technologies de l’information et des communications du gouvernement du Canada. Pour repérer les activités de cybermenace malveillantes ciblant les autres ordres de gouvernement au Canada, le Centre pour la cybersécurité consulte de nombreuses sources et de multiples partenaires. Toutefois, s’il n’obtient pas d’information des éventuelles victimes, il ne peut pas déterminer l’étendue, la portée et l’impact des activités de cybermenace.

L’échange d’information est essentiel à la détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. des menaces et à la restauration des systèmes, surtout lorsqu’il est question d’auteurs de cybermenace dotés de moyens sophistiqués, comme ceux parrainés par la RPC. La portée et l’ampleur des cyberactivités menées contre les gouvernements provinciaux, territoriaux et autochtones et les administrations municipales restent en grande partie inconnues. Grâce à l’échange d’information, le Centre pour la cybersécurité est plus apte à évaluer la menace, à préparer une stratégie collective d’atténuation et d’intervention et à informer les éventuelles victimes et les cibles le plus rapidement possible.

Atténuation de la menace

Le Centre pour la cybersécurité invite les gouvernements provinciaux, territoriaux et autochtones, les administrations municipales et les organisations de gouvernance autochtone à se renseigner sur les activités de cybermenace sophistiquées et à se protéger davantage contre celles-ci. Cela passe entre autres par l’intensification de l’échange d’information entre les partenaires de tous les ordres de gouvernement afin d’adopter des mesures plus efficaces de détection des menaces et de restauration des systèmes.

En outre, le Centre pour la cybersécurité invite les gouvernements provinciaux, territoriaux et autochtones, les administrations municipales et les organisations de gouvernance autochtone à adopter les mesures suivantes :

• gérer les justifications d’identité et avoir recours à l’authentification multifacteur (AMF) :
  • séparer les comptes d’utilisateur des comptes privilégiés. Les auteurs de menace auront ainsi plus de mal à obtenir un accès aux comptes privilégiés ou d’administrateur, même lorsque les comptes d’utilisateur courants sont compromis,
  • consulter le point Séparation des comptes d’utilisateur et privilégiés de la Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels pour se renseigner sur le sujet;
• utiliser une AMF résistante à l’hameçonnage :
  • prioriser les comptes qui posent le risque le plus élevé, tels que les comptes administratifs privilégiés pour les systèmes de TI importants,
  • consulter le point AMF résistante à l’hameçonnage de la Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels pour se renseigner sur le sujet;
• mettre en place un programme robuste de gestion des vulnérabilités pour l’ensemble des systèmes et services accessibles à partir de l’Internet;
• appliquer les correctifs à toutes les vulnérabilités exploitées connues des systèmes connectés à Internet dans un délai proportionnel aux risques :
  • appliquer les correctifs aux biens indispensables en premier,
  • consulter l’objectif 1,1 de la Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels pour se renseigner sur le sujet;
• compiler de l’information de journalisation complète et historique :
  • recueillir et conserver les journaux pour les utiliser dans les activités de détection et d’intervention en cas d’incident (comme les enquêtes numériques), y compris les journaux suivants :
    • journaux axés sur l’accès et la sécurité (comme les systèmes de détection et de prévention d’intrusion),
    • pare-feu,
    • prévention de la perte de données,
    • RPV,
  • consulter l’objectif 2,15 de la Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels pour se renseigner sur le sujet;
• vérifier les configurations d’appliance réseau et de dispositif d’accès au moyen d’indicateurs d’activité malveillante à la recherche d’indices de changements de configuration non autorisés ou malveillants;
• réduire le délai d’intervention lors d’intrusions importantes, c’est-à-dire cerner les identités et les ressources importantes et en assurer la surveillance prioritaire;
• préparer un plan d’intervention et de reprise en cas d’incident de cybersécurité ainsi que des plans de continuité des activités et de communication :
  • être prêt à les mettre en œuvre,
  • consulter les objectifs 1,3 et 5,0 de la Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels pour se renseigner sur le sujet;
• recourir à la segmentation réseau pour réduire la probabilité que des auteurs de menace accèdent au réseau de TO après avoir compromis le réseau de TI :
  • consulter l’objectif 2,5 de la Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels pour se renseigner sur le sujet;
• signaler toute cyberactivité suspecte ou malveillante au Centre pour la cybersécurité :
  • consulter l’objectif 4,0 de la Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels pour se renseigner sur le sujet;

Certaines mesures d’atténuation susmentionnées figurent dans la toute nouvelle publication du Centre pour la cybersécurité Objectifs relatifs à l’état de préparation en matière de cybersécurité (OEPC). Les OEPC consistent en 36 objectifs fondamentaux que toute organisation au Canada peut utiliser pour renforcer sa posture de cybersécurité. Le Centre pour la cybersécurité invite les organisations petites et grandes à mettre en œuvre tous les OEPC qui servent de références minimales pour ce qui est de la cybersécurité.

Le Centre pour la cybersécurité collabore avec des partenaires provinciaux et territoriaux afin d’atténuer les compromissions en cours et de les aviser des possibles activités de cybermenace malveillantes menées par des auteurs dotés de moyens sophistiqués. Il permet aussi aux autres ordres de gouvernement de mieux évaluer les menaces et de se remettre plus facilement de la compromission de leurs systèmes. En janvier 2024, à la suite d’une série d’incidents de cybersécurité ciblant des établissements du nord du Canada, le Centre pour la cybersécurité est allé en amont de la menace et a déployé des capteurs sur les biens de TI des gouvernements du Yukon, des Territoires du Nord-Ouest et du Nunavut. Ces capteurs détectent les cyberactivités malveillantes dans les dispositifs sur le périmètre PérimètreFrontière entre deux zones de sécurité réseau à travers laquelle le trafic est acheminé. du réseau et dans le nuage. Ils sont parmi les outils les plus importants du Centre pour la cybersécurité pour défendre les réseaux du gouvernement du Canada.

Ressources utiles

Consultez les ressources en ligne suivantes pour obtenir de plus amples renseignements, ainsi que des avis et conseils utiles :

Rapports et conseils

• Évaluation des cybermenaces
  • Évaluation des cybermenaces nationales 2025-2026
  • Cybermenaces contre le processus démocratique du Canada : Mise à jour de 2023
• Bulletins conjoints et publications de partenaires
  • UK calls out China state-affiliated actors for malicious cyber targeting of UK democratic institutions and parliamentarians (en anglais seulement)
  • Bulletin de cybersécurité conjoint sur une cybermenace parrainée par la Chine
  • Approches techniques à la détection et à l’atténuation des activités malveillantes
  • Atténuation des menaces avec des ressources limitées : conseils à l’intention de la société civile
  • Conseils à l’intention des cadres supérieurs et des chefs d’organisations liées aux infrastructures essentielles sur la protection des infrastructures et des fonctions essentielles contre les cyberactivités menées par la RPC
  • Identifying and mitigating living off the land techniques (en anglais seulement)
  • Bulletin conjoint sur les menaces d’exploitation des réseaux par un cybergroupe parrainé par la RPC

Avis et conseils

• Objectifs relatifs à l’état de préparation en matière de cybersécurité (OEPC) : Sécuriser les systèmes les plus essentiels
• Boîte à outils des objectifs relatifs à l’état de préparation en matière de cybersécurité intersectoriels
• Sécurisez vos comptes et vos appareils avec une authentification multifacteur (ITSAP.30.030)
• Facteurs à considérer en matière de cybersécurité pour votre site Web (ITSM.60.005)
• Les 10 mesures de sécurité des TI visant à protéger les réseaux Internet et l’information (ITSM.10.089)
• Les 10 mesures de sécurité des TI : No 2 Appliquer les correctifs aux applications et aux systèmes d’exploitation (ITSM.10.096)