Archives de catégorie : Sécurité & criminalité

Le Canada entend blinder ses entreprises de compétence fédérale, dont en télécommunications

Publié le par

Le Canada est depuis peu à étudier un nouveau projet de loi visant à renforcer la cybersécurité des entreprises dont les activités sont régies par la législation fédérale, telle les sociétés de télécom, les banques, etc.

Avec le Projet de loi C-26, le Canada se doterait d’une première loi touchant la cybersécurité des organisations et dont le focus n’a rien à faire avec le fait de protéger des renseignements personnels. Cette fois, le but de la nouvelle loi serait de mieux protéger les cyber-systèmes de télécommunication au Canada et, plus généralement, les systèmes utilisés par des organisations de compétence fédérale «essentiels» pour la sécurité nationale ou la sécurité publique, tels :

  • des sociétés de transport interprovinciales, dont aériennes ou navales;
  • des entreprises de télécommunications (dont les FAI, par exemple);
  • des entreprises qui s’occupent de certaines formes d’énergies ou leur transport;
  • des institutions financières et celles touchant le système financier, etc.

Une fois cette nouvelle loi adoptée, les organisations visées se verront imposées des obligations relativement strictes en matière de cybersécurité, peu importe qu’elles détiennent ou gèrent des renseignements personnels. Le gouvernement entend en effet de doter de pouvoirs afin d’être désormais en mesure de, par exemple :

  • ordonner à certaines entreprises visées de mieux sécuriser leurs systèmes, de façon spécifique;
  • décréter que certains services ou systèmes sont d’une «importance critique» pour la sécurité nationale ou la sécurité publique;
  • forcer les entreprises visées à mettre en œuvre des programmes de cybersécurité, à se conformer aux directives de cybersécurité et, plus intéressant encore, à signaler les incidents de cybersécurité qui surviendrait chez eux à divers organismes fédéraux; etc.

Le projet de loi C-26 en est pour l’instant au stade de sa première lecture.

Le gouvernement du Canada revampe complètement le processus de connexion à ses services en ligne

Publié le par

Le gouvernement fédéral a finalement compris, après 10 ou 20 ans à faire les choses à l’ancienne, qu’émettre des codes d’usagers individuellement par ses divers ministères (sans vérification réelle d’identité ni renforcement) mène à un non-sens, dont en matière de cybersécurité. Oui, à compter de très prochainement, toutes les organisations et entreprises qui veulent interagir avec un ministère ou ses services en ligne devront le faire grâce à une nouveau dispositif.

L’OPIC (l’«Office de la propriété intellectuelle du Canada») donnait justement une formation à ce sujet la semaine dernière, pendant laquelle on nous a exposé l’arrivée du Canada en 2022, quant à la méthode que les usagers devront dorénavant utiliser pour se connecter aux services gouvernementaux, tels que ceux de l’OPIC.

Le nouveau système mettra au rancart le système ISED que les entreprises devaient jusqu’à maintenant utiliser pour se connecter.

Le gouvernement met notamment en place une nouvelle clé (la CléGC) pour chaque usager individuel, laquelle impliquera la vérification de l’identité et de l’existence réelle des individus qui prétendent se connecter à un service gouvernemental pour le compte d’une entreprise. Il va sans dire que chaque usager individuel devra aussi être autorisé pour agir pour une organisation. Ce n’était pas déjà le cas me demanderez-vous? Euh, non, en fait, pas réellement en tout cas. Jusqu’à maintenant, les entreprises se créaient des codes souvent uniques qui étaient utilisés par nombre d’employés ou de dirigeants, en les partageant ainsi sans réelle vérification de qui ils étaient.

Grâce à ce nouveau système, on éliminera donc à l’avenir l’utilisation et la réutilisation des codes d’usagers non-authentifiés. Finit l’époque où les usagers d’une firme de 20 personnes utilisaient tous le même code d’accès. Côté sécurité informatique, disons que c’est assez de base comme façon de fonctionner mais, bon, félicitation le Canada pou r y parvenir finalement.

Autre amélioration absolument normal à mettre en place en 2022, le système emploiera maintenant l’authentification à deux facteurs (2FA), aussi un concept que toute organisation un tant soit peu préoccupée par la cybersécurité devrait employer depuis longtemps. Bravo aussi pour celle-là, même si cela fait partie des pratiques normales ailleurs depuis déjà des années.

Il s’agit donc d’un pas dans la bonne direction, disons-le.

Bref, si votre organisation doit régulièrement interagir avec le gouvernement fédéral ou l’un de ses ministères, je vous recommande fortement d’y voir. D’ailleurs, les anciens codes d’usagers désuets deviendront bientôt obsolètes, incluant la possibilité de vous connecter à plusieurs par l’entremise d’un même compte. La mise en place débute le 28 mars prochain.

Le problème continu des rançongiciels: de pire en pire

Publié le par

J’assistais cette semaine à MAPLESEC, une conférence organisée par IT World Canada afin de parler de la cybersécurité au Canada, sur quelques jours. Super intéressant!

À ce sujet, on  apprenait cette semaine que dans la dernière année, la majorité des entreprises canadiennes qui ont été victimes d’une cyberattaque par l’entremise d’un rançongiciel («ransomware», en anglais) admettent avoir payé la rançon. Comme on peut l’imaginer aisément, cette tendance de payer les malfrats pour récupérer nos données et/ou empêcher leur dissémination s’avère très problématique. Si les victimes paient généralement, les cybercriminels sont incités par la loi du marché poursuivre leurs activités liés aux rançongiciels – c’est tout simplement trop tentant.

Un rapport récent de l’entreprise de cybersécurité Sophos révèle que près du tiers des sociétés interrogées auraient été victime d’une attaque de ce type au cours de la dernière année.

Avec des stats pareilles, pas étonnant qu’un expert en assurance entendu cette semaine à MAPLESEC nous disait que les assureurs sont actuellement en hémorragie à cause des coûts associés aux réclamations attribuables aux rançongiciels. Semble que le coût des primes d’assurance pour assurer ce genre de risque exploseront, afin de permettre aux assureurs de demeurer rentables. Le conseil de l’expert à ce sujet d’ailleurs, était de vous munir de la meilleur couverture d’assurance que vous pouvez vous payer, dès maintenant. N’attendez pas!

Pas très étonnant non-plus, dans un tel contexte, que certaines juridictions, dont les États-Unis, contemplent adopter des lois qui règlementerait le paiement des rançons liées à ce genre d’attaque. Le projet de loi américain déposé récemment (le Ransom Disclosure Act), par exemple, exigerait que les entreprises qui paient de telles rançons en divulguent les détails dans les 48 heures au Department of Homeland Security. On est pas à interdire carrément te tels paiements, mais c’est clair qu’on commence collectivement à y penser, incapable d’endiguer ce déferlement de cyberattaques du genre.

Pas de doute, ce problème continu de nous confronter collectivement avec la réalisation que la négligence collective par rapport à la cybersécurité nous a mené dans un cul-de-sac, dont il faudra maintenant essayer de s’extirper en améliorant considérablement comment on gère tous notre cybersécurité.