Articles

Le plan d’action BOUCLIER

Réalistes sans être alarmistes

Le défi semble colossal pour contrer la cybercriminalité. Alors, remportons de petites victoires dans cette perpétuelle croisade pour la sécurité informatique et la cybersécurité. Les 48 cégeps du réseau montent au front avec le déploiement du Plan d’action BOUCLIER.

Par Thérèse Lafleur, Portail du réseau collégial

La Fédération des cégeps a mis en place le Centre d’expertise Vigilance-Bouclier, qui chapeaute les projets Vigilance et Bouclier, permettant aux cégeps d’être en bonne posture pour parer stratégiquement aux intrusions malveillantes dans leurs systèmes. Des piratages qui peuvent heurter leur prestation de services et hypothéquer leur réputation.

Agir pour être moins vulnérable

« Au départ, le projet VIGILANCE visait la prévention en sécurité de l’information et servait à soutenir la gouvernance. Avec l’introduction des nouvelles mesures gouvernementales, le contrôle des opérations était davantage visé. La Fédération des cégeps a pris l’initiative d’offrir un accompagnement plus opérationnel, soit le plan d’action BOUCLIER pour agir en amont. Ces deux volets sont complémentaires », explique Benoît Desautels, CISSP, directeur adjoint — Sécurité informationnelle et cyberdéfense à la Direction des technologies de l’information de la Fédération des Cégeps.

« Ce plan d’action BOUCLIER vise l’amélioration de la posture des établissements. Nous ne sommes pas là pour leur dire quoi faire, nous les accompagnons. Nous dégageons les grandes lignes directrices qui permettent de travailler ensemble. De plus, nous essayons d’optimiser certains services en les regroupant. Difficile d’y arriver autrement ! »

Le Centre d’expertise Vigilance-Bouclier facilite aussi la représentation univoque des cégeps aux tables ministérielles, au Centre gouvernemental de cyberdéfense, aux Centres opérationnels de cyberdéfense (COCD) ou encore lors de rencontres avec des fournisseurs. Le discours est similaire parce que les membres du réseau ont établi ensemble leurs priorités.

L’équipe de monsieur Desautels, regroupe deux conseillers en sécurité de l’information et en cyberdéfense, Sarah-Eliessa Badaoui et Catalin Evoescu ainsi qu’une gestionnaire de projets en ressources informationnelles, Rania Oublal.

À l’ouverture du Symposium international de l’intégration du numérique dans l’enseignement qui s’est tenu au Cégep de La Pocatière du 27 au 30 septembre 2022, le président de la Fédération des cégeps, Bernard Tremblay, mentionnait : « Dans le domaine du numérique, la Fédération agit pour mettre ensemble les responsables et leur permettre de développer une communauté de pratique, mais aussi de porter un certain nombre de projets en collaboration avec le ministère de l’Enseignement supérieur et le ministère de la Cybersécurité et du numérique. »

Distinguer sécurité de l’information et cybersécurité

« Il faut bien distinguer “sécurité de l’information” et “cybersécurité”. » précise M. Desautels. « La sécurité de l’information englobe tout ce qu’il faut protéger : papiers, processus et procédures. La cybersécurité vise l’utilisation des outils informatiques de manière à parer les méfaits. »

Si un ordinateur est contaminé avec un rançongiciel et que des dénis de services sont tentés en submergeant le réseau de requêtes pour le mettre à terre et l’empêcher d’avoir accès aux données, l’organisation est attaquée sur deux volets : la sécurité de l’information et la cybersécurité. Justement, les experts de BOUCLIER accompagnent les équipes de technologies de l’information (TI) des établissements pour que des mesures de contrôle soient en place afin de minimiser les surfaces d’attaques potentielles.

Pour sécuriser l’information, les cégeps doivent s’assurer de l’adoption de pratiques sécuritaires et veiller à former leurs employés afin qu’ils développent de bons réflexes. Cela signifie essentiellement de :

  • ne pas divulguer l’information à n’importe qui ;
  • ne pas cliquer sur des liens non sécuritaires ;
  • ne pas télécharger ou ouvrir des fichiers malicieux.

Cette sensibilisation des membres de la communauté collégiale n’est pas à négliger puisqu’une récente étude révèle que plus du tiers des employés québécois se disent peu ou pas préoccupés par le vol de données dans leur entreprise.

Pour contrer la cybercriminalité

« La sécurité de l’information interpelle toute l’organisation à commencer par les directions générales. Chaque service a une responsabilité vis-à-vis l’information qu’il détient, numérisée ou non. Les personnes doivent faire attention aux informations qu’elles possèdent, à ce qu’elles consultent, à la manière dont l’information est traitée et partagée. Il y a une éducation importante à faire en ce qui a trait aux enjeux de confidentialité, surtout avec l’entrée en vigueur de la Loi 25 qui confirme la responsabilité des gens envers la sécurité de l’information et les renseignements personnels », soulève M. Desautels.

Ainsi, pour contrer la cybercriminalité, tenir à jour un calendrier de conservation et avoir une gestion documentaire performante s’avèrent essentiels. D’ailleurs, l’équipe de BOUCLIER et les archivistes de COLLECTO viennent de finaliser des projets d’accompagnement des collèges afin qu’ils puissent commencer, poursuivre ou terminer leur catégorisation de l’information.

Donc les experts en sécurité de l’information doivent nécessairement travailler en étroite collaboration avec les experts en gestion des données. « L’expérience en cours avec COLLECTO nous apprend que de sortir des TI et d’utiliser une approche documentaire connue est porteur », constate M. Desautels.

La gestion des identités et des accès (GIA) est aussi à l’agenda de l’équipe de BOUCLIER. Il s’agit d’un enjeu important, car le domaine est sensible. En effet, quand une personne passe d’un service à un autre, elle devient alors un vecteur sensible parce qu’elle détient beaucoup d’informations qui ne sont pas nécessairement pertinentes dans l’exercice de ses fonctions courantes. Si son compte est compromis, il est alors possible de l’utiliser pour escalader ses privilèges. « Nous nous penchons actuellement sur l’amélioration des processus et la sensibilisation de certains services qui ont un rôle à jouer en matière de gestion d’identité et d’accès. Cela ne relève pas uniquement des TI », remarque M. Desautels.

Outre le projet de catégorisation avec COLLECTO, l’équipe de BOUCLIER développe un projet pour améliorer la protection des noms de domaines courriel. M. Desautels ajoute : « Nous avons des méthodes pour prévenir cela. Nous les avons mis en place de façon mutualisée, donc les cégeps vont pouvoir avoir de l’accompagnement et de la formation. Nous étudions ce qui se fait et ce qui peut être pertinent pour le réseau. »

Réagir à une attaque

Force est de constater qu’imaginer ou anticiper une cyberattaque est stressant. Tout en espérant ne pas être attaqué, chaque établissement se demande surtout s’il sera prêt à réagir. « Une formation technique est d’ailleurs prévue pour répondre aux incidents », mentionne M. Desautels.

Mais la menace est réelle. Et, bien que les technologies utilisées dans le réseau offrent un ensemble de mesures de contrôle permettant aux organisations d’améliorer leur posture, les scénarios d’attaque varient et les cégeps demeurent vulnérables.

Le courriel ne semblait pas seulement innocent, il semblait également familier à l’employé des comptes fournisseurs. Il provenait de l’une des entreprises de construction locales avec lesquelles l’institution publique traite, logo et tout.

La directrice générale du Cégep de Saint-Félicien, Sylvie Prescott, peut en témoigner : « La cyberattaque dont nous avons été victimes, le 17 septembre 2020, a paralysé l’ensemble des activités durant plus de deux semaines. Le nécessaire a été fait pour dispenser les cours aux étudiants le plus rapidement possible : c’était la priorité. C’est au terme de deux ans de travail acharné que le Cégep a réussi à rebâtir son infrastructure informatique complète. Cet événement aura eu des impacts considérables, non seulement au niveau des équipements - rachat de la quasi-totalité de l’infrastructure informatique, mais également du côté humain, les employés ont dû mettre l’épaule à la roue pendant des mois. Finalement, s’il devait ressortir quelque chose de positif de cette expérience, c’est que le virage technologique amorcé par Saint-Félicien qui devait s’étaler sur une période de cinq ans nous aura obligés à le faire sur deux ans. »

C’est dire l’impact que peut avoir une cyberattaque. Et les pirates raffinent leurs méthodes tout en demeurant concentrés sur les rançons qu’ils peuvent soutirer à partir des données qu’ils ont exfiltrées et qu’ils menacent de partager dans le web obscur (darkweb). Et lorsque cela arrive, la bataille est perdue. Il ne restera à l’établissement qu’à faire preuve de cyber-résilience.

L’Université MacEwan, qui a été dupée de 11,8 millions de dollars par des escrocs, est un autre exemple de cyberfraude. Pour la petite histoire, au départ, le courriel ne semblait pas seulement innocent, il semblait également familier à l’employé des comptes fournisseurs de l’Université MacEwan à Edmonton. Il provenait de l’une des entreprises de construction locales avec lesquelles l’institution publique traite, logo et tout. Il y avait de nouvelles informations sur le compte bancaire — les comptes fournisseurs pourraient-ils les modifier ? Le personnel et ce supposé fournisseur ont échangé des courriels de fin juin au début août. Un employé de l’université a été impliqué dans cette correspondance au début, puis deux autres se sont ajoutés. Ensuite, les paiements des fournisseurs ont été versés sur ce nouveau compte comme prévu : le 10 août (1,9 M$) ; le 17 août (22 000 $) ; et le 19 août, un samedi, (9,9 M$). Le mercredi matin suivant, pour la première fois dans cet épisode, le fournisseur local appelait pour savoir pourquoi il n’avait jamais reçu ses paiements. La fraude massive avait déjà été perpétrée.  

Une guerre sans fin

Pour assurer leur sécurité, les données doivent être gérées adéquatement. « Comme le recrutement et surtout la rétention d’une main-d’œuvre qualifiée en sécurité et en informatique représentent des enjeux importants dans le réseau public, les cégeps doivent relever un défi de capacité. Ils ont donc tout intérêt à travailler ensemble, sinon ils n’y arriveront pas », note M. Desautels.

« Ne nous demandons pas si nous serons attaqués, mais plutôt QUAND nous le serons. » Benoît Desautels

Il poursuit en mentionnant « qu’à court terme, il faut rattraper un certain retard. Donc les cégeps ont tout à gagner en adoptant une stratégie commune pour répondre aux attentes minimales, pour optimiser leurs mesures et faire de la veille stratégique. À moyen terme, la synergie qui existe au niveau de la gouvernance doit se développer au sein des différentes équipes techniques des cégeps. Par ailleurs, des employés formés et conscientisés font partie de la solution à long terme. »

« Contrer la cybercriminalité est une guerre sans fin. Nous gagnons de petites batailles, mais l’adversaire est très motivé, bien financé, bien organisé et présent 24 h sur 24 h à la recherche de vulnérabilités pour les exploiter. Il s’agit donc de prévoir les coups, de se préparer, d’être bien formés, d’être conscientisés. Ne nous demandons pas si nous serons attaqués, mais plutôt QUAND nous le serons. Et lorsque cela arrivera, est-ce que nous serons prêts ? Sans être alarmistes, il faut être réalistes. Cela peut sembler colossal parce qu’il y a beaucoup à faire. Nous y arriverons lentement mais sûrement, ensemble. » conclut M. Desautels.