Académique Documents
Professionnel Documents
Culture Documents
2
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Sommaire
Compte tenu de limportance de la gestion proactive des cyberrisques pour garantir la stabilit
des socits rglementes par lOCRCVM, lintgrit des marchs financiers canadiens et la
protection des intrts des investisseurs, le prsent document propose un cadre de
cyberscurit volontaire, cest--dire un ensemble de normes et de pratiques exemplaires du
secteur pour aider les courtiers membres de lOCRCVM grer les risques en matire dee
cyberscurit.
Les directives volontaires nonces dans ce guide permettront aux courtiers membres de
personnaliser et de quantifier les ajustements apports leurs programmes de cyberscurit
laide de techniques et de contrles efficients de gestion des risques. Les courtiers membres de
moindre taille comprendront mieux la faon dappliquer des mesures de scurit de base leurs
systmes informatiques et leurs rseaux. 1 Dans le cas des courtiers membres de plus grande
envergure, le guide propose une dmarche conomique pour protger les systmes informatiques
en fonction des besoins de lorganisation, sans ajouter aux exigences rglementaires.
Un cadre de saine gouvernance reposant sur un leadership vigoureux est essentiel pour la
cyberscurit efficace la grandeur de lorganisation. La mobilisation du conseil
dadministration et de la haute direction est primordiale pour la russite des programmes
de cyberscurit, tout comme une chane de reddition de comptes prcise.
Une quipe bien forme peut reprsenter la premire ligne de dfense contre les
cyberattaques. Une formation efficace aidera rduire la probabilit dattaque russie en
transmettant aux membres du personnel bien intentionns des connaissances qui leur
permettront dviter de devenir des vecteurs dattaque par inadvertance (par exemple, en
tlchargeant involontairement des programmes malveillants).
Le niveau de complexit des contrles techniques appliqus par une organisation dpend
largement de sa situation. Bien quune petite organisation puisse ne pas tre en mesure de
mettre en uvre la totalit des contrles, les stratgies proposes peuvent servir de
fonction danalyse comparative essentielle pour bien faire comprendre les vulnrabilits
par rapport aux normes sectorielles.
3
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Objet et applicabilit
La prsente publication a pour objet de bien faire comprendre les contrles de scurit
spcifiques axs sur des normes qui composent un programme de pratiques exemplaires en
matire de cyberscurit.
La mise en uvre des contrles devrait varier entre les divers courtiers membres, selon les
menaces, les vulnrabilits et la tolrance au risque qui sont propres chacun. Les membres du
secteur des valeurs mobilires peuvent dterminer les activits qui sont importantes pour la
prestation de services essentiels et ils peuvent tablir lordre de priorit entre les investissements
de manire optimiser le rendement de chaque dollar dpens.
tablir et tenir jour un vigoureux programme de sensibilisation la cyberscurit qui est bien
appliqu, et veiller ce que les utilisateurs soient conscients de limportance de bien
protger les renseignements de nature dlicate et les risques dun mauvais traitement
de linformation; 2
Faciliter une dmarche uniforme et comparable pour le choix et la spcification des contrles
de scurit des systmes informatiques des courtiers membres; i
2
La sensibilisation la cyberscurit est un lment essentiel dun programme toff de cyberscurit. Nous traiterons cette
question plus en dtail dans les prochaines sections, mais fondamentalement, la sensibilisation la cyberscurit exige des
politiques et une formation sur le sujet (p. ex., une politique de poste de travail ordonn pour viter des atteintes la scurit par
le personnel charg des installations, comme les concierges ou les agents de scurit, et une formation annuelle obligatoire pour
tous les employs).
4
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Fournir un catalogue de contrles de scurit pour satisfaire les besoins actuels de protection
de linformation et les exigences relatives aux besoins futurs selon lvolution des
menaces, des exigences 3 et des technologies;
Jeter des bases en vue de llaboration des mthodes et procdures dvaluation interne pour
dterminer lefficacit des contrles de scurit.
Ce cadre de pratiques exemplaires se veut un document vivant et il continuera dtre mis jour
et amlior mesure que le secteur commentera sa mise en uvre. Les leons tires de la
premire livraison de ce cadre aux courtiers membres seront intgres aux versions futures.
Ainsi, le document continuera de satisfaire les besoins des courtiers membres dans un contexte
de menaces dynamiques et de solutions novatrices.
3
Quelques-unes de ces catgories de protection des renseignements (p. ex., lexposition ou la perte de renseignements importants
sur la clientle) comportent des exigences spciales plus restrictives en matire de rglementation pour la protection de la scurit
de linformation. Si ces renseignements ne sont pas correctement protgs, il pourrait en dcouler limposition de fortes amendes
et pnalits par les organismes de rglementation des tats-Unis et du Canada.
5
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Public cible
Le prsent guide sapplique aux courtiers membres de lOCRCVM, sans gard leur taille et
leurs budgets, mais il sadresse tout particulirement aux socits de petite et moyenne taille.
Parmi les membres du personnel susceptibles de profiter de lexamen des contrles de scurit
noncs dans le prsent document, mentionnons :
les personnes qui ont accs aux systmes, notamment les utilisateurs;
les personnes qui exercent des fonctions lies aux systmes dinformation, la scurit
et/ou la gestion et la surveillance des risques (p. ex., les chefs de linformatique, les
responsables de la scurit de linformation, les gestionnaires des systmes
dinformation, les gestionnaires de la scurit de linformation);
les personnes qui exercent des fonctions lis llaboration de systmes dinformation
(p. ex., les gestionnaires de programme, les concepteurs et les dveloppeurs de systmes,
les spcialistes de la scurit de linformation et les intgrateurs de systmes);
les personnes qui exercent des fonctions lies aux activits et la mise en uvre de la
scurit de linformation (p. ex., les responsables de missions et dentreprises,
les responsables de systmes dinformation, les fournisseurs de contrles communs, les
propritaires de linformation et responsables de la grance de linformation,
les administrateurs de systme, les chefs de la scurit des systmes dinformation);
6
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
1 Contexte
La cyberscurit nest pas difficile, elle est simplement complexe. LAustralian Signals
Directorate (ASD) a group les 35 plus importantes stratgies ncessaires pour protger les
rseaux informatiques. ii Parmi celles-ci, lASD prcise que la mise en uvre des quatre
principales stratgies de cyberscurit permettra dattnuer au moins 85 % des cyberintrusions
cibles. Ces quatre principaux contrles sont les suivants :
1. Ltablissement dune liste blanche des applications ne permettre, sur les rseaux, que
les applications qui ont t autorises.
2. La correction de la scurit des applications mettre en uvre des pratiques efficaces
pour dployer rapidement de nouveaux correctifs de scurit.
3. La correction de la scurit des systmes dexploitation mme pratique que la
prcdente, mais elle porte sur les systmes dexploitation.
4. La limitation des privilges administratifs nautoriser que le personnel digne de
confiance configurer, grer et surveiller les systmes informatiques.
7
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Le dfi consiste excuter ces tches et dautres fonctions connexes dune manire complte et
globale tout en facilitant les fonctions oprationnelles essentielles dune entreprise prospre.
Le prsent document facilite cet effort en fournissant un guide consultable aux professionnels de
la scurit, aux membres de la haute direction dune entreprise et aux employs des courtiers
membres de lOCRCVM, pour leur permettre de comprendre la menace de cyberscurit qui
pse sur leur entreprise, et dlaborer un programme efficace de protection contre
les cybermenaces.
La Figure 1 propose un cadre conceptuel qui permet de comprendre tous les aspects de la
cyberscurit, ce qui comprend des discussions, des solutions et des services.
Le secteur est guid par les politiques du gouvernement qui donnent vie aux
cyberdfenses, et par le Contexte de la rglementation qui tablit des normes de conduite.
Les Exigences oprationnelles prcisent les lments spcifiques de la cyberscurit qui
sont ncessaires pour atteindre les objectifs de lentreprise.
Les Renseignements sur les menaces recueillis dans les journaux, auprs des
gouvernements, des partenaires du secteur, des fournisseurs du milieu de la scurit,
8
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Une vaste approche qui groupe ces six lments dans une stratgie adaptable de cyberscurit
encadrera les grandes priorits et orientera les mesures prendre pour attnuer les cyberrisques
qui menacent les actifs, les systmes et linformation.
Le secteur des valeurs mobilires est confront diverses menaces de cyberscurit qui voluent
rapidement, notamment des pirates qui infiltrent des systmes, des initis qui compromettent les
donnes de lentreprise ou de ses clients pour en tirer un gain commercial, les tats-nations qui
peuvent acqurir des renseignements pour faire progresser des objectifs nationaux, et des pirates
activistes qui peuvent avoir pour objectif de dstabiliser une organisation et de la mettre dans
lembarras.
Parmi les menaces les plus importantes et les plus problmatiques, mentionnons les attaques
complexes prenant la forme de menaces persistantes avances (MPA), dont lactivit est en
grande partie appuye, directement ou indirectement, par un tat-nation. Les MPA ciblent avec
soin des donnes de grande valeur dans chaque secteur, de larospatiale au commerce de gros,
et de lducation aux finances.
9
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Socits : Les socits prives qui achtent et vendent des Pirates activistes : Catgorie disparate comprenant une grande
produits de scurit offrent des possibilits de service valeur varit de groupes et de personnes partageant une idologie et
ajoute sous forme de surveillance de rseau, de renseignements des motivations diffrentes. Sur le plan des techniques, il existe
sur les menaces, d'appareils de scurit des rseaux et d'outils un important chevauchement entre les pirates activistes et les
d'essai de pntration. Chacune de ces fonctions dfensives sous-traitants de groupes criminels.
reprsente galement une fonction offensive. Il existe un march
noir et gris pour ces fonctions.
Les sondages sur la cyberscurit mens par la FINRA en 2011 et 2014 ont permis de
dgager les trois menaces principales dans le secteur des valeurs mobilires,
savoir :
les pirates qui infiltrent les systmes dentreprise;
les employs qui compromettent les donnes de lentreprise ou de ses clients;
les risques oprationnels.
Les entreprises doivent connatre les menaces qui sont la fois les plus probables et les plus
dangereuses pour leur situation particulire afin dlaborer et de mettre en uvre efficacement
leur stratgie de cyberscurit.
10
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
xxxii
Fraude par courriel
Un type de fraude tlgraphique qui vise actuellement les entreprises prend la forme
descroquerie au chef dentreprise (ECE), qui constitue un type dhameonnage. La victime
ventuelle reoit un courriel qui semble provenir du service des ressources humaines ou des
services techniques de son employeur. Les fraudeurs crent des adresses courriel qui
reprennent fidlement celles des services rels. Un message par courriel est envoy au service
de la comptabilit pour aviser que le patron travaille hors du bureau et a repr un
paiement en souffrance qui doit tre effectu ds que possible. Le patron demande
lexcution du paiement et fournit le nom dune banque et un numro de compte bancaire
dans lequel les fonds, habituellement dun montant lev, doivent tre dposs. Les pertes
dpassent gnralement 100 000 $.
La chef des finances dInfront Consulting Group Inc., socit installe Toronto et Las Vegas, a
reu un courriel semblant provenir du chef de la direction, qui lui demandait de traiter un
paiement de 169 705,00 $US . Les instructions jointes la demande du virement tlgraphique
prcisaient que le paiement devait tre adress une socit de courtage en valeurs mobilires de
Naples, en Floride.
Le plan a chou seulement parce que, par concidence, le premier dirigeant dInfront a tlphon
la chef des finances au moment o elle examinait la requte. Lorsquelle a demand quelles fins
largent serait utilis, le premier dirigeant lui a dclar quil ne savait rien de cette requte. Un
examen plus approfondi a rvl que le courriel avait t envoy partir dune adresse semblable
celle de la socit, mais que seule la lettre I manquait dans le terme Consulting .
11
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
2 Introduction
Le prsent document repose sur diverses sources notamment les contrles de scurit employs
dans les domaines de la dfense, de laudit et des finances, les contrles effectus dans diffrents
secteurs dactivit ou contrles de processus, et les contrles employ dans le domaine du
renseignement de scurit ainsi que sur divers contrles dfinis par des organismes de
normalisation nationaux et internationaux. Les lignes directrices ont t labores dun point de
vue technique pour crer un ensemble de contrles de scurit stables et largement applicables
aux systmes informatiques et aux courtiers membres.
12
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
4. Security and Privacy Controls for Federal Information Systems and Organizations
(NIST 800-53r4)
La norme internationale des contrles de scurit couvrant 17 domaines, notamment le contrle
de laccs, lintervention en cas dincident, la continuit des activits, et la reprise aprs sinistre.
5. Plan de gestion des incidents de la TI du gouvernement du Canada
Porte sur les menaces, les vulnrabilits et les incidents de cyberscurit qui influent sur le
service aux Canadiens, sur les activits du gouvernement, sur la scurit ou la protection des
renseignements personnels, ou sur la confiance envers le gouvernement.
Le catalogue des contrles de scurit noncs dans le prsent document peut tre utilis
efficacement pour grer le risque de scurit de linformation trois niveaux distincts le niveau
de lorganisation, le niveau de la mission/des processus oprationnels et le niveau des systmes
dinformation.
Les organisations ont le devoir de slectionner les contrles de scurit appropris, de les
appliquer correctement et den dmontrer lefficacit pour respecter les exigences tablies en
matire de scurit. Le prsent document a pour but de complter les processus de gestion des
risques de cyberscurit de lorganisation, mais non de les remplacer. Les utilisateurs qui
appliquent des programmes de cyberscurit peuvent mettre profit ce document pour
dterminer les possibilits de les faire correspondre aux pratiques exemplaires du secteur, tandis
que les courtiers membres qui ne disposent pas dun programme de cyberscurit peuvent utiliser
le document titre de rfrence pour laborer leur propre programme.
3 Pratiques exemplaires
La cyberscurit ne constitue pas uniquement un enjeu de TI. Il sagit dun dfi plusieurs volets
qui exige une approche de gestion intgre. La protection totale contre les cybermenaces est
impossible. Par contre, une pratique exemplaire reprsente une approche axe sur les risques qui
met en uvre une vaste stratgie visant viter, attnuer, accepter ou transfrer
dlibrment les risques que posent les cybermenaces. Les socits doivent tablir et tenir jour
un cadre appropri de gouvernance et de gestion des risques pour dtecter et liminer les risques
auxquels sont exposs les rseaux et services de communication.
13
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Une pratique exemplaire consiste mettre sur pied un comit interorganisationnel compos de
cadres suprieurs qui reprsentent lventail complet des connaissances et comptences de
lentreprise, entre autres la scurit intgre et la scurit de la TI, de mme que les responsables
oprationnels.
Le leadership est un lment cl. La dsignation dun cadre de direction ayant de vastes
responsabilits interfonctionnelles, comme le chef des finances ou le chef de lexploitation, la
tte de ce comit, pourrait permettre de maintenir laccent de cette initiative sur les
proccupations de lensemble de lorganisation, plutt que de la cloisonner dans un rseau de
renseignements sans les avantages dune plus vaste adoption au sein de lentreprise. Cette
initiative devrait relever dun comit spcial, notamment le comit daudit ou le comit de
gestion des risques ou, dans certains cas, du conseil dadministration.
Une pratique exemplaire consiste nommer un chef de la scurit de linformation (CSI) et lui
attribuer des fonctions en matire de scurit de linformation pour la supervision des initiatives
de la socit dans le domaine de la cyberscurit. Quelle que soit la personne nomme pour
superviser ces initiatives, la cyberscurit est une charge partage dans lensemble de la socit,
notamment avec les membres de la haute direction, le personnel, les experts-conseils,
14
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
les partenaires et les clients. La sensibilisation la cyberscurit doit viser tous ces titulaires
de charges.
Le programme doit dbuter par la dtermination des types de renseignements que dtient la
socit et de leur localisation. Les renseignements sont souvent conservs dans plus dun endroit
la fois, et diffrents contrles sont mis en place pour en garantir la protection. Une approche
axe sur les risques qui met laccent sur les systmes essentiels et ceux qui sont fondamentaux
pour la mission permet de centrer les efforts sur les enjeux ayant le plus dimpact. Les socits
devraient crer un relev prcis des lments suivants :
Linitiative devrait tre axe sur les actifs attrayants de la socit et sur la priorisation des
autres donnes et systmes. Lorsque cette tape est franchie, la socit peut passer llaboration
dun programme de cyberscurit ax sur les risques qui accorde le niveau de protection le plus
lev aux donnes qui comportent la plus grande valeur. Elle devrait crer un profil jour de ses
protections de cyberscurit.
Les initiatives de cyberscurit devraient viser les menaces propres au secteur dactivit et aux
socits se trouvant dans la mme situation. Les socits devraient effectuer des valuations des
risques de menace propres aux systmes prioritaires, dans le but de mieux comprendre les
priorits en fonction des risques. Le contexte oprationnel doit tre constamment examin afin de
dterminer la probabilit dun vnement de cyberscurit et de son incidence. Il sagit dun
processus continu et rptitif reposant sur lvolution du contexte de la TI au sein de la socit, et
sur lvolution de son modle oprationnel.
Une fois le profil cible tabli, la socit doit le comparer au profil actuel et dterminer les
lacunes. Ces lacunes devraient tre classes par ordre de priorit dans un plan nonant les
lacunes daprs des facteurs propres la socit, plus particulirement les besoins oprationnels,
la configuration des systmes et les ressources disponibles pour combler les carts. Chaque
socit est diffrente; par consquent, llaboration dun plan ralisable laide de ressources
suffisantes devrait constituer lobjectif.
15
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
La mise en uvre du plan daction et le suivi des progrs doivent devenir une fonction
oprationnelle de base. Dans le contexte actuel, la cyberscurit nest pas un projet ponctuel,
mais plutt une obligation continue pour la haute direction et le conseil dadministration pour
les socits de toutes tailles. La haute direction doit surveiller son plan de mise en uvre et faire
rapport priodiquement au conseil dadministration au sujet des progrs raliss en vue de
latteinte du rsultat cible ultime. Mme si le Cadre de cyberscurit du NIST prvoit un
excellent ensemble doutils pour orienter la mise en uvre dun programme de cyberscurit,
chaque socit doit dterminer les normes, lignes directrices et pratiques qui conviennent le
mieux ses besoins.
La National Association of Corporate Directors (NACD) cite cinq principes de cyberscurit qui
relvent des conseils dadministration, savoir :
Les administrateurs devraient fixer une attente selon laquelle la direction tablira un
cadre intgr de gestion des cyberrisques dot de ressources humaines et budgtaires
suffisantes.
16
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
xxxiii
tude de cas Ashley Madison Juillet 2015
En aot 2015, les pirates ont divulgu les profils de quelque 39 millions de clients,
y compris leur profil dutilisateur, leurs noms et leurs adresses courriel. Les avocats
reprsentant les victimes canadiennes ont intent un recours collectif dun montant de
760 millions de dollars en dommages-intrts. La socit-mre, Avid Life Media, a report
une date indtermine limminent premier appel public lpargne aux termes duquel elle
esprait obtenir une somme de 200 millions de dollars.
17
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
La cyberscurit est une responsabilit partage les personnes, les processus, les
outils et les technologies travaillent ensemble pour protger les biens dune organisation.
Ces objectifs peuvent tre atteints en excutant les fonctions du Cadre de cyberscurit nonces
ci-aprs : iv
1. Prciser les renseignements qui doivent tre protgs, de mme que toutes les menaces
et les risques qui y sont rattachs.
2. Protger les biens laide de mesures de protection convenables.
3. Dtecter les intrusions, les infractions la scurit et laccs non autoris.
4. Intervenir en cas dvnement de cyberscurit potentiel.
5. Se remettre dun vnement de cyberscurit en rtablissant les activits et services
normaux.
De faon gnrale, les organisations se concentrent principalement sur les menaces externes.
Elles appliquent des solutions techniques, notamment linstallation de programmes antivirus
pour protger leurs systmes informatiques contre les logiciels malveillants, ou de pare-feu pour
se protger contre les menaces lies Internet.
18
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Par dfinition, une menace interne est personnifie par [traduction] un employ actuel ou un
ancien employ, un sous-traitant ou un partenaire daffaires qui a ou avait un accs autoris au
rseau, un systme ou aux donnes dune organisation, et qui a dlibrment dpass ou mal
utilis cet accs, et a ainsi port atteinte la confidentialit, lintgrit ou la disponibilit des
renseignements ou des systmes informatiques du courtier membre. vi
Certains des risques que posent les menaces internes dans le secteur financier sont noncs
ci-aprs : vii
La divulgation non souhaite de donnes confidentielles sur les clients et les comptes
qui mettent en pril les relations les plus prcieuses de lorganisation
La fraude
La perte de proprit intellectuelle
La dsorganisation de linfrastructure essentielle
Des pertes montaires
Des rpercussions sur le plan rglementaire
La dstabilisation, la dsorganisation et la destruction des cyberbiens dune institution
financire
Lembarras et le risque datteinte aux relations publiques et la rputation
Selon le Carnegie Mellons CERT Insider Threat Center, les employs qui posent le plus grand
risque de menace interne sont :
Les employs mcontents qui estiment quon a manqu de respect leur gard, et qui
souhaitent se venger
Les employs la recherche dun bnfice qui croient pouvoir monnayer la vente de la
proprit intellectuelle vole
Les employs qui passent chez un concurrent ou qui dmarrent une entreprise et qui, par
exemple, volent des listes de clients ou des plans daffaires pour se donner un avantage
sur les concurrents
Les employs qui ont pris part limplantation de la proprit intellectuelle et qui
estiment en tre les propritaires. Ils sapproprient donc cette proprit lorsquils quittent
lorganisation
19
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
En reconnaissant les torts qui ont pu tre causs par les employs en poste ou qui ont quitt,
lorganisation peut attnuer les dommages susceptibles de dcouler de menaces internes.
Les donnes personnelles dau moins 20 millions dutilisateurs de carte de crdit et de carte
bancaire en Core du Sud ont t voles trois metteurs de cartes par un expert-conseil
temporaire travaillant pour le Bureau de crdit de la Core, une agence de notation du crdit
personnel.
Les donnes voles ont t vendues des socits de marketing par tlphone et elles
comprenaient les noms de clients, les numros de scurit sociale, les numros de tlphone, les
numros de carte de crdit et la date dchance.
la suite du vol, des dizaines de cadres suprieurs ont remis leur dmission, les organismes de
rglementation ont ouvert des enqutes au sujet des mesures de scurit en place dans les
socits en cause, qui ont t tenues responsables de la totalit des pertes financires touchant les
clients victimes de stratagmes se rapportant au vol des donnes.
20
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
La scurit physique des biens de TI constitue une premire ligne de dfense en cyberscurit.
Leffet du vol dun ordinateur portable ou dun tlphone intelligent peut tre tout aussi
perturbateur pour une organisation quune cyberattaque. Par consquent, les mesures de
protection tels les mots de passe et le PINS doivent tre compltes par dautres mesures de
scurit, comme des verrous qui empchent le vol dordinateurs portables ou lutilisation dun
systme dalimentation sans coupure afin de protger le systme dinformation lors dune panne
de courant.
La scurit physique englobe des mcanismes de dfense contre les menaces suivantes :
Menaces humaines
Dommages volontaires ou involontaires causs par des personnes, par exemple un intrus qui
pntre dans une zone accs restreint, ou une erreur commise par un employ.
Menaces environnementales
Dommages causs par les conditions climatiques, notamment la pluie, un incendie,
une inondation.
21
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Le risque de cyberattaque contre des institutions financires ne cesse de crotre, mesure que le
monde trs branch cre des dbouchs pour les cybercriminels. tant donn que les institutions
financires sen remettent des outils en ligne pour mieux communiquer avec leurs intervenants,
elles demeurent constamment la cible de cybercriminels souhaitant voler leur proprit
intellectuelle et leurs renseignements confidentiels. Dans son Global State of Information
Security Survey, publi en 2015, Price Waterhouse Coopers laisse entendre que les
entreprises qui appliquent un programme de sensibilisation la scurit dclarent des pertes
financires moyennes sensiblement moins leves lgard des incidents de cyberscurit. Le
cabinet souligne galement quun programme efficace de sensibilisation la scurit exige un
des fonds suffisants. ix
Bon nombre dorganisations investissent massivement dans les contrles techniques pour
protger leurs systmes informatiques et leurs donnes. Toutefois, la plupart de ces contrles
deviennent inutiles parce que les employs nont pas t sensibiliss la cyberscurit ou nont
pas reu de formation en la matire. Les employs prennent des risques en ligne, ce qui accrot
de beaucoup les risques de cyberscurit auxquels sexpose leur organisation. Les activits
risques des employs comprennent louverture de courriels douteux et la non-protection de
renseignements de nature dlicate stocks sur leurs ordinateurs ou envoys partir de leurs
ordinateurs. Le sondage 2015 Cyberthreat Defense Report Survey rvle quune faible
sensibilisation la scurit au sein du personnel demeure le plus important facteur nuisant une
dfense efficace contre les cybermenaces. x
On a demand aux participants au sondage de coter les problmes qui nuisent une dfense
efficace contre les cybermenaces.
Sur une chelle de 1 5 (5 reprsentant la note la plus leve), dans quelle mesure chacun des problmes qui
suivent empche-t-il votre organisation de se dfendre efficacement contre les cybermenaces?
Figure 3 Facteurs empchant ltablissement de mesures de dfense efficaces contre les cybermenaces
(Source : 2015 Cyberthreat Defense Report)
Une faible sensibilisation la scurit trne au premier rang. Ce rsultat souligne limportance
de la sensibilisation la scurit et de la formation en la matire comme principale activit
quune organisation peut appliquer pour mieux se dfendre contre les cyberattaques.
Les employs devraient tre informs des saines pratiques de cyberscurit et bien comprendre
22
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
quils jouent un rle crucial dans la protection des actifs informationnels de leur organisation.
Grce une formation adquate, les employs deviennent la premire ligne de dfense contre les
cybermenaces.
Mettre en uvre des politiques portant sur lutilisation sre et acceptable des systmes
informatiques.
Rendre obligatoire la formation et la sensibilisation la cyberscurit pour tout le personnel. La
formation peut se drouler en classe, en ligne ou en sance vido, et elle doit tre offerte sur une
base annuelle. Les attaques par piratage (p. ex., lhameonnage par courriel) visent souvent les
cadres suprieurs; il est donc important que ces personnes suivent galement la formation
en cyberscurit.
Veiller ce que tous les membres du personnel comprennent bien leur rle et leurs
responsabilits au chapitre de la cyberscurit.
Les utilisateurs devraient tre aviss de ne pas ouvrir de courriels douteux ni de cliquer sur des
liens douteux, quelle quen soit la source.
Les utilisateurs devraient tre aviss de ne pas brancher des dispositifs au rseau, moins
davoir un motif professionnel lgitime de le faire ou dutiliser des dispositifs approuvs.
Les utilisateurs devraient tre aviss dappliquer de saines pratiques en matire de mot de passe.
Les utilisateurs devraient comprendre les dangers et les usages srs de mdias externes
(cls USB et DC).
Les utilisateurs ne devraient pas tlcharger ou installer des applications non autorises parce
leur contenu peut tre malveillant.
Les utilisateurs devraient comprendre que des sanctions seront imposes aux membres du
personnel qui ne se conforment pas aux principes de sensibilisation la cyberscurit et aux
politiques de scurit.
Les mthodes de formation continue pour les cadres de direction peuvent comprendre des
sances vido ou des webinaires qui ont pour but de sensibiliser les utilisateurs et de partager
des renseignements viss par mandat.
Mahone Bay et Bridgewater, deux petites localits de la Nouvelle-cosse, ont dclar que les
ordinateurs municipaux ont t infects en juin 2015. Le virus connu sous lappellation
CryptoWall 3.0 a attaqu les rpertoires non raccords un rseau, que ce soit au moyen dun
courriel dhameonnage envoy lutilisateur dun systme, ou dun site Web infect visit par
un employ de la localit. Lorsquun clic a t effectu sur le lien, les systmes ont t infects
par le virus CryptoWall 3.0 et un deuxime virus, nomm CryptoLocker, a chiffr les fichiers du
systme cibl. Une fois activs, les virus ont livr un message automatis lutilisateur pour lui
rclamer le paiement denviron 900 $ pour le dverrouillage des fichiers infects il est presque
impossible de dchiffrer les fichiers sans payer la ranon exige. Le virus serait parvenu de
groupes criminels de Russie.
Le recours aux techniques CryptoLocker est trs rpandu. Selon le dpartement amricain de la
Justice, les attaques de ce virus ont infect plus de 234 000 ordinateurs ce qui a entran le
paiement de ranons de 27 millions de dollars au cours des deux premiers mois.
23
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Les cybercriminels continuent de tirer profit des vulnrabilits de base des systmes
informatiques, notamment les systmes dexploitation Windows non corrigs, un mot de passe
faible et une formation inadquate des utilisateurs. Les organisations qui neffectuent pas
danalyse des vulnrabilits et qui ne corrigent pas efficacement les faiblesses de leurs systmes
dinformation sexposent davantage la compromission de leurs systmes informatiques. Pour
protger leurs actifs informationnels contre la menace grandissante de cyberattaques qui ciblent
les vulnrabilits des systmes, davantage dorganisations ont inclus des valuations de la
vulnrabilit dans leurs programmes de cyberscurit. Ces valuations permettent de dceler les
vulnrabilits dans les systmes informatiques. Les rsultats de ces valuations aident les
organisations localiser les risques de cyberscurit. xi
Voici des recommandations touchant lvaluation des menaces et des vulnrabilits :
Utiliser priodiquement un outil automatis pour valuer les vulnrabilits de tous les
systmes du rseau. Remettre des listes de priorit renfermant les vulnrabilits les plus
pressantes chaque administrateur de systme.
Sabonner un service de renseignement sur les vulnrabilits afin de demeurer au fait
des nouvelles menaces et expositions au risque.
Veiller ce que les outils dvaluation de la vulnrabilit utiliss soient priodiquement
mis jour et renferment les renseignements les plus jour sur les vulnrabilits.
Veiller ce que les logiciels/applications informatiques soient mis jour
priodiquement laide de correctifs de scurit.
Soumettre les correctifs essentiels des essais avant de les faire passer au mode
de production.
Dans des variantes rcentes, le suspect sest fait passer pour un reprsentant du Centre
canadien de rponse aux incidents cyberntiques et il a adopt une approche plus directe. Il
a indiqu sa victime que son ordinateur tait utilis par des pirates et quelle pourrait en
tre tenue responsable si elle ne lautorisait pas rparer son ordinateur.
Autoriser un tiers tlcharger des logiciels ou avoir accs son ordinateur distance
comporte son lot de risques. Des enregistreurs de frappe ou dautres logiciels malveillants
pourraient tre installs pour saisir des donnes de nature dlicate, notamment les noms
dutilisateurs de services bancaires en ligne et des mots de passe, des renseignements sur les
comptes bancaires, des renseignements didentit, etc.
24
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Mega Metals Inc., une entreprise qui transforme de la ferraille depuis 30 ans, a t victime de
fraude en 2015 lorsque la scurit du compte de courrier lectronique utilis par un courtier
dItalie a t compromise.
25
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
26
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Dans certains cas, les cybercriminels obtiennent un accs illimit au rseau interne dune
organisation en dissimulant des points daccs sans fil non autoriss sur le rseau. Les employs
mcontents ou dautres membres du personnel ayant des intentions malveillantes, et prenant
lidentit de membres du personnel dentretien ou dun agent de scurit, sont habituellement
responsables du placement de ces dispositifs. Il est extrmement facile pour les cybercriminels
dutiliser les rseaux sans fil pour simmiscer dans les organisations sans mettre les pieds dans
leurs locaux. Il est donc essentiel de mettre en uvre de vigoureuses mesures de protection de la
scurit pour attnuer ces risques.
Veiller ce que chaque dispositif sans fil soit autoris tre raccord un rseau en fonction dun
besoin professionnel lgitime. Les organisations doivent refuser laccs tous les autres dispositifs sans
fil, y compris les appareils Bluetooth.
Effectuer une analyse de vulnrabilit des rseaux sans fil. Cette analyse permettra de dceler les
vulnrabilits dans le rseau sans fil et de dterminer les dispositifs non autoriss sur le rseau.
Dployer un systme de dtection dintrusions sans fil (SDISF) pour reprer les dispositifs sans fil non
autoriss, et dtecter les attaques et les compromissions russies. La plupart des principaux fournisseurs
de dispositifs sans fil vendent des solutions daccs sans fil universel, des pare-feu et des SDISF
destins aux petites entreprises pour moins de 1 000 $.
Dsactiver laccs sans fil sur les systmes informatiques sans besoins professionnels lgitimes. Afin de
rduire la probabilit quun employ active nouveau laccs sans fil, il convient dutiliser la
configuration matrielle de lordinateur qui est accessible lamorce du systme, puis de dsactiver
laccs sans fil et dexiger un mot de passe quiconque tente de pntrer dans la configuration
matrielle de lordinateur
tout le moins, veiller ce que la totalit du trafic dans le rseau sans fil soit protge par chiffrement
selon la norme Advanced Encryption Standard (AES) et la protection Wi-Fi Protected Access 2
(WPA2).
tout le moins, veiller ce que les rseaux sans fil utilisent des protocoles dauthentification comme
Extensible Authentication Protocol-Transport Layer Security (EAP/TLS).
Dsactiver les fonctions de rseau sans fil point point des clients.
Dsactiver laccs priphrique sans fil des dispositifs (notamment les appareils Bluetooth), moins
quil existe un besoin professionnel lgitime.
27
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Des pirates ont vol 45 millions de dossiers de clients notamment des millions de
numros de carte de crdit de The TJX Companies Inc., en simmisant dans le rseau
local sans fil de la clientle de dtail de cette socit.
TJX avait protg son rseau sans fil laide du protocole Wired Equivalent Privacy
(WEP) lune des formes de scurit des rseaux locaux les plus faibles. Selon le Wall
Street Journal, les pirates se sont introduits dans le protocole de chiffrement WEP utilis
pour transmettre des donnes dappareils de vrification des prix, de caisses enregistreuses
et dordinateurs dans un magasin du Minnesota. Les intrus ont ensuite recueilli des
renseignements fournis par les employs qui se branchaient la base de donnes centrale
de la socit, au Massachusetts, et ont vol des noms dutilisateur et des mots de passe.
laide de ces renseignements, ils ont cr leurs comptes dans le systme de TJX. Sur une
priode de 18 mois, leur logiciel a recueilli des donnes sur les oprations, notamment des
numros de carte de crdit, dans une centaines de gros fichiers.
Selon les analystes, linfraction la scurit aurait cot environ 1 milliard de dollars la
socit, sans compter les frais de litige.
Mettre en uvre une politique daccs distance et former le personnel pour quil
la respecte.
Laccs distance ne doit tre autoris qu laide de technologies de RPV protg.
Configurer le RPV protg de manire interdire la tunnellisation partage.
Surveiller et consigner toutes les sances par accs distance.
Exiger lauthentification double facteur pour toutes les sances par accs distance.
28
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Les attaques au moyen doutils distance ont retenu lattention depuis latteinte massive
aux donnes des magasins Target en 2013; des pirates ont envahi les systmes de point de
vente de Target en utilisant un compte daccs distance appartenant une entreprise de
chauffage, ventilation et climatisation.
Plus rcemment, les pirates ont infiltr les systmes de paiement de plusieurs restaurants
et entreprises de services alimentaires du Nord-Ouest des tats-Unis en utilisant un
compte daccs distance appartenant un fournisseur de systmes de point de vente.
Dans cet incident, un compte LogMeIn utilis par le fournisseur afin dappuyer et de grer
distance les rseaux de service la clientle a t corrompu, puis utilis pour placer un
logiciel de vol de donnes sur les systmes de point de vente appartenant aux clients
du fournisseur.
29
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Bien quil soit essentiel de protger le primtre du rseau dune organisation contre les menaces
provenant dInternet, il est tout aussi important que les systmes soient eux-mmes protgs
contre les tentatives de piratage. De mme, les ordinateurs de la socit qui sont utiliss pour
avoir accs aux ressources de lentreprise distance devraient tre dots des mmes contrles de
scurit que les ordinateurs sur place.
Voici des recommandations visant protger les systmes dinformation contre les menaces, tels
les ranongiciels et les virus :
Les fournisseurs, tels Norton et McAfee, vendent des solutions de scurit terminales intgres
pour les systmes informatiques personnels, de petites entreprises et de socits cot
trs raisonnable.
30
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Le concept Apportez votre quipement personnel de communication (AVEC) est de plus en plus
populaire dans le milieu des affaires. Il sagit dune dmarche qui permet aux employs dapporter
leur propre matriel (p. ex., leur ordinateur portable, leur tlphone intelligent et leur tablette) leur
lieu de travail et de lutiliser pour avoir accs aux applications et aux donnes de lorganisation. Bien
que cette politique prsente de vritables avantages, elle comporte galement dimportants risques. .
Par exemple :
Une entreprise devrait effectuer une vrification des risques et demander un avis juridique avant
de dcider si elle doit autoriser le concept AVEC et si elle peut grer les risques qui y sont
associs. Si elle dcide dadopter le concept, elle devrait mettre en uvre une srie de mesures
dattnuation des risques et des contrles. Compte tenu du fait que lapplication du concept
AVEC en milieu de travail a donn lieu de nombreux cas datteinte la scurit des donnes, xv
il est important que les entreprises envisagent la possibilit dappliquer une vaste politique fonde sur
le concept AVEC. tout le moins, cette politique devrait englober les lments suivants : xvi
31
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Les petites et moyennes entreprises ont accs aux options de sauvegarde suivantes :
Disque dur (USB) pour ordinateur portable ou personnel
o Un processus automatis peut effectuer une sauvegarde priodique de chaque
systme dinformation.
Serveur
o Les donnes importantes des utilisateurs peuvent tre sauvegardes sur un serveur
branch au rseau. Un processus automatis du serveur sauvegarde ensuite
priodiquement les donnes sur les utilisateurs.
Aprs une rcupration coteuse et fastidieuse du disque dur, seulement 80 % des donnes
ont pu tre recouvres, ce qui a entran la perte de prcieuses donnes darchive pour la
socit (prparation des comptes) et des travaux en cours (tenue de registres).
32
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Les contrles daccs dterminent la faon dont les employs lisent leurs courriels, ont accs
leurs documents et se branchent dautres ressources rseau. Les contrles daccs correctement
appliqus permettent de garantir la protection de la proprit intellectuelle et des donnes de
nature dlicate contre leur utilisation, leur divulgation et leur modification non autorises.
Voici des recommandations touchant la gestion des comptes dutilisateur et les contrles
daccs :
Dans le cadre dune lente cyberattaque lance en Chine contre les rseaux du Bureau de la
gestion du personnel des tats-Unis, les auteurs ont obtenu laccs rseau authentifi au
rseau du Bureau en compromettant un compte dutilisateur sans privilge du domaine
Active Directory du Bureau appartenant un sous-traitant KeyPoint.
Ils se sont servi de cet accs authentifi sans privilge pour obtenir la liste de tous les
utilisateurs avec privilges du dploiement Active Directory du Bureau, et ils ont ensuite
suivi la liste de privilges dActive Directory ( laide de lun de ces deux vecteurs
dattaque) pour compromettre un des comptes dutilisateur avec privilges pour avoir
accs aux bases de donnes SF-86 et SF-85.33Ils ont ensuite exfiltr les donnes.
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Le contrle gr des systmes informatiques et des logiciels joue un rle crucial dans le maintien
de la scurit de lorganisation. Il est essentiel didentifier et de grer tous les systmes
informatiques pour que seuls les systmes autoriss aient accs au rseau. Il est tout aussi
important de veiller ce que seuls des logiciels autoriss soient installs et que lexcution de
logiciels non autoriss soit interdite. Les mises jour ou correctifs les plus rcents ne sont
gnralement pas installs sur les systmes et applications non autoriss, et parfois peu srs.
Par consquent, ces systmes sont habituellement plus susceptibles dtre exploits.
Dployer et tenir jour un outil automatis de recherche des actifs, et lutiliser pour
mettre au point un relev des systmes branchs au rseau priv et public
de lorganisation.
Se brancher au serveur au moyen du Dynamic Host Configuration Protocol (DHCP) afin
damliorer le relev des actifs et dtecter les systmes inconnus laide des
renseignements fournis par le protocole.
Veiller ce que le systme de relev soit mis jour lorsque de nouveaux appareils
approuvs se raccordent au rseau.
Dployer le Network Access Control (NAC) et lauthentification rseau laide du
protocole 802.1x. Ces services de scurit empchent des dispositifs non autoriss de se
brancher au rseau.
Utiliser les certificats des clients pour valider et authentifier les systmes avant de les
brancher un rseau.
Un groupe de pirates actifs ltranger ont creus dans les systmes informatiques de la
banque JPMorgan Chase, compromettant les noms, adresses, numros de tlphone et
adresses courriel de 76 millions de mnages et de 7 millions de petites entreprises.
Les pirates ont obtenu une liste des applications et programmes excuts sur les
ordinateurs de la banque, quils pouvaient contrevrifier laide des vulnrabilits
connues de chaque programme et application Web, la recherche dun point dentre
dans les systmes de la banque. Lorsque lquipe de la scurit de la banque a dcouvert
lattaque, les pirates avaient dj obtenu le niveau de privilge administratif le plus lev
pour des dizaines de serveurs de la banque.
34
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
La planification et la prparation en vue dun incident de cyberscurit reprsente lun des plus
grands dfis dune organisation. Lorsque survient un incident de cyberscurit, il faut prendre
des mesures et attnuer, ds que possible, les menaces la confidentialit, lintgrit et la
disponibilit des actifs informationnels de lorganisation.
La gestion des cyberincidents permet dattnuer les risques associs aux menaces internes et
externes et aide lorganisation se conformer la rglementation, le cas chant. Une
organisation doit tre prte grer les incidents qui peuvent provenir de plusieurs sources,
notamment les membres du personnel agissant dans un dessein malveillant, les membres du
personnel dignes de confiance dont les actes causent des dommages par faute, et les
cybercriminels qui lancent des attaques.
La complexit des programmes malveillants et des techniques appliques par les cybercriminels
continue de crotre rapidement et, par consquent, les incidents de cyberscurit sont de plus en
plus courants. Les organisations doivent mener un dur combat aux cybercriminels qui, avec le
temps et largent, peuvent dtruire les mesures de protection les plus complexes.
Les organisations doivent faire preuve de diligence raisonnable et prendre les mesures qui
conviennent pour intervenir correctement en cas de cyberincident. Une intervention mal excute
peut entraner de lourdes pertes financires pour lorganisation, ruiner sa rputation et peut-tre
mme la mener tout droit la faillite. xvii Par consquent, il est ncessaire dlaborer et
dappliquer un plan dintervention en cas dincident afin de dtecter rapidement les incidents, de
limiter les pertes et la destruction, dattnuer les faiblesses des systmes dinformation, et de
garantir la reprise des activits aprs un incident de cyberscurit.
35
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Les dfinitions qui suivent reposent sur la Norme internationale de gestion des incidents de
scurit de linformation (ISO/IEC 27035). xviii
INCIDENT DE CYBERSCURIT
vnement ou srie dvnements
non souhaits ou inattendus lis la
scurit de linformation, qui sont
susceptibles de compromettre
sensiblement les activits
oprationnelles et qui menacent la
scurit de linformation.
36
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
1. La premire phase comprend la planification et la prparation pour que votre organisation soit
prte en cas dincident de cyberscurit.
2. La phase de dtection et de signalement comprend la surveillance permanente des sources
dinformation, la dtection dun vnement de cyberscurit, et la collecte et la consignation de
linformation associe lvnement.
37
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
38
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
En juin 2015, la Loi sur la protection des renseignements personnels numriques a modifi une
loi canadienne fondamentale, la Loi sur la protection des renseignements personnels et les
documents lectroniques (LPRPDE), pour indiquer que lorganisation devra aviser le
commissaire la protection de la vie prive et les personnes vises de toute atteinte aux
mesures de scurit qui a trait des renseignements personnels dont elle a la gestion, sil est
raisonnable de croire, dans les circonstances, que latteinte prsente un risque rel de prjudice
grave lendroit dun individu. La Loi sur la protection des renseignements personnels
numriques prvoit des amendes pouvant atteindre 100 000 $ pour le non-respect en
connaissance de cause des exigences de signalement dune infraction aux mesures de scurit, et
lexigence de conserver et de tenir jour un registre des infractions concernant les mesures de
scurit portant sur les renseignements personnels dont lorganisation a la garde.
Les exigences de notification comprises dans les rglements qui ne sont pas encore promulgus
ne seront pas mises en vigueur. Il est vident que le non-respect des exigences canadiennes de
signalement dune infraction volue et que les socits canadiennes doivent faire preuve de
vigilance cet gard.
Les dispositions de la LPRPDE ne sappliquent pas dans les provinces qui disposent de lois sur
la protection des renseignements personnels qui, de lavis du gouvernement fdral, sont
essentiellement semblables la LPRPDE. lheure actuelle, seules les provinces de lAlberta,
de la Colombie-Britannique et du Qubec appliquent de vastes lois sur la protection des
renseignements personnels dclares essentiellement semblables la LPRPDE. Mais seule la loi
de lAlberta renferme des dispositions de signalement obligatoire des infractions aux mesures de
scurit. Les socits ont lobligation dtre au courant du signalement dune infraction dans
chacun des territoires o elles exercent des activits et dappliquer des politiques internes
conformes aux lois applicables.
Les cybermenaces sont prsentes lchelle plantaire et elles ne se limitent pas une socit,
un secteur ou un march. Lchange de renseignements est un lment essentiel dun
programme efficace de cyberscurit. De plus en plus dans le secteur financier, la cyberscurit
est perue comme un bien collectif par les intervenants du march. Des doutes au sujet de
lintgrit dun intervenant peuvent rapidement en toucher dautres. On note un empressement
participer au partage des pratiques exemplaires en cyberscurit et des renseignements sur les
menaces entre les membres du secteur financier.
En outre, le libell de la Loi sur la protection des renseignements personnels numriques est plus
permissif que celui des lois antrieures et il permet aux organisations de partager entre elles des
renseignements afin de dtecter ou de supprimer les possibilits de fraude. Il est galement plus
permissif au chapitre du partage de renseignements dans le cadre dune enqute sur une
39
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
infraction, ou une attente raisonnable dinfraction un accord ou une loi du Canada ou dune
province. Mme si les lois antrieures exigeaient lexistence dun organisme denqute accrdit,
la nouvelle loi semble permettre aux secteurs de partager plus efficacement des renseignements
sur la cyberscurit ou dautres renseignements lis la scurit dans le but de protger leurs
intrts. Le secteur canadien des valeurs mobilires est bien positionn pour suivre les secteurs
des services bancaires et des assurances afin de mettre en place des ententes spciales et
structures de partage des renseignements lappui des programmes de cyberscurit
des socits.
Pour les courtiers membres, il existe diverses possibilits et tribunes de partage proactif des
renseignements. Scurit publique Canada exploite le Centre canadien de rponse aux incidents
cyberntiques (CCRIC) dans le but exprs de faciliter le cyberchange de renseignements entre
les secteurs canadiens et avec le gouvernement du Canada. Le Centre comprend lun des
laboratoires de lutte aux programmes malveillants les plus modernes du Canada et il peut fournir
une aide prcieuse aux courtiers membres qui ont t victimes de cybermenaces.
Le Financial Services Information Sharing and Analysis Center (FS-ISAC) est une ressource
mondiale de partage de renseignements visant prcisment les cybermenaces et les menaces
physiques diriges contre la communaut financire mondiale. Le FS-ISAC recherche
constamment auprs de ses membres des donnes sur les menaces qui pourraient les toucher, afin
dmettre des avis proactifs sur dventuelles menaces.
Les exemples qui prcdent ne reprsentent que deux des nombreuses collectivits qui partagent
des renseignements et pratiques exemplaires de cyberscurit. Ces collectivits appliquent le
principe selon lequel la cyberscurit efficace est un bien collectif et quun incident de scurit
dans une institution constitue le rapport de pr-alerte de la collectivit. Les courtiers membres
sont invits appuyer ces collectivits laide de rapports dincident pertinents et mettre
contribution les renseignements reus dans le cadre du partage de linformation afin doptimiser
leurs programmes de cyberscurit.
Microsoft formule les huit recommandations qui suivent pour le partage des renseignements. xxii
40
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
4. Insister sur le partage des renseignements sur les menaces, les vulnrabilits et
lattnuation pouvant servir la mise en place de mesures.
Le partage de renseignements pouvant servir la mise en place de mesures permet
lorganisation damliorer la dfense de ses rseaux et dattnuer les menaces.
41
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
3.13 Cyberassurance
Lassurance lie aux infractions la scurit des donnes en vertu des polices commerciales
traditionnelles est devenue de plus en plus incertaine. Au dbut des annes 2000, les socits
dassurances ont commenc offrir des polices portant spcifiquement sur la protection contre
les pertes financires engendres par des infractions la scurit des donnes.
La protection dassurance lie certaines pertes peut tre offerte dans le cadre de certaines
polices de type traditionnel :
Administrateurs et dirigeants (A et D)
Erreurs et omissions (E et O) / Responsabilit professionnelle
Crime / Vol
Biens
Responsabilit civile gnrale (RCG)
Dans bien des cas, lassurance traditionnelle nembrasse pas toute la gamme des risques et les
pertes ventuelles que posent les cyberrisques. ltape de lexamen des assureurs ventuels, il
importe de savoir que cette sous-spcialit demeure ltape de llaboration; il nexiste donc
pas de clauses standard au sein du secteur.
Une pratique exemplaire consiste examiner minutieusement les dispositions des polices
dassurance gnrale de la socit et des administrateurs et dirigeants en ce qui concerne les
demandes de rglement pour infractions la scurit des donnes et la protection des
renseignements personnels, et veiller ce quaucune demande de ce type ne soit exclue. Dans
le cadre dune vaste stratgie de cyberscurit, il convient de dterminer le type et la porte de la
protection qui correspond le mieux aux intrts de lentreprise, et de chercher une police
dassurance adapte qui englobe tous les risques auxquels un cyberincident pourrait exposer
lentreprise.
42
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Une protection rtroactive constitue une importante possibilit. Il faut compter des mois, voire
des annes, avant de dcouvrir des cyberinfractions; par consquent, les membres doivent savoir
quils ont peut-tre dj t victimes dune infraction non dtecte lorsquils soumettent une
demande de police dassurance. Dans certains cas, les socits dassurance accepteront doffrir
une protection rtroactive pouvant atteindre deux ans avant de souscrire une police. Cet avenant
dpend dans une large mesure du profil de risque exclusif de lassur ventuel et de la nature du
programme de cyberscurit.
Une protection type offerte dans le cadre de polices de cyberscurit peut comprendre les
lments suivants :
43
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Le nombre dincidents de scurit survenus dans des socits et qui sont imputables aux
systmes des clients, des partenaires et des fournisseurs est pass de 20 % en 2010 28 % en
2012. xxiii Lexemple le plus connu de risque de fournisseur est linfraction massive touchant les
donnes de Target Corp, en 2013; cette occasion, des pirates ont obtenu laccs aux donnes de
cartes de crdit grce un sous-traitant du domaine du chauffage et de la climatisation. Jusqu
40 millions de numros de carte de crdit et de dbit ont t exposs.
Les lments essentiels dun programme de gestion des risques de fournisseur comprennent le
classement des fournisseurs en fonction des risques, ltablissement de politiques prcises que
les fournisseurs doivent respecter, lintgration de conditions explicites dans les contrats, et la
mise au point dun programme visant vrifier le rendement des fournisseurs.
De nos jours, il est presque impossible de trouver une entreprise qui ne sen remet pas des
fournisseurs. Compte tenu du risque que pose la relation avec un tiers fournisseur, les entreprises
intgrent les pratiques de scurit de ces fournisseurs dans leur propre profil de risque. LOffice
of the Comptroller of the Currency (OCC), des tats-Unis, a labor un excellent cadre
permettant de crer un programme efficace de gestion du risque de fournisseur (voir la Figure 6
ci-dessus). Ce modle de cycle de vie souligne les principales tapes de planification
prliminaire, de diligence et de ngociation pour que les fournisseurs respectent les politiques de
scurit de lentreprise. Mme si la surveillance permanente est essentielle, il est tout aussi
44
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
important de planifier la cessation de la relation pour que laccs aux rseaux soit interrompu et
que les donnes confidentielles soient retournes.
Une pratique exemplaire consiste envisager la gestion du risque de fournisseur par niveau,
le premier tant rserv aux relations posant le plus grand risque. La stratification des
fournisseurs xxiv peut tre envisage sous langle des considrations suivantes :
45
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Pour tre efficace, la gestion des risques de fournisseur devrait tre intgre au programme de
gestion des risques de lorganisation et comporter des processus tablis et rptitifs uniformes
dans tous les services de lorganisation.
Sur une priode de cinq ans schelonnant de 2010 2014, des pirates trangers de
mche avec des initis des tats-Unis ont vol des renseignements dentreprise non
publics et ont effectu des tentatives payantes en infiltrant les serveurs de PRNewswire
Association LLC, Marketwired LP et Business Wire.
Les suspects ont eu recours des techniques dhameonnage et ont plant un code de
programmation malveillant dans des applications ou des sites Internet pour avoir accs
aux bases de donnes renfermant les communiqus des entreprises susmentionnes. Ils
ont ensuite tir profit de la priode comprise entre le moment o les socits dsignes
ont tlcharg les communiqus dans des fils de presse et la diffusion du contenu des
communiqus dans le public.
Ce stratagme reprsente la plus importante collaboration connue entre des pirates et des
initis; ils ont engrang des profits illgaux de 30 millions de dollars. Cette dmarche a
soulign le danger invisible des finances modernes et de lInternet; un lien compromis
dans la vaste chane peut lentement mettre le systme en danger pendant des annes.
3.14.1 Infonuagique
Dans sa forme la plus simple, linfonuagique correspond au stockage des donnes et leur accs
sur Internet plutt que sur le lecteur dun ordinateur. xxv Mme si ce concept prsente de
nombreux avantages, il comporte des risques semblables ceux associs limpartition des
fournisseurs tiers; toutefois, contrairement aux fournisseurs tiers, la principale activit dun
fournisseur de services dinfonuagique est le stockage dapplications essentielles et de donnes
de nature dlicate. Par consquent, la protection de la scurit et des donnes constitue la
principale proccupation de la plupart des entreprises qui envisagent de recourir cette option.
Les entreprises doivent tenir compte des risques et de menaces inhrentes, en plus des risques
quelles sont disposes assumer. Ces risques comprennent la non-disponibilit des donnes ou
des applications, la perte de donnes, et le vol et la divulgation non autorise de renseignements
de nature dlicate.
Outre les directives concernant lattnuation des risques, nonces la section portant sur la
gestion des fournisseurs, les entreprises qui envisagent de souscrire des services
dinfonuagique doivent trouver un fournisseur aux caractristiques suivantes : xxvi
46
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
La cration dune politique de scurit exige que la direction nonce ce quelle estime ncessaire
et les risques quelle est dispose assumer, plutt que de simplement tlcharger un modle
de politique de scurit. Une pratique exemplaire consiste mobiliser la direction de
lorganisation dans le cadre dun processus de sensibilisation au sujet des risques de scurit afin
dtablir un consensus clair entre les membres de la haute direction et avec eux, qui constituent
lautorit sur laquelle reposent llaboration et lexcution de la stratgie de cyberscurit.
Lexpression politique de scurit est utilise en connaissance de cause plutt que politique
de cyberscurit . La scurit englobe la scurit physique, la scurit du personnel, la
cyberscurit, de mme que lappui des pratiques de continuit des activits de lentreprise. Bien
que le prsent guide porte plus prcisment sur la cyberscurit, il est impossible dappliquer un
programme efficace de cyberscurit sans y intgrer les autres disciplines de la scurit.
47
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
La mise en uvre dune politique ne constitue pas un vnement unique; il sagit plutt dun
processus itratif rexamin au fil de lvolution des modles de lentreprise, des relations et des
changements technologiques. En labsence dune politique, la gouvernance du programme
de cyberscurit ne peut tre efficace, car il nexiste pas dorientations ou de lignes
directrices prcises qui permettent de prendre des dcisions relatives aux programmes.
48
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Vous trouverez ci-dessous les processus et procdures qui doivent tre en place avant, pendant et
aprs un incident de cyberscurit xxviii:
AVANT UN INCIDENT
Dresser une liste priorise des actifs informationnels dune importance critique pour
le bon fonctionnement de votre organisation.
Mettre sur pied une quipe dintervention en cas dincident qui sera charge de tous
les incidents (comprenant des reprsentants des services juridiques, des
communications et des ressources humaines).
PENDANT UN INCIDENT
49
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Organiser une tlconfrence avec les intervenants comptents pour faire le point sur
la situation avec la haute direction.
Conserver les lments de preuve et suivre une chane de preuves rigoureuse lappui
de toute mesure juridique ncessaire ou prvue.
Communiquer avec les tiers viss, les organismes de rglementation et les mdias
(si ncessaire).
APRS UN INCIDENT
Mettre jour le rapport dincident et dterminer exactement ce qui est arriv et quel
moment.
Vrifier dans quelle mesure le personnel et la direction ont bien agi au cours
de lincident.
Prciser les outils ou autres ressources ncessaires pour dtecter, trier, analyser et
attnuer les incidents futurs.
Dans la mesure du possible, quantifier les pertes financires causes par linfraction.
50
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Sources additionnelles :
Gestion des fournisseurs de lISACA laide de COBIT 5 xxx
Questionnaire sur linitiative dvaluation consensuelle de la Cloud Security Alliance
V3.0.1 xxxi
Raison sociale
Courriel
Numro de tlphone
Site Internet de la socit
Date de lvaluation
51
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
52
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
53
Configuration des systmes dinformation Rponse du fournisseur
Oui/Non/Mise en uvre partielle
55
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Annexe C Glossaire
La prsente section sinspire du guide du gouvernement du Canada intitul Pensez cyberscurit
pour les petites et moyennes entreprises titre de source faisant autorit pour permettre au
lecteur de mieux comprendre les termes et expressions cls utiliss dans le prsent document.
Attaque : Tentative dobtenir laccs non autoris des renseignements personnels ou propres
la socit, des systmes ou rseaux informatiques dans un dessein (habituellement) criminel.
Une attaque russie peut se traduire par une atteinte la scurit ou tre gnralement considre
comme un incident .
Cyber : Relatif aux ordinateurs, aux logiciels, aux systmes de communication et aux services
utiliss pour avoir accs Internet et interagir sur la toile.
Chiffrement : Conversion dune information en code ne pouvant tre lu que par les personnes
autorises et qui ont reu la cl ncessaire (et habituellement unique) et les logiciels spciaux
de manire pouvoir renverser le processus (p. ex., le dchiffrement) et utiliser linformation.
Correctif : Mise jour ou rparation dune forme de logiciel applique sans remplacement du
programme original. De nombreux correctifs sont fournis par des dveloppeurs de logiciels pour
corriger des vulnrabilits de scurit connues.
Hameonnage : Type prcis de pourriel qui cible une ou plusieurs personnes et qui se prsente
sous une forme lgitime, dans le but de frauder le destinataire ou les destinataires.
Logiciel malveillant : Logiciel cr et distribu des fins malveillantes. Le plus souvent, ce type
de logiciel prend la forme dun virus .
Menace : vnement ou acte potentiel (dlibr ou accidentel) qui pose un danger pour la
scurit de lorganisation.
56
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Mot de passe : Mot secret ou combinaison de caractres secrets utiliss pour authentifier leur
utilisateur.
Pare-feu : Type de barrire de scurit place entre divers rseaux. Il peut sagir de dispositifs
ddis ou dun ensemble de composantes et techniques. Seules les oprations autorises, dfinies
par la politique de scurit locale, sont autorises.
Pourriel : Courriel envoy sans la permission du destinataire ou que celui-ci na pas demand.
Sauvegarde : Processus qui consiste copier des fichiers dans un dispositif de stockage
secondaire, pour que ces fichiers soient accessibles en cas de besoin (p. ex., aprs une panne
dordinateur).
Serveur : Ordinateur membre dun rseau qui fait fonction de ressource partage pour dautres
processeurs rattachs au rseau (pour stocker et servir des donnes ou des applications).
Vol didentit : Copie des renseignements identitaires dune personne (notamment son nom et
son numro dassurance sociale) pour se faire passer pour elle afin de commettre un acte de
fraude ou une autre activit criminelle.
Wi-Fi : Rseau local (LAN) qui utilise les frquences radio pour transmettre et recevoir des
donnes sur une distance de quelques centaines de pieds.
57
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
Annexe D Bibliographie
NIST Cybersecurity Framework, Version 1.0, 2014
CGI, Cybersecurity in Modern Critical Infrastructure Environments , 2014
ENISA, Technical Guideline on Security Measures , Version 2.0, 2014
Scurit publique Canada. Scurit informatique et systmes de contrle industriel (SCI)
Pratiques exemplaires recommandes, 2012
xxxii xxxiii xxxiv xxxv
i
Publication spciale 800-53 du NIST, Security and Privacy Controls for Federal Information Systems and
Organizations
ii
Australian Signals Directorate. Strategies to Mitigate Targeted Cyber Intrusions, fvrier 2014
iii
Guide Pensez cyberscurit pour les petites et moyennes entreprises
iv
National Institute of Standards and Technology. Framework for Improving Critical Infrastructure Cybersecurity,
2014
v
Cyber-Ark. Security & Passwords Survey, 2012
vi
CERT Insider Threat Center, http://www.cert.org/insider-threat/
vii
Bunn, C. A Focus on Insider Threats in Banking & Financial Institutions, 2013
viii
Shaw, E.D. et H.V. Stock. Harley V. Stock, Ph.D. Behavioral Risk Indicators of Malicious Insider Theft of Intellectual
Property: Misreading the Writing on the Wall, 2011
ix
Price Waterhouse Coopers. 2015 Global State of Information Security Survey, 2015
x
CyberEdge Group. 2015 Cyberthreat Defense Report: North America & Europe, 2015
xi
The Council On CyberSecurity. The Critical Security Controls For Effective Cyber Defense, 2015, pp. 27-32
xii
Centre de la scurit des tlcommunications Canada. Exigences de base en matire de scurit pour les zones de
scurit de rseau au sein du gouvernement du Canada, 2007, p. 5
xiii
Scurit publique Canada. Scurit informatique et systmes de contrle industriel (SCI) Pratiques exemplaires
recommandes, 2012
xiv
Gouvernement du Canada. Guide Pensez cyberscurit pour les petites et moyennes entreprises,
http://www.pensezcybersecurite.gc.ca/cnt/rsrcs/pblctns/smll-bsnss-gd/index-fr.aspx
xv
Trend Micro. Mobile Consumerization Trends & Perceptions: IT Executive and CEO Survey, 2012
xvi
Fraud Advisory Panel. Bring your own device (BYOD) policies, 2014
xvii
ISACA. Incident Management and Response, 2012
xviii e
ISO/IEC. ISO 27035-2 (2 bauche de travail), Technologies de linformation -- Techniques de scurit -- Gestion
des incidents de scurit de linformation Partie 1 : Principes de gestion des incidents
xix
Government of South Australia. ISMF Guideline 12aCybersecurity Incident Reporting Scheme, 2014
xx
Experian Data Breach Resolution. Data Breach Response Guide, 2013
xxi
Luiijf, E. et A. Kernkamp. Sharing Cyber Security Information: Good Practice Stemming from the Dutch Public-
Private-Participation Approach, mars 2015
xxii
Goodwin, C. et J.P. Nicholas (Microsoft). A Framework for Cybersecurity Information Sharing and Risk Reduction,
2015
xxiii
PwC. Global State of Information Security Survey, 2013.
xxiv
Ibid.
xxv
Eric Griffith. What Is Cloud Computing?, http://www.pcmag.com/article2/0,2817,2372163,00.asp, avril 2015
xxvi
ISACA. Security Considerations for Cloud Computing, 2012
xxvii
CSO Online. How to write an information security policy, consultable
http://www.csoonline.com/article/2124114/strategic-planning-erm/how-to-write-an-information-security-
policy.html
xxviii
Hewlett-Packard. Executive breach response playbook: How to successfully navigate the enterprise through
a serious data breach, 2015
58
Pratiques exemplaires en matire de cyberscurit lintention des
courtiers membres de lOCRCVM
xxix
University of British Columbia. Third-Party Assessment Questionnaire
https://it.ubc.ca/sites/it.ubc.ca/files/3rd%20Party%20Outsourcing%20Information%20Security%20Assessment%2
0Questionnaire%20V1.4.xlsx
xxx
ISACA. Vendor Management using COBIT 5, http://www.isaca.org/Knowledge-
Center/Research/ResearchDeliverables/Pages/VendorManagementDownload.aspx
xxxi
Cloud Security Alliance. Consensus Assessments Initiative Questionnaire V3.0.1.
https://downloads.cloudsecurityalliance.org/initiatives/cai/caiq-v3.0.1.zip
xxxii
http://www.antifraudcentre-centreantifraude.ca/fraud-escroquerie/types/phishing-hameconnage/index-
fra.htm
xxxiii
http://www.cbc.ca/news/technology/ashley-madison-data-dump-what-s-at-risk-and-for-whom-1.3199031
xxxiv
http://www.law360.com/articles/662840/sec-finra-officials-talks-cyberbreach-enforcement
xxxv
http://www.cbc.ca/news/canada/nova-scotia/cryptowall-virus-hits-some-mahone-bay-and-bridgewater-town-
computers-1.3171424
http://www.cbc.ca/news/world/100m-cybercrime-ring-busted-by-u-s-led-team-of-investigators-1.2662871
59