Blogue Present

Mois de la sensibilisation à la cybersécurité: Entrevue avec notre CISO Michel Fecteau

Entrevue avec notre CISOOctobre marque le mois de la sensibilisation à la cybersécurité. Pour l’occasion nous nous sommes entretenu avec Michel Fecteau notre CISO (chief information security officer) chez Present. Michel qui est chez Present depuis 26 ans maintenant est un expert en matière de cybersécurité. Lors de cet entretien, nous avons discuté des menaces auxquelles s’exposent les entreprises, de la nouvelle Loi 25, des tendances et prévisions dans les TI et de la sensibilisation et formation des employés. 


Avec le travail à domicile devenu assez courant depuis le COVID, on sait que cela a crée des inquiétudes chez les professionnels de la cybersécurité. En effet, en travaillant de la maison, les postes de travail se trouvent à domicile. Les politiques de BYOD (apportez votre propre appareil) peuvent aussi exposer les entreprises à des menaces. Pourrais-tu nous partager quelles mesures préventives tu recommande aux entreprises afin de combler ces lacunes en matière de cybersécurité? 

La notion du BYOD est déjà un problème en soi, car cet ordinateur peut être un ordinateur familial. Cela veut donc dire que les enfants peuvent s’en servir aussi. Donc on a une exposition extrêmement grande à des attaques d’hameçonnage sur le poste de travail. Les ordinateurs corporatifs se trouvent dans la même situation, car les enfants ou autres membres de la famille peuvent se connecter dessus. Je suggère que les activités personnelles de la famille ne devraient pas avoir lieu sur un ordinateur corporatif. En parlant de postes de travail corporatifs, il faut aussi s’assurer que ces ordinateurs soient munis de règles de conformité (antivirus, MDR, SIEM, filtering, etc.). Les communications avec les ressources d’entreprise doivent aussi être validées par un MFA. Cela constitue déjà 95% de la solution!


Le télétravail signifie travailler de la maison certes, mais cela peut aussi signifier travailler à partir d’un café, d’un aéroport ou d’un hôtel. En se connectant à un réseau wifi public, on le sait, on expose son ordinateur à des menaces extérieures. 

Tout à fait! Je suggère donc de se munir d’un VPN surtout pour l’accès aux ressources corporatives, ainsi le canal sera crypté. Toutefois, à cause du « split tunnel » (un type de configuration du réseau qui distribue les communications ), cela demeure une source de données vulnérables. Ceci est aussi quelque chose qu’il faut prendre en compte avec un téléphone corporatif sur lequel on utilise des applications Cloud. De manière générale il faut se méfier des ressources publiques.


On parle souvent de la mise en place de stratégies de cybersécurité comme la sécurité gérée auprès des PME. En te basant sur ton expérience, quelles sont les idées fausses qui circulent au sein des entreprises quand on parle de cybersécurité ?

Le plus commun c’est le fait de dire que l’entreprise est trop petite pour être une cible potentielle. Mais cela est totalement faux. Dis-toi que si un pirate réussit à détourner 1000$ auprès de 1000 entreprises, on comprend que cela devient vraiment lucratif. On parle ici d’ « attaques d’opportunités ». En effet, 90% des attaques ne sont pas menées par des gens d’expérience qui ont trouvés, détectés et travaillés fort pour trouver la faille; mais souvent c’est des gens qui suivent tout genres de tutoriels disponibles en ligne (via le DarkWeb). Donc tu as des gens de tout âge et toute profession qui chez eux, peuvent scanner des centaines de vunérabilités dans du monde entier afin de détecter une faille. On ne parle pas ici d’attaques ciblées ou corporatives au sein de grandes entreprises. Devenir un pirate informatique c’est devenu très facile. Plusieurs entreprises voient à tort les TI comme une source de dépense. Il ne faut pas attendre de se faire attaquer pour réaliser l’ampleur qu’une attaque peut avoir sur la productivité d’une entreprise.


On est d’accord, en cas d’attaque une entreprise peut devenir figée, elle ne produit plus rien, mais doit rémunérer ses employés. On a un potentiel de perte énorme. On ne parle même pas de si l’entreprise paye la rançon ou n’a pas de plan de relève. 

Effectivement, et payer la rançon n’est pas une garantie que l’entreprise retrouvera ses données. L’entreprise peut même être victime de chantage. Les données peuvent être récupérées certes, mais les pirates sont toujours en possession et rien de les empêche de les diffuser massivement. Le risque 0 n’existe pas, des failles, il y en a partout et il faut donc un plan de « Réponse au incidents » bien défini en cas d’attaque.

Webinaire - 15 essentiels

La Loi 25 rend-elle ces mesures obligatoires? 

La Loi 25 stipule de protéger les données « personnelles ». Mais pas nécessairement les données d’entreprise. Il y a une petite nuance. Mais c’est certain que ça va ensemble. Si l’entreprise n’est pas protégée au niveau de ses données d’entreprise, c’est d’autant plus facile d’accéder aux données personnelles des clients et des employés.  
 

Pourrais-tu nous parler des tendances et des prévisions dans le domaine de la cybersécurité pour les prochains mois à venir? 

Je te dirais qu’on assiste à de plus en plus d’attaques menées par des amateurs. Des vrais adversaires avec des cibles nichées, ça se fait de plus en plus rare. Les proof of concept sont désormais diffusés sur le Dark Web et certain sont même vendu « As a Service ». Résultat, les attaques sont de plus en plus ce qu'on qualifie d'attaques d’opportunité. Les attaques sont donc multipliées, car l'ingénierie sociale est de plus en plus répandu. 
 

Pourrais-tu partager avec nous une attaque qui a eu lieu lors des derniers mois et qui t’a particulièrement marquée? 

Oui j’en ai une en tête. Une compagnie étaient dans le processus de mettre en place des outils de protection, mais tout n’était pas complété. Une partie était en cours de développement et de traitement. Ils avaient un EDR, mais pas de SIEM ni de MFA et les politiques internes de gestion des compte administratifs n’étaient pas en place. Cela a eu pour conséquence qu’un point d’entrée a été fait par un hameçonnage (comme 90% des points d’entrée). Une fois entré, l’adversaire a utilisé des outils du système d’exploitation rendant cela impossible à être détecté par un antivirus. C’étaient des commandes de base orchestré afin de s’infiltrer dans le réseau et obtenir des données supplémentaires afin de mener une attaque. Donc le système d’alerte ne pouvait pas être déclenché par ces simples activités. Ils n’avaient pas de SIEM qui aurait pu détecter des comportements sur le réseau qui étaient anormaux. C’est aussi pour ça que les politiques de gestion des comptes à hauts privilèges est extrêmement important. C’est probablement la première chose à faire au sein d’une entreprise. Je suggère aussi d’avoir comme base de protection un EDR, un MFA pour limiter les accès et un SIEM pour la surveillance réseaux. Ce sont les étapes de base pour la protection.  
 

Comment les dirigeants d’entreprise peuvent se tenir au courant des changements constants et des nouveaux types d’attaques en TI ? 
 
La meilleure solution pour une entreprise qui ne veut pas se casser la tête avec ça c’est de se munir des services gérés et d’avoir une équipe à l’externe qui lui gère la sécurité et se tient au courant des tendances en sécurité TI. En tant qu’entreprise si tu t’occupes de cela, ça devient très prenant et tu n’auras pas le temps de te concentrer sur ta business.  
 

Enfin, comment les entreprises devaient-elles sensibiliser leurs employés à la cybersécurité? 

Les campagnes d’hameçonnage et la formation aux utilisateurs restent les meilleures approches. La majorité des points d’entrée sont les utilisateurs. Envoyer massivement de faux courriels d’hameçonnage permet de mettre le doigt sur les maillons faibles. Renforcer la notion de cybersécurité auprès des individus est essentiel. Avoir des politiques en matière de cybersécurité strictes et les faire signer par ses employés est aussi une technique grandement utilisée afin d’encourager les employés à rester vigilants. Ça permet de responsabiliser les employés!

Conclusion

Si vous deviez retenir une seule chose de cette entrevue, c’est bien que la cybersécurité reste un domaine d’expertise très large. C’est pourquoi la sécurité TI devrait être prise en charge à l’externe par une équipe envers laquelle vous pouvez avoir confiance. Nous te remercions Michel d'avoir pris le temps de partager tes précieuses connaissances avec nous!

Nous serons votre allié sécurité afin que vous puissiez vous concentrer sur votre entreprise, l’esprit tranquille.

New call-to-action

À propos de ce blogue

La bonne utilisation de la technologie relève les défis de l'entreprise et stimule la croissance de l'entreprise dans tous les domaines d'une entreprise. Nous espérons que ce blog vous donnera un aperçu du développement de stratégies et de tactiques pour vous permettre d'identifier ces principaux moteurs de croissance et de suivre le rythme et d'anticiper les changements technologiques rapides d'aujourd'hui.

S'inscrire au blogue