14 septembre 2016 - L'ASIQ · ASIQ –14 SEPTEMBRE 2016 2 Une petite équipe de 4 personnes qui gérait les infrastructures Internet du Gouvernement du Québec … SERVICES INTERNET

14 septembre 2016

1

1ère partie:

M. Pierre McKenzie, retraité du Gouvernement du Québec, co-fondateur de l’ ASIQ et fondateur du CERT/AQ. Il partagera la perspective sur les enjeux de l’époque ainsi que la vision d’affaires pour le CERT/AQ.

2e partie :

Mme Karine Savoie, Chef du Service de la sécurité informatique gouvernementale au ministère de la Sécurité publique traitera de la création du Service de la sécurité informatique gouvernementale (SSIG), qui réunit le CERT/AQ et le COSIG, représente la création d’un pôle d’expertise, par lequel toute une gamme de services de sécurité de l’information, répondant à l’évolution des menaces et des besoins de l’état, pourra être offerte aux organismes publics québécois.

ASIQ – 14 SEPTEMBRE 2016

1

Histoire

Pierre McKenzieRetraité

Ex membre du CERT/AQ et de l’ASIRQ

du

Il était une fois …


2

Une petite équipe de 4 personnes qui gérait les infrastructures Internet du Gouvernement du Québec …

SERVICES INTERNET ET INTRANET

Schéma conceptuel de l’ancienne architecture intermédiaire

INTERNETQUÉBEC MONTRÉAL

M/O M/O M/O

SWITCHPROBE

NETRANGERPROBE

NETRANGERPROBE

CACHEENGINE

DISTRIBUTEDDIRECTOR

DISTRIBUTEDDIRECTOR

CATALYST 6000AVEC MSFC

PIX 515

NETSONAR

SERVICES INTERNET

DNSRelaisSMTP FTP

2924

CATALYST2924

WEB 20 Mbps

CDA DNSSMTPPOP3 FTP

RICIB

QIXRISQ

VidéotronCogécoQuébecTel

PIX 515

CATALYST 6000AVEC MSFC

Équipements de relèveet laboratoire

DGT

Téléglobe UUNet

Internetmétropolitain

Montréal


3

Infrastructure Internet

Passerelles de sécurité

Fibre optique

Sonde

Ancienne infrastructure Internet

Serveurs FTP

Serveurs DNS et SMTP

Ancienne infrastructure Internet


4

Cette petite équipe a été appelée à participer sur une base hebdomadaire à des conférences téléphoniques avec des spécialistes en cybersécurité du Gouvernement canadien et des autres provinces.

La même formule de conférences téléphoniques a été mise en place pour certains ministères et organismes du Gouvernement du Québec

Cette petite équipe a été appelée à participer sur une base hebdomadaire à des conférences téléphoniques avec des spécialistes en cybersécurité du Gouvernement canadien et des autres provinces.

La même formule de conférences téléphoniques a été mise en place pour certains ministères et organismes du Gouvernement du Québec

Les appels-conférences étaient organisés par Sécurité publique et Protection civile Canada (SPPCC)


5

Le SPPCC du Gouvernement fédéral faisait appel à la firme EWA pour les appels-conférences

Soudainement, les infrastructures Internet ont été privatisées.

On décida alors d’affecter la petite équipe à la cybersécurité à plein temps.


6

L’équipe des infrastructures Internet avait 2 atouts pour jouer ce rôle:

Expertise des infrastructures Internet de haut niveau

Expertise embryonnaire en cybersécuritégrâce aux appels conférences hebdomadaires du réseau pan canadien

L’équipe des infrastructures Internet avait 2 atouts pour jouer ce rôle:

Expertise des infrastructures Internet de haut niveau

Expertise embryonnaire en cybersécuritégrâce aux appels conférences hebdomadaires du réseau pan canadien

Pour atteindre un haut niveau d’expertise en cybersécurité, les membres de l’équipe ont suivi des cours auprès d’institutions hautement reconnues

Pour atteindre un haut niveau d’expertise en cybersécurité, les membres de l’équipe ont suivi des cours auprès d’institutions hautement reconnues

Etc…


7

Know Your Enemy …

D’où vient CERT/AC ? D’où vient CERT/AC ?


8

AusCERTAustralian Computer Emergency Response Team

BCERTBoing CERT

Cert-ISTCERT Industries, Services & Tertiaire

CERT/CCCERT Coordination Center

CERTACERT-Administration

US-CERTUS Computer Emergency Readiness Team

CSIRTComputer Security Incident Response Team

ISIRTInformation Security Incidence Reponse Team

CIRTComputer Incidence Response Team

ERIIÉquipe de réponse aux incidents informatiques


9

Le nom retenu

CERT/AQ

CERT de l’Administration Québécoise

Le nom retenu

CERT/AQ


«CERT»

une appellation contrôléeSoftware Engeneering Institute

Carnegie Mellon University

signifieComputer Emergency Response Team

«CERT»

une appellation contrôléeSoftware Engeneering Institute

Carnegie Mellon University

signifieComputer Emergency Response Team


10

La DGT a obtenu du CERT/CC de l’Université Carnegie Mellon qui en détient le droit d’auteur l’autorisation d’utiliser l’appellation «CERT» pour le Gouvernement du Québec

La DGT a obtenu du CERT/CC de l’Université Carnegie Mellon qui en détient le droit d’auteur l’autorisation d’utiliser l’appellation «CERT» pour le Gouvernement du Québec


11

Est une équipe technique spécialisée en réponse aux incidents de sécurité informatique

Il est organisé selon le modèle d’un CERT (ou d’un CSIRT)

CERT: Computer Emergency Responce Team

CSIRT: Computer Security Incident Response Team

Le CERT/AQ

MandatRéponse aux incidents de sécurité informatique

(traduction de CSIRT)

MandatRéponse aux incidents de sécurité informatique

(traduction de CSIRT)


12

Une violation réelle ou présumée d’une politique (ou de règles) de sécurité• tentative (réussie ou non) d’accès non autorisée à un

système ou à ses données• interruption de service non autorisée ou un dénie de

service• utilisation non autorisée ou abusive d’un système pour

le traitement ou l’entreposage de données ou d’un changement apporté aux caractéristiques d’une composante, d’un logiciel ou d’un système à l’insu du détenteur, sans ses instructions ou sans son consentement

Une violation réelle ou présumée d’une politique (ou de règles) de sécurité• tentative (réussie ou non) d’accès non autorisée à un

système ou à ses données• interruption de service non autorisée ou un dénie de

service• utilisation non autorisée ou abusive d’un système pour

le traitement ou l’entreposage de données ou d’un changement apporté aux caractéristiques d’une composante, d’un logiciel ou d’un système à l’insu du détenteur, sans ses instructions ou sans son consentement

QU’EST CE QU’UN INCIDENT DE SÉCURITÉ ?QU’EST CE QU’UN INCIDENT DE SÉCURITÉ ?

Assurer le contrôle de qualité des mesures de sécurité des services RETEM

Supporter les M/O en matière de réponse aux incidents de sécurité informatique



MISSIONMISSION


13

Favoriser la coopération entre les spécialistes des ministères et organismes (M/O) dans le but de prévenir, de détecter et de réagir efficacement aux incidents de sécurité informatique

Diffuser de l’information et des avis sur les menaces et les vulnérabilités potentielles et, si nécessaire, diffuser des alertes

Favoriser le partage d’information, d’outils et de techniques en matière de sécurité de l’information numérique et d’échanges électroniques entre les spécialistes des M/O




OBJECTIFSOBJECTIFS

RÉSEAU D’EXPERTISERÉSEAU D’EXPERTISE

SPPCC

CERT/CC


14

Coordination Soutien Animation Sensibilisation

Coordination Soutien Animation Sensibilisation

RÔLESRÔLES

PRÉVENTION DÉTECTION RÉACTION RÉTABLISSEMENTVIGIE

PROCESSUS DE GESTION DES INCIDENTSPROCESSUS DE GESTION DES INCIDENTS


15

Plus exactement

TÂCHES HABITUELLES D’UN CERTTÂCHES HABITUELLES D’UN CERT

RÉACTION PROACTION AMÉLIORATION DE LASÉCURITÉ

Alertes et avertissements

Gestion des incidents- analyse- réponse- soutien- coordination

Gestion des vulnérabilités- analyse- réponse- coordination

Gestion des artefacts- analyse- réponse- coordination

Diffusion d’information- rapports quotidiens- rapports hebdomadaires- téléconférences

hebdomadaires

Vérification de vulnérabilité- soutien

Détection d’intrusion- soutien- surveillance

Publications- Guides- White Papers (orientations)

Développement d’outils

Audits

Formation- ateliers- démonstrations- cours

Outils de sécurité- évaluation- certification

Analyses de risques- collaboration

Plans de continuité- collaboration

Avis techniques- collaboration

Sensibilisation- organisation d’activités- outils (fascicules, WEB…)


16

TÂCHES DU CERT/AQ AU DÉMARRAGETÂCHES DU CERT/AQ AU DÉMARRAGE

RÉACTION PROACTIONAMÉLIORATION DE LA

SÉCURITÉ

Alertes et avertissements

Gestion des incidents

- analyse

- réponse

- soutien

- coordination

Gestion des vulnérabilités

- analyse

- réponse

Diffusion d’information

- rapports sur les menaces etles vulnérabilités

- téléconférences

Vérification de vulnérabilité

- soutien

- serveur centralisé

Détection d’intrusion

- soutien

Compte tenu du nombre limité de ressources

GESTION1,0 ETC

- administration de système, gestion du réseau et du laboratoire

- expertise et choix technologiques

- développement d’outils

- expérimentation et évaluationd ’exploits

- rapports administratifs et de sécurité

- politiques, guides, processus

- rédaction technique, édimestre etwebmestre

SOUTIENDOCUMENTAIRE

1,0 ETC

VEILLE,DIFFUSION

ET FORMATION2,0 ETC

GESTION DESINCIDENTS ET

VULNÉRABILITÉS5,0 ETC

- réaction aux incidents etrétablissement

- analyses de vulnérabilité ettests de pénétration

- analyse de risques et audits

- avis techniques

- documentation technique

DÉTECTIOND’INTRUSION

8,0 ETC

- soutien aux M/O

- choix d’outils dedétection

- surveillance 24/7

RETEM1,0 ETC

- contrôle des règlesdes SHASTA et ducloisonnement des réseaux

- analyse des rapportsde vulnérabilité et suivides correctifs

- réaction aux alertes etanalyse des rapports dedétection d ’intrusion

- avis techniques aux M/O

- VPN et antivirus

20,0 ETC

- animation destéléconférenceshebdomadaires

- production de rapportshebdomadaires, d’aviset d’alertes

- organisation de sessionsde formation (logistique…)

SOUTIENTECHNIQUE

2,0 ETC


17

Diffusion de rapports de menaces et de vulnérabilités

Diffusion d’alertes et d’avertissements

Téléconférences hebdomadaires et ad hoc

Soutien et coordination en matière de réponse aux incidents de sécurité informatique

Soutien en matière de réaction (handling) aux vulnérabilités

Partage d’information, d’outils et de techniques en matière de sécurité de l’information numérique et d’échanges électroniques entre les spécialistes des M/O



Téléconférences hebdomadaires et ad hoc

Soutien et coordination en matière de réponse aux incidents de sécurité informatique

Soutien en matière de réaction (handling) aux vulnérabilités

Partage d’information, d’outils et de techniques en matière de sécurité de l’information numérique et d’échanges électroniques entre les spécialistes des M/O

OFFRE DE SERVICESOFFRE DE SERVICES

SERVEUR D’ANALYSE DE VULNÉRABILITÉSERVEUR D’ANALYSE DE VULNÉRABILITÉ


18

Où devrait être situé le CERT/AQ?Où devrait être situé le CERT/AQ?

Le rôle d’officier de sécurité et celui de gestionnaire d’incidents sont généralement assumés par des équipes distinctes

La responsabilité de la sécurité des services RETEM devrait-elle être assumée par quelqu’un d’autre que le CERT/AQ?

Le rôle d’officier de sécurité et celui de gestionnaire d’incidents sont généralement assumés par des équipes distinctes

La responsabilité de la sécurité des services RETEM devrait-elle être assumée par quelqu’un d’autre que le CERT/AQ?

Selon le CERT/CC et Gartner GroupSelon le CERT/CC et Gartner Group


19

HYPOTHÈSES2003

HYPOTHÈSES2003

Le CERT/AQ devrait-il êtreLe CERT/AQ devrait-il être

À la DSDIG ? À la DGT ? À la Sureté du Québec ? À la Sécurité publique ?

À la DSDIG ? À la DGT ? À la Sureté du Québec ? À la Sécurité publique ?

Réseau de spécialistes techniques ou d’agents de liaison techniques (ALT) des M/O qui mettent en commun leurs efforts pour prévenir et réagir aux incidents de sécurité informatique

Actuellement limité à 10 M/O

L’élargissement à tous les M/O est conditionnel à l’ajout de nouvelles ressources

Réseau de spécialistes techniques ou d’agents de liaison techniques (ALT) des M/O qui mettent en commun leurs efforts pour prévenir et réagir aux incidents de sécurité informatique

Actuellement limité à 10 M/O

L’élargissement à tous les M/O est conditionnel à l’ajout de nouvelles ressources

RÉSEAU D’ALERTE QUÉBÉCOIS2003

RÉSEAU D’ALERTE QUÉBÉCOIS2003


20

Diffusion de bulletins d’alertes, d’avis et d’information

Diffusion hebdomadaire de rapports de menaces et de vulnérabilités

Disponibilité 24/7 pour réagir aux incidents majeurs

Participation aux téléconférences hebdomadaires des réseaux d’alerte canadiens (CanCERT/EWA Canada et du GovIRT/SPPCC)

Animation des téléconférences hebdomadaires du réseau d’alerte québécois

Diffusion de bulletins d’alertes, d’avis et d’information

Diffusion hebdomadaire de rapports de menaces et de vulnérabilités

Disponibilité 24/7 pour réagir aux incidents majeurs

Participation aux téléconférences hebdomadaires des réseaux d’alerte canadiens (CanCERT/EWA Canada et du GovIRT/SPPCC)

Animation des téléconférences hebdomadaires du réseau d’alerte québécois

ACTIVITÉS RÉCURRENTES2003


Gestion du système de suivi des incidents

Listes de distribution spécialisées pour les membres du réseau d’alerte et les responsable de sécurité des M/O

Supervision des analyses de vulnérabilité des serveurs Internet du RETEM réalisées par IBM (à venir)

Analyse des journaux des sondes de détection d’intrusion du RETEM (à venir)

Gestion du système de suivi des incidents

Listes de distribution spécialisées pour les membres du réseau d’alerte et les responsable de sécurité des M/O

Supervision des analyses de vulnérabilité des serveurs Internet du RETEM réalisées par IBM (à venir)

Analyse des journaux des sondes de détection d’intrusion du RETEM (à venir)




21

RÉALISATIONS RÉCENTES OU EN COURS2003


Plan d’affaires du CERT/AQ

Mécanismes de communications d’urgence en cas d’alerte (moyens techniques et processus)

Mise en production d’un serveur central d’analyse de vulnérabilité à la disposition des M/O

Participation à la simulation d’une crise nationale (Canada)

Plan d’affaires du CERT/AQ

Mécanismes de communications d’urgence en cas d’alerte (moyens techniques et processus)

Mise en production d’un serveur central d’analyse de vulnérabilité à la disposition des M/O

Participation à la simulation d’une crise nationale (Canada)



Entente avec le Centre national de veille de la sécurité publique du Québec (MSP)

Guide de gestion des incidents

Politique de sécurité du RETEM

Soutien dans l’acquisition et l’implantation de systèmes de détection d’intrusion

Offre de services du CERT/AQ

Entente avec le Centre national de veille de la sécurité publique du Québec (MSP)

Guide de gestion des incidents

Politique de sécurité du RETEM

Soutien dans l’acquisition et l’implantation de systèmes de détection d’intrusion

Offre de services du CERT/AQ


22



Participation à la rédaction du Guide de gestion des incidents

Définition des types de communications du CERT/AQ

Développement et implantation du CERT/AQ (stratégie d'élargissement des services)

Participation à la rédaction du Guide de gestion des incidents

Définition des types de communications du CERT/AQ

Développement et implantation du CERT/AQ (stratégie d'élargissement des services)

Plan du local


23

Schéma du laboratoire

HACKFESTS- White hats

- Black hats


24

VÉRIFICATIONS- Casier judiciaire

- Antécédents judiciaires

Où en sommes-nous ?

Aujourd’hui, 14 septembre 2016


25

LE PLAN D’AFFAIRE


26

2016-09-14

1

Service de la sécurité informatique gouvernementale (SSIG)14 septembre 2016

2

Le Service de la sécurité informatique gouvernementale

Plan de présentation Mise en contexte

- Le positionnement du MSP

- L’intégration du CERT/AQ au MSP

Création du Service de la sécurité informatique gouvernementale

Cohérence avec la Politique gouvernementale de main-d’œuvre en TI

Des bénéfices pour les organismes publics

Présentation du CERT/AQ par Yves Lafrance

Présentation du COSIG par Francis Provencher

Mot de la fin

2016-09-14

2

3


Le positionnement du MSP

Depuis 2014, le MSP est sollicité par différents M/O pour l’expertise de ses ressources en matière de sécurité informatique.

Les besoins exprimés ne sont pas desservis par l’offre de service du CERT/AQ.

Dans ce contexte, le MSP donne suite aux demandes qui lui sont adressées.

L’idée de mettre en place une offre de service, complémentaire à celle existante, commence à germer et l’équipe du COSIG prend forme.

4

Service de la sécurité informatique gouvernementale

L’intégration du CERT/AQ au MSP

En mars 2015, le président du Conseil du trésor annonce sa volonté de transférer le CERT/AQ au MSP.

Cette volonté s’inscrit dans la démarche de réorganisation du CSPQ qui vise le transfert de certains services vers des M/O ayant des responsabilités similaires.

En effet, cette nouvelle responsabilité s’inscrit dans une perspective de continuité de la mission du MSP.

Le transfert du CERT/AQ au MSP est effectif depuis le 18 janvier 2016.

2016-09-14

3

5

Création du Service de la sécurité informatique gouvernementale

L’intégration du CERT/AQ au MSP s’est traduite par la création du Service de la sécurité informatique gouvernementale (SSIG), composé du CERT/AQ et du COSIG

Le SSIG représente la création d’un pôle d’expertise en matière de sécurité de l’information qui assume un double mandat :

Offrir aux organismes publics une gamme élargie de services en matière de sécurité de l’information

Assurer la sécurité des actifs du ministère de la Sécurité publique et des organismes qui relèvent de son ministre


6

Cohérence avec la Politique gouvernementale de main-d’œuvre en TI

Maximiser l’utilisation de l’expertise interne dans l’ensemble de l’appareil gouvernemental

Créer un pôle d’attraction et de rétention des talents de manière à assurer la pérennité de l’expertise

Être en maîtrise des emplois névralgiques dans le domaine des TI

Créer un répertoire de solutions partageables

Favoriser la création de cellules d’innovation

Accroître la collaboration entre les employés de l’État


2016-09-14

4

7

Des bénéfices pour les organismes publics

Permettre aux M/O de bénéficier d’une expertise de pointe en matière de sécurité de l’information, tout en favorisant l’indépendance face au secteur privé

Éviter les dédoublements dans la réalisation d’activités

Permettre le recours rapide à des services de sécurité informatique

Contribuer à ce que les M/O se conforment aux exigences de la nouvelle Directive sur la sécurité de l’information gouvernementale

Encourager une relation de partenariat entre les M/O


8


8

Équipe de sécurité de l’information spécialisée en réponse aux incidents

… et plus!

2016-09-14

5

9

9

9

10

Augmentation exponentielledes menaces et vulnérabilitésAugmentation exponentielle

des menaces et vulnérabilités

Contexte de l’époque

2016-09-14

6

11



Mission

12




Mission

2016-09-14

7

13

Réseau d’alerte initial

14

Expert de haut niveau

• Formation poussée

Véhicule les messages du Réseau d’alerte dans leur organisation

Effectue les interventions de sécurité

Agent de Liaison Technique

2016-09-14

8

15

Réponse aux incidents de sécurité informatique



Téléconférences (hebdomadaires et ad hoc)

Serveur centralisé de vérification de vulnérabilité

Soutien en analyse de vulnérabilité

Soutien en réaction aux vulnérabilités

Soutien en détection d’intrusion

Offre de service

16

16

16

2016-09-14

9

17

Centre de coordination

Équipe de réponse aux incidents (ERI)

Équipe interne à l’organisation Fait partie de l’organisation Connaissance de l’organisation Subit des pressions

Remise en service

Le CERT/AQ est différent

Vocation horizontale Vision gouvernementale Réseau étendu Facilite la communication Exposition à de nombreux cas Recul face aux décisions

Fonction de conseil

18

18

Réseau d’alerte gouvernemental

Direction de l’encadrement de la sécurité de l’information gouvernementale

Gouvernance en sécurité

RSI

RSI

RSI

RSI

RSI

Réseau d’alerteRéseau d’alerte

ALT

Équipe de réponse aux incidents

Ministère ou organisme

ALT



ALT



Sécurité opérationnelle

RSI

2016-09-14

10

19

Le réseau d’alerteObjectifs

19

Faciliter l’accès à l’information

Échanger à propos de solutions

Fournir une information de pointe

Favoriser le partage d’expertise entre les organisations

Implanter une structure de communication fiable et sécuritaire

Préparer la réaction aux incidents

Coordonner la réaction aux incidents

20

Gouvernementdu Québec

Direction de l’encadrement de la sécurité de l’information gouvernementale

CERTA

CERT/CC

CanCERT

Centre canadien de réponse aux incidents cybernétiques

20

Réseau d’alerte

Organismes publics

EIMSIGEIMSIGEIMSIGEIMSIGEIMSIGEIMSIG

2016-09-14

11

21

21

Plus de 60 organismes inscrits (~130 Agents de Liaison)

Publication de plus de 120 avis de sécurité par année

Conférences téléphoniques hebdomadaires Contenu produit par le CERT/AQ (depuis 2005)

Des ateliers techniques d’une demi-journée (4-6/année)

Un réseau qui fonctionne

Parce qu’on y investit des efforts constants!

Le réseau d’alerte a 10 ans

22

Notre plus grand succès

2016-09-14

12

23

23

23

24

Évolution du Réseau d’alerte

Loi sur la gouvernance et Directive

– Environ 114 ministères et organismes

– Réseau de la santé– Réseaux de l’éducation

Faire plus… avec pas plus!

Comment gérer la croissance?

En conservant un réseau efficace

Sans ajout massif de ressources

2016-09-14

13

25

25

25

• Le CERT/AQ délaisse la fonction d’ « Officier de sécurité du RITM»

• Trois effectifs en moins

• Se concentrer sur les organismes publics

• Assumer et développer les fonctions de centre de coordination

S’adapter

26

Mission du CERT/AQ

26

Coordonner la gestion des incidents de sécurité de

l’information à portée gouvernementale

Assister les OP lors d’incidents de sécurité de l’information

Animer et coordonner

le réseau d’alerte

2016-09-14

14

27

Animation • Réseau d’alerte

• Échange d’information

Soutien• Gestion des

menaces• Gestion des

vulnérabilités• Gestion des

incidents

Coordination

• Incidents à portée gouvernementale

Sensibilisation& Prévention

27

Rôles du CERT/AQ

28

28

Réseau d’alerte

Réseau d’information


Organismes publics

COGI COGI COGI COGICOGICOGI COGICOGI COGICOGI COGICOGICOGI COGI COGI COGI

COGIréseau

Éducation

CERT

COGIréseau

Santé

CERT

CERT

CERT

• Des collaborateurs dans les Organisations publiques

• CoordonnateurOrganisationnel de la Gestion desIncidents

COGICOGIRéseau

2016-09-14

15

29

• Communiquer l’information dans l’organisation;

• Aider à prévenir les incidents de sécurité;

• Coordonner l’Équipe de Réponse aux Incidents de

sécurité (ERI);

• S’impliquer activement dans le réseau d’alerte:

• Participer aux téléconférences hebdomadaires;

• Assister à des événements;

• En cas de crise gouvernementale, participer au

réseau d’alerte et informer son organisation.

Responsabilités du COGI

29

COGI COGIRéseau

30

Conférence téléphonique

Hebdomadaire

Trente minutes

Informer

Outiller

Préparer

Partage

Respect

Confidentialité

2016-09-14

16

31

Quelques autres services

Veille quotidienne• Menaces• Nouvelles• Vulnérabilités• Événements

Réseau d’alerte• Nombreux moyens d’échange• Partage de méthodes• Partage d’outils• Partage d’information

Formation / sensibilisation• Diffusion d’information• Documents techniques• Ateliers techniques

Support à la gestion des menaces

Support à la gestion des incidents

(24h/7j)

Support à la gestion des

vulnérabilités

Support à la gestion des menaces

Support à la gestion des incidents

(24h/7j)

Support à la gestion des

vulnérabilités

32

32

Les services d’un CERT

Formation Activités de perfectionnement Documentation (fascicules,

WEB…)

Outils de sécurité Évaluation Certification

Analyses de risques Collaboration

Développement d’outils Intervention

Plans de continuité Collaboration

Avis techniques Collaboration Publication

Veille sur les menaces et les vulnérabilités Diffusion d’information Analyse Rapports hebdomadaires Téléconférences hebdo.

Évaluation des vulnérabilités Soutien Intervention

Publications Guides techniques Développement d’outils

Audits

Gestion des incidents Analyse Intervention Soutien Coordination

Gestion des menaces et des vulnérabilités Analyse Intervention Coordination

Gestion de codes malicieux Analyse Intervention Coordination Collaboration à des enquêtes

•Détection d’intrusion Soutien Surveillance

AMÉLIORATION DE LA SÉCURITÉ

PRÉVENTIONRÉACTION

2016-09-14

17

33

33

Les services du CERT/AQ

Formation Activités de perfectionnement Documentation (fascicules,

WEB…)

Outils de sécurité Évaluation Certification

Analyses de risques Collaboration

Développement d’outils Intervention

Plans de continuité Collaboration

Avis techniques Collaboration Publication

Veille sur les menaces et les vulnérabilités Diffusion d’information Analyse Rapports hebdomadaires Téléconférences hebdo.

Évaluation des vulnérabilités Soutien Intervention

Publications Guides techniques Développement d’outils

Audits

Gestion des incidents Analyse Intervention Soutien Coordination

Gestion des menaces et des vulnérabilités Analyse Intervention Coordination

Gestion de codes malicieux Analyse Intervention Coordination Collaboration à des enquêtes

•Détection d’intrusion Soutien Surveillance

AMÉLIORATION DE LA SÉCURITÉ

PRÉVENTIONRÉACTION

Service offert

Offre limitéeNon-offert

Légende:Légende:

Service offert

Offre limitéeNon-offert

Légende:

34

Modes de fonctionnement

Réaction

Préparation

Prévention

Communication

Ebola, Attaques sophistiquées, rançongiciels…

Incidents de sécurité, vulnérabilités, code malicieux…

Menaces annoncées, planification de la gestion d’incidents…

Téléconférences, documents, signalements, avis…

2016-09-14

18

35

35

MS

P

36

36

36

2016-09-14

19

37

37

• Respect de la directive et de la volonté du SCT

• Limiter la demande en ressources

• CSGI : Uniquement pour les réseaux. Coordonnateur Sectoriel de la Gestion des Incidents

Réseau d’alerte

Réseau d’information


Organismes publics

COGI COGI COGI COGICOGICOGI COGICOGI COGICOGI COGICOGICOGI COGI COGI COGI

COGIréseau

Éducation

CERT

CSGI CSGI CSGI

COGIréseau

Santé

CSGI CSGI

CERT

CSGI

CERT

CERT

CSGI COGI COGIRéseau

Communauté de partageCommunauté de partage

38

RITM

RÉNIR

MSSS«Sogique»

RISQ

CSPQ-Infrastructures

Entreprise de l’État

Officier de sécurité

Telus, Bell, Vidéotron, Iweb, …

Ministère





Fournisseurs de service

Réseaud’alerte Affaires juridiques

Communications

Réseaux de l’éducation

Réseau de la santé

Gouv. Canada, SANS, CERT, …

Organisations

Communautéde soutien

CERT/AQ

Autre…

Officier de sécurité Microsoft, McAfee, …Contact en sécurité

DPI

Organisation gouvernementale

38

Communautédes partenaires

EIMSIG

Réseaud’information

Communauté de partageCommunauté

de préparation

Groupes d’intérêt

COGI

COGI

COGI

COGI

COGI

MJQ, SCT, MCE…

Des communautés en évolution

Organisme éducationCSGI

Organisme santéCSGI

2016-09-14

20

39

En cours• Publication de documents

• Mois de la sensibilisation

• Gestion des menaces• Signalements• Échanges automatisés

• Gestion des vulnérabilités• Outil de balayage• Recherches personnalisées

• Développement des communautés

• Processus gouvernemental de gestion des incidents

• Outils mis à jour• Menaces sophistiquées

40

40

40

2016-09-14

21

41

41

Moyen terme

42

42

42

S’améliorer …

pour les autres…

et avec les autres!

2016-09-14

22

43

Des services adaptés à la communauté gouvernementale

Francis Provencher

Chef de la division COSIG

Le

44

Le COSIG

2016-09-14

23

45

Balayage de vulnérabilités/tests

d’ intrusion

ForensiqueProgrammation &

configuration sécuritaire

Recherche et développement

Balayage de vulnérabilités et tests d’intrusions

Le COSIG

46


d’ intrusion

Forensique

Programmation & configuration

sécuritaire


Forensique

Le COSIG

2016-09-14

24

47


d’ intrusion




Programmation et configuration sécuritaire

Le COSIG

48


d’ intrusion





Le COSIG

2016-09-14

25

49

Le COSIG


Vulnérabilités critiques découvertes par les membres du COSIG

Oracle (Outside-In)

Apple (Kernel,Quicktime)

IBM (Tivoli Directory server)

Novell (Groupwise, Iprint, Edirectory)

Microsoft ( Kernel, Office 2016, 2013, 2007, Outlook)

Adobe (Acrobat Reader, Flash, Photoshop)

Foxit (Reader)

CISCO (Webex)

Plus de 40 vulnérabilités rapportées depuis janvier 2016

50

Audit de vulnérabilités

Forensique

Programmation & configuration

sécuritaire


SOC

(Monitoring des infrastructures

partenaires)

Gouvernance

Gouvernance

Conformité

Architecture

Centre opérationnel de sécurité (SOC)

Monitoring des sondes de détection d’intrusion des partenaires

Le COSIG

2016-09-14

26

51

Les partenaires qui ont choisis le COSIG

52


Mot de la fin..

Une offre de service bonifiée en démarrage

Constat d’un réel intérêt pour l’offre de services proposée

Appui de partenaires d’intérêt

Fort d’une recommandation de l’UPAC*

* Recommandation n°9 du rapport découlant du mandat de l’UPAC visant à formuler des recommandations au Gouvernement du Québec concernant l’octroi et la gestion des contrats publics en informatique

2016-09-14

27

53

Questions - Discussion

54