Upload
lelien
View
213
Download
0
Embed Size (px)
Citation preview
14 septembre 2016
1
1ère partie:
M. Pierre McKenzie, retraité du Gouvernement du Québec, co-fondateur de l’ ASIQ et fondateur du CERT/AQ. Il partagera la perspective sur les enjeux de l’époque ainsi que la vision d’affaires pour le CERT/AQ.
2e partie :
Mme Karine Savoie, Chef du Service de la sécurité informatique gouvernementale au ministère de la Sécurité publique traitera de la création du Service de la sécurité informatique gouvernementale (SSIG), qui réunit le CERT/AQ et le COSIG, représente la création d’un pôle d’expertise, par lequel toute une gamme de services de sécurité de l’information, répondant à l’évolution des menaces et des besoins de l’état, pourra être offerte aux organismes publics québécois.
ASIQ – 14 SEPTEMBRE 2016
1
Histoire
Pierre McKenzieRetraité
Ex membre du CERT/AQ et de l’ASIRQ
du
Il était une fois …
ASIQ – 14 SEPTEMBRE 2016
2
Une petite équipe de 4 personnes qui gérait les infrastructures Internet du Gouvernement du Québec …
SERVICES INTERNET ET INTRANET
Schéma conceptuel de l’ancienne architecture intermédiaire
INTERNETQUÉBEC MONTRÉAL
M/O M/O M/O
SWITCHPROBE
NETRANGERPROBE
NETRANGERPROBE
CACHEENGINE
DISTRIBUTEDDIRECTOR
DISTRIBUTEDDIRECTOR
CATALYST 6000AVEC MSFC
PIX 515
NETSONAR
SERVICES INTERNET
DNSRelaisSMTP FTP
2924
CATALYST2924
WEB 20 Mbps
CDA DNSSMTPPOP3 FTP
RICIB
QIXRISQ
VidéotronCogécoQuébecTel
PIX 515
CATALYST 6000AVEC MSFC
Équipements de relèveet laboratoire
DGT
Téléglobe UUNet
Internetmétropolitain
Montréal
ASIQ – 14 SEPTEMBRE 2016
3
Infrastructure Internet
Passerelles de sécurité
Fibre optique
Sonde
Ancienne infrastructure Internet
Serveurs FTP
Serveurs DNS et SMTP
Ancienne infrastructure Internet
ASIQ – 14 SEPTEMBRE 2016
4
Cette petite équipe a été appelée à participer sur une base hebdomadaire à des conférences téléphoniques avec des spécialistes en cybersécurité du Gouvernement canadien et des autres provinces.
La même formule de conférences téléphoniques a été mise en place pour certains ministères et organismes du Gouvernement du Québec
Cette petite équipe a été appelée à participer sur une base hebdomadaire à des conférences téléphoniques avec des spécialistes en cybersécurité du Gouvernement canadien et des autres provinces.
La même formule de conférences téléphoniques a été mise en place pour certains ministères et organismes du Gouvernement du Québec
Les appels-conférences étaient organisés par Sécurité publique et Protection civile Canada (SPPCC)
ASIQ – 14 SEPTEMBRE 2016
5
Le SPPCC du Gouvernement fédéral faisait appel à la firme EWA pour les appels-conférences
Soudainement, les infrastructures Internet ont été privatisées.
On décida alors d’affecter la petite équipe à la cybersécurité à plein temps.
ASIQ – 14 SEPTEMBRE 2016
6
L’équipe des infrastructures Internet avait 2 atouts pour jouer ce rôle:
Expertise des infrastructures Internet de haut niveau
Expertise embryonnaire en cybersécuritégrâce aux appels conférences hebdomadaires du réseau pan canadien
L’équipe des infrastructures Internet avait 2 atouts pour jouer ce rôle:
Expertise des infrastructures Internet de haut niveau
Expertise embryonnaire en cybersécuritégrâce aux appels conférences hebdomadaires du réseau pan canadien
Pour atteindre un haut niveau d’expertise en cybersécurité, les membres de l’équipe ont suivi des cours auprès d’institutions hautement reconnues
Pour atteindre un haut niveau d’expertise en cybersécurité, les membres de l’équipe ont suivi des cours auprès d’institutions hautement reconnues
Etc…
ASIQ – 14 SEPTEMBRE 2016
8
AusCERTAustralian Computer Emergency Response Team
BCERTBoing CERT
Cert-ISTCERT Industries, Services & Tertiaire
CERT/CCCERT Coordination Center
CERTACERT-Administration
US-CERTUS Computer Emergency Readiness Team
CSIRTComputer Security Incident Response Team
ISIRTInformation Security Incidence Reponse Team
CIRTComputer Incidence Response Team
ERIIÉquipe de réponse aux incidents informatiques
ASIQ – 14 SEPTEMBRE 2016
9
Le nom retenu
CERT/AQ
CERT de l’Administration Québécoise
Le nom retenu
CERT/AQ
CERT de l’Administration Québécoise
«CERT»
une appellation contrôléeSoftware Engeneering Institute
Carnegie Mellon University
signifieComputer Emergency Response Team
«CERT»
une appellation contrôléeSoftware Engeneering Institute
Carnegie Mellon University
signifieComputer Emergency Response Team
ASIQ – 14 SEPTEMBRE 2016
10
La DGT a obtenu du CERT/CC de l’Université Carnegie Mellon qui en détient le droit d’auteur l’autorisation d’utiliser l’appellation «CERT» pour le Gouvernement du Québec
La DGT a obtenu du CERT/CC de l’Université Carnegie Mellon qui en détient le droit d’auteur l’autorisation d’utiliser l’appellation «CERT» pour le Gouvernement du Québec
ASIQ – 14 SEPTEMBRE 2016
11
Est une équipe technique spécialisée en réponse aux incidents de sécurité informatique
Il est organisé selon le modèle d’un CERT (ou d’un CSIRT)
CERT: Computer Emergency Responce Team
CSIRT: Computer Security Incident Response Team
Le CERT/AQ
MandatRéponse aux incidents de sécurité informatique
(traduction de CSIRT)
MandatRéponse aux incidents de sécurité informatique
(traduction de CSIRT)
ASIQ – 14 SEPTEMBRE 2016
12
Une violation réelle ou présumée d’une politique (ou de règles) de sécurité• tentative (réussie ou non) d’accès non autorisée à un
système ou à ses données• interruption de service non autorisée ou un dénie de
service• utilisation non autorisée ou abusive d’un système pour
le traitement ou l’entreposage de données ou d’un changement apporté aux caractéristiques d’une composante, d’un logiciel ou d’un système à l’insu du détenteur, sans ses instructions ou sans son consentement
Une violation réelle ou présumée d’une politique (ou de règles) de sécurité• tentative (réussie ou non) d’accès non autorisée à un
système ou à ses données• interruption de service non autorisée ou un dénie de
service• utilisation non autorisée ou abusive d’un système pour
le traitement ou l’entreposage de données ou d’un changement apporté aux caractéristiques d’une composante, d’un logiciel ou d’un système à l’insu du détenteur, sans ses instructions ou sans son consentement
QU’EST CE QU’UN INCIDENT DE SÉCURITÉ ?QU’EST CE QU’UN INCIDENT DE SÉCURITÉ ?
Assurer le contrôle de qualité des mesures de sécurité des services RETEM
Supporter les M/O en matière de réponse aux incidents de sécurité informatique
Assurer le contrôle de qualité des mesures de sécurité des services RETEM
Supporter les M/O en matière de réponse aux incidents de sécurité informatique
MISSIONMISSION
ASIQ – 14 SEPTEMBRE 2016
13
Favoriser la coopération entre les spécialistes des ministères et organismes (M/O) dans le but de prévenir, de détecter et de réagir efficacement aux incidents de sécurité informatique
Diffuser de l’information et des avis sur les menaces et les vulnérabilités potentielles et, si nécessaire, diffuser des alertes
Favoriser le partage d’information, d’outils et de techniques en matière de sécurité de l’information numérique et d’échanges électroniques entre les spécialistes des M/O
Favoriser la coopération entre les spécialistes des ministères et organismes (M/O) dans le but de prévenir, de détecter et de réagir efficacement aux incidents de sécurité informatique
Diffuser de l’information et des avis sur les menaces et les vulnérabilités potentielles et, si nécessaire, diffuser des alertes
Favoriser le partage d’information, d’outils et de techniques en matière de sécurité de l’information numérique et d’échanges électroniques entre les spécialistes des M/O
OBJECTIFSOBJECTIFS
RÉSEAU D’EXPERTISERÉSEAU D’EXPERTISE
SPPCC
CERT/CC
ASIQ – 14 SEPTEMBRE 2016
14
Coordination Soutien Animation Sensibilisation
Coordination Soutien Animation Sensibilisation
RÔLESRÔLES
PRÉVENTION DÉTECTION RÉACTION RÉTABLISSEMENTVIGIE
PROCESSUS DE GESTION DES INCIDENTSPROCESSUS DE GESTION DES INCIDENTS
ASIQ – 14 SEPTEMBRE 2016
15
Plus exactement
TÂCHES HABITUELLES D’UN CERTTÂCHES HABITUELLES D’UN CERT
RÉACTION PROACTION AMÉLIORATION DE LASÉCURITÉ
Alertes et avertissements
Gestion des incidents- analyse- réponse- soutien- coordination
Gestion des vulnérabilités- analyse- réponse- coordination
Gestion des artefacts- analyse- réponse- coordination
Diffusion d’information- rapports quotidiens- rapports hebdomadaires- téléconférences
hebdomadaires
Vérification de vulnérabilité- soutien
Détection d’intrusion- soutien- surveillance
Publications- Guides- White Papers (orientations)
Développement d’outils
Audits
Formation- ateliers- démonstrations- cours
Outils de sécurité- évaluation- certification
Analyses de risques- collaboration
Plans de continuité- collaboration
Avis techniques- collaboration
Sensibilisation- organisation d’activités- outils (fascicules, WEB…)
ASIQ – 14 SEPTEMBRE 2016
16
TÂCHES DU CERT/AQ AU DÉMARRAGETÂCHES DU CERT/AQ AU DÉMARRAGE
RÉACTION PROACTIONAMÉLIORATION DE LA
SÉCURITÉ
Alertes et avertissements
Gestion des incidents
- analyse
- réponse
- soutien
- coordination
Gestion des vulnérabilités
- analyse
- réponse
Diffusion d’information
- rapports sur les menaces etles vulnérabilités
- téléconférences
Vérification de vulnérabilité
- soutien
- serveur centralisé
Détection d’intrusion
- soutien
Compte tenu du nombre limité de ressources
GESTION1,0 ETC
- administration de système, gestion du réseau et du laboratoire
- expertise et choix technologiques
- développement d’outils
- expérimentation et évaluationd ’exploits
- rapports administratifs et de sécurité
- politiques, guides, processus
- rédaction technique, édimestre etwebmestre
SOUTIENDOCUMENTAIRE
1,0 ETC
VEILLE,DIFFUSION
ET FORMATION2,0 ETC
GESTION DESINCIDENTS ET
VULNÉRABILITÉS5,0 ETC
- réaction aux incidents etrétablissement
- analyses de vulnérabilité ettests de pénétration
- analyse de risques et audits
- avis techniques
- documentation technique
DÉTECTIOND’INTRUSION
8,0 ETC
- soutien aux M/O
- choix d’outils dedétection
- surveillance 24/7
RETEM1,0 ETC
- contrôle des règlesdes SHASTA et ducloisonnement des réseaux
- analyse des rapportsde vulnérabilité et suivides correctifs
- réaction aux alertes etanalyse des rapports dedétection d ’intrusion
- avis techniques aux M/O
- VPN et antivirus
20,0 ETC
- animation destéléconférenceshebdomadaires
- production de rapportshebdomadaires, d’aviset d’alertes
- organisation de sessionsde formation (logistique…)
SOUTIENTECHNIQUE
2,0 ETC
ASIQ – 14 SEPTEMBRE 2016
17
Diffusion de rapports de menaces et de vulnérabilités
Diffusion d’alertes et d’avertissements
Téléconférences hebdomadaires et ad hoc
Soutien et coordination en matière de réponse aux incidents de sécurité informatique
Soutien en matière de réaction (handling) aux vulnérabilités
Partage d’information, d’outils et de techniques en matière de sécurité de l’information numérique et d’échanges électroniques entre les spécialistes des M/O
Diffusion de rapports de menaces et de vulnérabilités
Diffusion d’alertes et d’avertissements
Téléconférences hebdomadaires et ad hoc
Soutien et coordination en matière de réponse aux incidents de sécurité informatique
Soutien en matière de réaction (handling) aux vulnérabilités
Partage d’information, d’outils et de techniques en matière de sécurité de l’information numérique et d’échanges électroniques entre les spécialistes des M/O
OFFRE DE SERVICESOFFRE DE SERVICES
SERVEUR D’ANALYSE DE VULNÉRABILITÉSERVEUR D’ANALYSE DE VULNÉRABILITÉ
ASIQ – 14 SEPTEMBRE 2016
18
Où devrait être situé le CERT/AQ?Où devrait être situé le CERT/AQ?
Le rôle d’officier de sécurité et celui de gestionnaire d’incidents sont généralement assumés par des équipes distinctes
La responsabilité de la sécurité des services RETEM devrait-elle être assumée par quelqu’un d’autre que le CERT/AQ?
Le rôle d’officier de sécurité et celui de gestionnaire d’incidents sont généralement assumés par des équipes distinctes
La responsabilité de la sécurité des services RETEM devrait-elle être assumée par quelqu’un d’autre que le CERT/AQ?
Selon le CERT/CC et Gartner GroupSelon le CERT/CC et Gartner Group
ASIQ – 14 SEPTEMBRE 2016
19
HYPOTHÈSES2003
HYPOTHÈSES2003
Le CERT/AQ devrait-il êtreLe CERT/AQ devrait-il être
À la DSDIG ? À la DGT ? À la Sureté du Québec ? À la Sécurité publique ?
À la DSDIG ? À la DGT ? À la Sureté du Québec ? À la Sécurité publique ?
Réseau de spécialistes techniques ou d’agents de liaison techniques (ALT) des M/O qui mettent en commun leurs efforts pour prévenir et réagir aux incidents de sécurité informatique
Actuellement limité à 10 M/O
L’élargissement à tous les M/O est conditionnel à l’ajout de nouvelles ressources
Réseau de spécialistes techniques ou d’agents de liaison techniques (ALT) des M/O qui mettent en commun leurs efforts pour prévenir et réagir aux incidents de sécurité informatique
Actuellement limité à 10 M/O
L’élargissement à tous les M/O est conditionnel à l’ajout de nouvelles ressources
RÉSEAU D’ALERTE QUÉBÉCOIS2003
RÉSEAU D’ALERTE QUÉBÉCOIS2003
ASIQ – 14 SEPTEMBRE 2016
20
Diffusion de bulletins d’alertes, d’avis et d’information
Diffusion hebdomadaire de rapports de menaces et de vulnérabilités
Disponibilité 24/7 pour réagir aux incidents majeurs
Participation aux téléconférences hebdomadaires des réseaux d’alerte canadiens (CanCERT/EWA Canada et du GovIRT/SPPCC)
Animation des téléconférences hebdomadaires du réseau d’alerte québécois
Diffusion de bulletins d’alertes, d’avis et d’information
Diffusion hebdomadaire de rapports de menaces et de vulnérabilités
Disponibilité 24/7 pour réagir aux incidents majeurs
Participation aux téléconférences hebdomadaires des réseaux d’alerte canadiens (CanCERT/EWA Canada et du GovIRT/SPPCC)
Animation des téléconférences hebdomadaires du réseau d’alerte québécois
ACTIVITÉS RÉCURRENTES2003
ACTIVITÉS RÉCURRENTES2003
Gestion du système de suivi des incidents
Listes de distribution spécialisées pour les membres du réseau d’alerte et les responsable de sécurité des M/O
Supervision des analyses de vulnérabilité des serveurs Internet du RETEM réalisées par IBM (à venir)
Analyse des journaux des sondes de détection d’intrusion du RETEM (à venir)
Gestion du système de suivi des incidents
Listes de distribution spécialisées pour les membres du réseau d’alerte et les responsable de sécurité des M/O
Supervision des analyses de vulnérabilité des serveurs Internet du RETEM réalisées par IBM (à venir)
Analyse des journaux des sondes de détection d’intrusion du RETEM (à venir)
ACTIVITÉS RÉCURRENTES2003
ACTIVITÉS RÉCURRENTES2003
ASIQ – 14 SEPTEMBRE 2016
21
RÉALISATIONS RÉCENTES OU EN COURS2003
RÉALISATIONS RÉCENTES OU EN COURS2003
Plan d’affaires du CERT/AQ
Mécanismes de communications d’urgence en cas d’alerte (moyens techniques et processus)
Mise en production d’un serveur central d’analyse de vulnérabilité à la disposition des M/O
Participation à la simulation d’une crise nationale (Canada)
Plan d’affaires du CERT/AQ
Mécanismes de communications d’urgence en cas d’alerte (moyens techniques et processus)
Mise en production d’un serveur central d’analyse de vulnérabilité à la disposition des M/O
Participation à la simulation d’une crise nationale (Canada)
RÉALISATIONS RÉCENTES OU EN COURS2003
RÉALISATIONS RÉCENTES OU EN COURS2003
Entente avec le Centre national de veille de la sécurité publique du Québec (MSP)
Guide de gestion des incidents
Politique de sécurité du RETEM
Soutien dans l’acquisition et l’implantation de systèmes de détection d’intrusion
Offre de services du CERT/AQ
Entente avec le Centre national de veille de la sécurité publique du Québec (MSP)
Guide de gestion des incidents
Politique de sécurité du RETEM
Soutien dans l’acquisition et l’implantation de systèmes de détection d’intrusion
Offre de services du CERT/AQ
ASIQ – 14 SEPTEMBRE 2016
22
RÉALISATIONS RÉCENTES OU EN COURS2003
RÉALISATIONS RÉCENTES OU EN COURS2003
Participation à la rédaction du Guide de gestion des incidents
Définition des types de communications du CERT/AQ
Développement et implantation du CERT/AQ (stratégie d'élargissement des services)
Participation à la rédaction du Guide de gestion des incidents
Définition des types de communications du CERT/AQ
Développement et implantation du CERT/AQ (stratégie d'élargissement des services)
Plan du local
ASIQ – 14 SEPTEMBRE 2016
24
VÉRIFICATIONS- Casier judiciaire
- Antécédents judiciaires
Où en sommes-nous ?
Aujourd’hui, 14 septembre 2016
2016-09-14
1
Service de la sécurité informatique gouvernementale (SSIG)14 septembre 2016
2
Le Service de la sécurité informatique gouvernementale
Plan de présentation Mise en contexte
- Le positionnement du MSP
- L’intégration du CERT/AQ au MSP
Création du Service de la sécurité informatique gouvernementale
Cohérence avec la Politique gouvernementale de main-d’œuvre en TI
Des bénéfices pour les organismes publics
Présentation du CERT/AQ par Yves Lafrance
Présentation du COSIG par Francis Provencher
Mot de la fin
2016-09-14
2
3
Le Service de la sécurité informatique gouvernementale
Le positionnement du MSP
Depuis 2014, le MSP est sollicité par différents M/O pour l’expertise de ses ressources en matière de sécurité informatique.
Les besoins exprimés ne sont pas desservis par l’offre de service du CERT/AQ.
Dans ce contexte, le MSP donne suite aux demandes qui lui sont adressées.
L’idée de mettre en place une offre de service, complémentaire à celle existante, commence à germer et l’équipe du COSIG prend forme.
4
Service de la sécurité informatique gouvernementale
L’intégration du CERT/AQ au MSP
En mars 2015, le président du Conseil du trésor annonce sa volonté de transférer le CERT/AQ au MSP.
Cette volonté s’inscrit dans la démarche de réorganisation du CSPQ qui vise le transfert de certains services vers des M/O ayant des responsabilités similaires.
En effet, cette nouvelle responsabilité s’inscrit dans une perspective de continuité de la mission du MSP.
Le transfert du CERT/AQ au MSP est effectif depuis le 18 janvier 2016.
2016-09-14
3
5
Création du Service de la sécurité informatique gouvernementale
L’intégration du CERT/AQ au MSP s’est traduite par la création du Service de la sécurité informatique gouvernementale (SSIG), composé du CERT/AQ et du COSIG
Le SSIG représente la création d’un pôle d’expertise en matière de sécurité de l’information qui assume un double mandat :
Offrir aux organismes publics une gamme élargie de services en matière de sécurité de l’information
Assurer la sécurité des actifs du ministère de la Sécurité publique et des organismes qui relèvent de son ministre
Le Service de la sécurité informatique gouvernementale
6
Cohérence avec la Politique gouvernementale de main-d’œuvre en TI
Maximiser l’utilisation de l’expertise interne dans l’ensemble de l’appareil gouvernemental
Créer un pôle d’attraction et de rétention des talents de manière à assurer la pérennité de l’expertise
Être en maîtrise des emplois névralgiques dans le domaine des TI
Créer un répertoire de solutions partageables
Favoriser la création de cellules d’innovation
Accroître la collaboration entre les employés de l’État
Le Service de la sécurité informatique gouvernementale
2016-09-14
4
7
Des bénéfices pour les organismes publics
Permettre aux M/O de bénéficier d’une expertise de pointe en matière de sécurité de l’information, tout en favorisant l’indépendance face au secteur privé
Éviter les dédoublements dans la réalisation d’activités
Permettre le recours rapide à des services de sécurité informatique
Contribuer à ce que les M/O se conforment aux exigences de la nouvelle Directive sur la sécurité de l’information gouvernementale
Encourager une relation de partenariat entre les M/O
Le Service de la sécurité informatique gouvernementale
8
CERT de l’Administration Québécoise
8
Équipe de sécurité de l’information spécialisée en réponse aux incidents
… et plus!
2016-09-14
5
9
9
9
10
Augmentation exponentielledes menaces et vulnérabilitésAugmentation exponentielle
des menaces et vulnérabilités
Contexte de l’époque
2016-09-14
6
11
Assurer le contrôle de qualité des mesures de sécurité des services RETEM
Supporter les M/O en matière de réponse aux incidents de sécurité informatique
Mission
12
Favoriser la coopération entre les spécialistes des ministères et organismes (M/O) dans le but de prévenir, de détecter et de réagir efficacement aux incidents de sécurité informatique
Diffuser de l’information et des avis sur les menaces et les vulnérabilités potentielles et, si nécessaire, diffuser des alertes
Favoriser le partage d’information, d’outils et de techniques en matière de sécurité de l’information numérique et d’échanges électroniques entre les spécialistes des M/O
Mission
2016-09-14
7
13
Réseau d’alerte initial
14
Expert de haut niveau
• Formation poussée
Véhicule les messages du Réseau d’alerte dans leur organisation
Effectue les interventions de sécurité
Agent de Liaison Technique
2016-09-14
8
15
Réponse aux incidents de sécurité informatique
Diffusion d’alertes et d’avertissements
Diffusion de rapports de menaces et de vulnérabilités
Téléconférences (hebdomadaires et ad hoc)
Serveur centralisé de vérification de vulnérabilité
Soutien en analyse de vulnérabilité
Soutien en réaction aux vulnérabilités
Soutien en détection d’intrusion
Offre de service
16
16
16
2016-09-14
9
17
Centre de coordination
Équipe de réponse aux incidents (ERI)
Équipe interne à l’organisation Fait partie de l’organisation Connaissance de l’organisation Subit des pressions
Remise en service
Le CERT/AQ est différent
Vocation horizontale Vision gouvernementale Réseau étendu Facilite la communication Exposition à de nombreux cas Recul face aux décisions
Fonction de conseil
18
18
Réseau d’alerte gouvernemental
Direction de l’encadrement de la sécurité de l’information gouvernementale
Gouvernance en sécurité
RSI
RSI
RSI
RSI
RSI
Réseau d’alerteRéseau d’alerte
ALT
Équipe de réponse aux incidents
Ministère ou organisme
ALT
Équipe de réponse aux incidents
Ministère ou organisme
ALT
Équipe de réponse aux incidents
Ministère ou organisme
Sécurité opérationnelle
RSI
2016-09-14
10
19
Le réseau d’alerteObjectifs
19
Faciliter l’accès à l’information
Échanger à propos de solutions
Fournir une information de pointe
Favoriser le partage d’expertise entre les organisations
Implanter une structure de communication fiable et sécuritaire
Préparer la réaction aux incidents
Coordonner la réaction aux incidents
20
Gouvernementdu Québec
Direction de l’encadrement de la sécurité de l’information gouvernementale
CERTA
CERT/CC
CanCERT
Centre canadien de réponse aux incidents cybernétiques
20
Réseau d’alerte
Organismes publics
EIMSIGEIMSIGEIMSIGEIMSIGEIMSIGEIMSIG
2016-09-14
11
21
21
Plus de 60 organismes inscrits (~130 Agents de Liaison)
Publication de plus de 120 avis de sécurité par année
Conférences téléphoniques hebdomadaires Contenu produit par le CERT/AQ (depuis 2005)
Des ateliers techniques d’une demi-journée (4-6/année)
Un réseau qui fonctionne
Parce qu’on y investit des efforts constants!
Le réseau d’alerte a 10 ans
22
Notre plus grand succès
2016-09-14
12
23
23
23
24
Évolution du Réseau d’alerte
Loi sur la gouvernance et Directive
– Environ 114 ministères et organismes
– Réseau de la santé– Réseaux de l’éducation
Faire plus… avec pas plus!
Comment gérer la croissance?
En conservant un réseau efficace
Sans ajout massif de ressources
2016-09-14
13
25
25
25
• Le CERT/AQ délaisse la fonction d’ « Officier de sécurité du RITM»
• Trois effectifs en moins
• Se concentrer sur les organismes publics
• Assumer et développer les fonctions de centre de coordination
S’adapter
26
Mission du CERT/AQ
26
Coordonner la gestion des incidents de sécurité de
l’information à portée gouvernementale
Assister les OP lors d’incidents de sécurité de l’information
Animer et coordonner
le réseau d’alerte
2016-09-14
14
27
Animation • Réseau d’alerte
• Échange d’information
Soutien• Gestion des
menaces• Gestion des
vulnérabilités• Gestion des
incidents
Coordination
• Incidents à portée gouvernementale
Sensibilisation& Prévention
27
Rôles du CERT/AQ
28
28
Réseau d’alerte
Réseau d’information
Réseau d’alerteRéseau d’alerte
Organismes publics
COGI COGI COGI COGICOGICOGI COGICOGI COGICOGI COGICOGICOGI COGI COGI COGI
COGIréseau
Éducation
CERT
COGIréseau
Santé
CERT
CERT
CERT
• Des collaborateurs dans les Organisations publiques
• CoordonnateurOrganisationnel de la Gestion desIncidents
COGICOGIRéseau
2016-09-14
15
29
• Communiquer l’information dans l’organisation;
• Aider à prévenir les incidents de sécurité;
• Coordonner l’Équipe de Réponse aux Incidents de
sécurité (ERI);
• S’impliquer activement dans le réseau d’alerte:
• Participer aux téléconférences hebdomadaires;
• Assister à des événements;
• En cas de crise gouvernementale, participer au
réseau d’alerte et informer son organisation.
Responsabilités du COGI
29
COGI COGIRéseau
30
Conférence téléphonique
Hebdomadaire
Trente minutes
Informer
Outiller
Préparer
Partage
Respect
Confidentialité
2016-09-14
16
31
Quelques autres services
Veille quotidienne• Menaces• Nouvelles• Vulnérabilités• Événements
Réseau d’alerte• Nombreux moyens d’échange• Partage de méthodes• Partage d’outils• Partage d’information
Formation / sensibilisation• Diffusion d’information• Documents techniques• Ateliers techniques
Support à la gestion des menaces
Support à la gestion des incidents
(24h/7j)
Support à la gestion des
vulnérabilités
Support à la gestion des menaces
Support à la gestion des incidents
(24h/7j)
Support à la gestion des
vulnérabilités
32
32
Les services d’un CERT
Formation Activités de perfectionnement Documentation (fascicules,
WEB…)
Outils de sécurité Évaluation Certification
Analyses de risques Collaboration
Développement d’outils Intervention
Plans de continuité Collaboration
Avis techniques Collaboration Publication
Veille sur les menaces et les vulnérabilités Diffusion d’information Analyse Rapports hebdomadaires Téléconférences hebdo.
Évaluation des vulnérabilités Soutien Intervention
Publications Guides techniques Développement d’outils
Audits
Gestion des incidents Analyse Intervention Soutien Coordination
Gestion des menaces et des vulnérabilités Analyse Intervention Coordination
Gestion de codes malicieux Analyse Intervention Coordination Collaboration à des enquêtes
•Détection d’intrusion Soutien Surveillance
AMÉLIORATION DE LA SÉCURITÉ
PRÉVENTIONRÉACTION
2016-09-14
17
33
33
Les services du CERT/AQ
Formation Activités de perfectionnement Documentation (fascicules,
WEB…)
Outils de sécurité Évaluation Certification
Analyses de risques Collaboration
Développement d’outils Intervention
Plans de continuité Collaboration
Avis techniques Collaboration Publication
Veille sur les menaces et les vulnérabilités Diffusion d’information Analyse Rapports hebdomadaires Téléconférences hebdo.
Évaluation des vulnérabilités Soutien Intervention
Publications Guides techniques Développement d’outils
Audits
Gestion des incidents Analyse Intervention Soutien Coordination
Gestion des menaces et des vulnérabilités Analyse Intervention Coordination
Gestion de codes malicieux Analyse Intervention Coordination Collaboration à des enquêtes
•Détection d’intrusion Soutien Surveillance
AMÉLIORATION DE LA SÉCURITÉ
PRÉVENTIONRÉACTION
Service offert
Offre limitéeNon-offert
Légende:Légende:
Service offert
Offre limitéeNon-offert
Légende:
34
Modes de fonctionnement
Réaction
Préparation
Prévention
Communication
Ebola, Attaques sophistiquées, rançongiciels…
Incidents de sécurité, vulnérabilités, code malicieux…
Menaces annoncées, planification de la gestion d’incidents…
Téléconférences, documents, signalements, avis…
2016-09-14
19
37
37
• Respect de la directive et de la volonté du SCT
• Limiter la demande en ressources
• CSGI : Uniquement pour les réseaux. Coordonnateur Sectoriel de la Gestion des Incidents
Réseau d’alerte
Réseau d’information
Réseau d’alerteRéseau d’alerte
Organismes publics
COGI COGI COGI COGICOGICOGI COGICOGI COGICOGI COGICOGICOGI COGI COGI COGI
COGIréseau
Éducation
CERT
CSGI CSGI CSGI
COGIréseau
Santé
CSGI CSGI
CERT
CSGI
CERT
CERT
CSGI COGI COGIRéseau
Communauté de partageCommunauté de partage
38
RITM
RÉNIR
MSSS«Sogique»
RISQ
CSPQ-Infrastructures
Entreprise de l’État
Officier de sécurité
Telus, Bell, Vidéotron, Iweb, …
Ministère
Officier de sécurité
Officier de sécurité
Officier de sécurité
Officier de sécurité
Fournisseurs de service
Réseaud’alerte Affaires juridiques
Communications
Réseaux de l’éducation
Réseau de la santé
Gouv. Canada, SANS, CERT, …
Organisations
Communautéde soutien
CERT/AQ
Autre…
Officier de sécurité Microsoft, McAfee, …Contact en sécurité
DPI
Organisation gouvernementale
38
Communautédes partenaires
EIMSIG
Réseaud’information
Communauté de partageCommunauté
de préparation
Groupes d’intérêt
COGI
COGI
COGI
COGI
COGI
MJQ, SCT, MCE…
Des communautés en évolution
Organisme éducationCSGI
Organisme santéCSGI
2016-09-14
20
39
En cours• Publication de documents
• Mois de la sensibilisation
• Gestion des menaces• Signalements• Échanges automatisés
• Gestion des vulnérabilités• Outil de balayage• Recherches personnalisées
• Développement des communautés
• Processus gouvernemental de gestion des incidents
• Outils mis à jour• Menaces sophistiquées
40
40
40
2016-09-14
22
43
Des services adaptés à la communauté gouvernementale
Francis Provencher
Chef de la division COSIG
Le
44
Le COSIG
2016-09-14
23
45
Balayage de vulnérabilités/tests
d’ intrusion
ForensiqueProgrammation &
configuration sécuritaire
Recherche et développement
Balayage de vulnérabilités et tests d’intrusions
Le COSIG
46
Balayage de vulnérabilités/tests
d’ intrusion
Forensique
Programmation & configuration
sécuritaire
Recherche et développement
Forensique
Le COSIG
2016-09-14
24
47
Balayage de vulnérabilités/tests
d’ intrusion
ForensiqueProgrammation &
configuration sécuritaire
Recherche et développement
Programmation et configuration sécuritaire
Le COSIG
48
Balayage de vulnérabilités/tests
d’ intrusion
ForensiqueProgrammation &
configuration sécuritaire
Recherche et développement
Recherche et développement
Le COSIG
2016-09-14
25
49
Le COSIG
Recherche et développement
Vulnérabilités critiques découvertes par les membres du COSIG
Oracle (Outside-In)
Apple (Kernel,Quicktime)
IBM (Tivoli Directory server)
Novell (Groupwise, Iprint, Edirectory)
Microsoft ( Kernel, Office 2016, 2013, 2007, Outlook)
Adobe (Acrobat Reader, Flash, Photoshop)
Foxit (Reader)
CISCO (Webex)
Plus de 40 vulnérabilités rapportées depuis janvier 2016
50
Audit de vulnérabilités
Forensique
Programmation & configuration
sécuritaire
Recherche et développement
SOC
(Monitoring des infrastructures
partenaires)
Gouvernance
Gouvernance
Conformité
Architecture
Centre opérationnel de sécurité (SOC)
Monitoring des sondes de détection d’intrusion des partenaires
Le COSIG
2016-09-14
26
51
Les partenaires qui ont choisis le COSIG
52
Le Service de la sécurité informatique gouvernementale
Mot de la fin..
Une offre de service bonifiée en démarrage
Constat d’un réel intérêt pour l’offre de services proposée
Appui de partenaires d’intérêt
Fort d’une recommandation de l’UPAC*
* Recommandation n°9 du rapport découlant du mandat de l’UPAC visant à formuler des recommandations au Gouvernement du Québec concernant l’octroi et la gestion des contrats publics en informatique