Cybersécurité au cours des déplacements : Recommandations en matière de sécurité

Numéro : IN13-002
Date : 15 Février 2013

Objet

Le présent document a pour objet d'informer les lecteurs sur la cybersécurité afin de mieux les sensibiliser aux menaces cybernétiques auxquelles ils peuvent être exposés dans leurs déplacements. Il contient également des conseils de prévention visant à atténuer les risques liés à ces menaces.

Contexte

Les personnes comptent de plus en plus sur un accès rapide aux informations numériques, même au cours de leurs déplacements. En règle générale, l'accès à distance aux informations professionnelles est facilité par l'utilisation d'appareils électroniques portatifs qui peuvent offrir au voyageur des services de communication et un accès aux informations, même lorsque ces dernières sont stockées dans l'infrastructure informatique interne de l'organisation. Ces appareils comprennent les assistants numériques personnels, les téléphones cellulaires, les téléphones intelligents, les ordinateurs portatifs et les tablettes électroniques. Les employés doivent être tenus informés des risques que peut présenter, pour eux et pour les informations qu'ils transportent, l'utilisation des ces appareils au cours de leurs déplacements, ainsi que des mesures qu'ils peuvent appliquer pour atténuer ces risques. Le présent document contient des informations générales relatives à la cybersécurité en vue de mieux sensibiliser les voyageurs aux risques potentiels liés à l'utilisation d'appareils électroniques au cours de leurs déplacements.

Les informations que les voyageurs transportent avec eux ou les données auxquelles ils accèdent au cours de leurs déplacements peuvent être compromises par des auteurs de menaces et utilisées contre eux et l'organisation qu'ils représentent. Les auteurs potentiels de menaces comprennent des services de renseignement hostiles et étrangers, des criminels et des concurrents. Les informations visées par les auteurs de menaces peuvent être d'ordre technique, politique, militaire, financier ou personnel. La compromission de ces informations peut procurer aux auteurs de menaces un avantage politique, stratégique, économique ou concurrentiel. Les risques associés à la divulgation potentielle d'informations varient selon la nature ou le degré de sensibilité de celles-ci.

Les consommateurs et les dépositaires d'informations exclusives et sensibles doivent être conscients des risques potentiels en cas de perte ou de vol de ces informations. Les risques sont plus grands au cours des déplacements. Pour ne pas perdre ou compromettre ses informations, quelques précautions s'imposent : il faut éviter de les transporter avec soi et d'y accéder à distance. Il faut également éviter de rapporter des fichiers de données ou des dispositifs externes et de les intégrer aux systèmes d'information de l'organisation. Toutefois, il n'est pas toujours possible d'appliquer ces mesures préventives. Par conséquent, une bonne compréhension par l'organisation des risques auxquels font face les voyageurs, une plus grande sensibilisation des voyageurs et la mise en œuvre de mesures techniques et de procédures pour atténuer les risques associés à la perte, au vol, à la compromission ou à la corruption d'informations et d'appareils numériques sont des éléments essentiels à l'atteinte des objectifs de l'organisation ou de la mission.

Considérations générales liées à la sécurité

Les points généraux suivants ont été transmis par le Centre de la sécurité des télécommunications Canada (CSTC), à qui le gouvernement du Canada a confié la responsabilité de fournir des avis, des conseils et des services pour aider à protéger les informations électroniques et les infrastructures d'information importantes pour le gouvernement :

Évaluation

Voici la liste non exhaustive des aspects de la cybersécurité dont une organisation doit tenir compte avant, pendant et après le déplacement d'un employé.

1.0 Sécurité des appareils portatifs et mobiles

Au cours d'un déplacement, les utilisateurs peuvent transporter diverses plusieurs plateformes informatiques et appareils dont la compromission ou le vol pourrait faire du tort à leur organisation. Il existe deux types d'appareils avec lesquels les utilisateurs se déplacent : les téléphones portatifs et les téléphones intelligents, ainsi que les tablettes électroniques et les ordinateurs portatifs.

1.1 Téléphones portatifs et téléphones intelligents : Plusieurs types de téléphones portatifs et de téléphones intelligents comportant un certain nombre d'options, chacune dotée de diverses applications et fonctions, sont proposés aux utilisateurs. Ces types d'appareils représentent autant de cibles potentielles de vol, autant de l'appareil lui-même que des données. Pour un auteur de menace, ces appareils présentent une source centralisée d'informations, personnelles et professionnelles, ayant trait au propriétaire et à l'organisation qu'il représente. La majorité des téléphones portatifs et des téléphones intelligents comportent diverses fonctions de connectivité, notamment l'infrastructure numérique du fournisseur de services (comme les réseaux DMA, GSM et LTE), l'accès sans fil, communication en champ proche (NFC) et l'accès Bluetooth. Ces options de connexions sont souvent accessibles à d'autres appareils informatiques avec des modules matériels associés, comme des tablettes et des ordinateurs portatifs.

Accès sans fil (Wi-Fi) : Plusieurs appareils permettent de se connecter à Internet au moyen de points d'accès sans fil. Ces derniers présentent divers niveaux de sécurité, et les utilisateurs doivent savoir que les informations qui transitent par le réseau auquel ils se connectent peuvent être interceptées par un auteur de menace motivé et compétent. Parfois, des points d'accès gratuits à Internet sont établis à des fins malveillantes et sont nommés intentionnellement de manière à donner l'impression de points d'accès de confiance.

Par exemple, un hôtel peut avoir établi le point d'accès « HotelABC Internet ». Un auteur de menace peut établir à proximité de cet hôtel un point d'accès malveillant appelé « SecureHotelABC Internet ». La puissance du signal de ce dernier peut être supérieure à celle de l'hôtel. L'utilisateur croira alors qu'il s'agit de la connexion à choisir de préférence. Le voyageur devrait donc vérifier auprès de l'établissement d'hébergement le nom du point d'accès légitime.

Accès Bluetooth : Bluetooth est un protocole de communication sans fil de faible portée qui permet d'établir la connexion entre deux appareils. La technologie Bluetooth permet, parmi ses utilisations courantes, la communication mains libres au volant. Certains appareils permettent la connexion automatique; autrement dit, les autres appareils Bluetooth peuvent établir une connexion sans autorisation et, ainsi, potentiellement accéder à des informations vulnérables, comme les listes de contacts. Les paramètres Bluetooth peuvent être gérés à partir de l'appareil pour atténuer les risques. Idéalement, Bluetooth devrait être désactivé avant le déplacement par l'administrateur de l'appareil.

Les mesures de précaution suivantes devraient être prises en considération dans le cas d'un déplacement avec un téléphone et un téléphone intelligent :

Remarque : Certains pays disposent de lois qui leur permettent de surveiller les informations transmises sur leurs réseaux. Les utilisateurs doivent toujours faire preuve de vigilance à l'égard des informations qu'ils transmettent au moyen de réseaux étrangers et être conscients des répercussions que peut avoir pour eux et l'organisation qu'ils représentent la compromission des données.

1.2 Tablettes électroniques et ordinateurs portatifs : Les tablettes électroniques et les ordinateurs portatifs sont également des cibles de choix pour les auteurs de menaces. Voici quelques conseils pour sécuriser de tels appareils au cours d'un déplacement :

1.3 Appareils prêtés : Il est pratique courante que l'organisation fournisse aux employés des appareils réservés exclusivement à leurs déplacements. Ces appareils « propres » leur permettent de travailler pendant qu'ils se déplacent. Souvent plus âgés ou moins chers, ils offrent des capacités informatiques de base et permettent dans certains cas de se connecter aux réseaux de l'organisation. À destination, les informations stockées sur l'appareil sont supprimées de façon sécuritaire et l'appareil lui-même est parfois détruit. Les organisations qui disposent d'une capacité d'analyse judiciaire évoluée peuvent décider d'examiner l'appareil aux fins de preuve de compromission.

Un appareil prêté peut donner un sentiment de sécurité trompeur. Quel qu'en soit l'état, la personne qui s'en sert doit connaître les risques encourus lorsqu'elle l'utilise dans ses déplacements. Si l'appareil prêté se reconnecte au réseau de l'organisation ou s'il sert à traiter les informations de l'organisation, les risques de compromission demeurent. Il faut donc restreindre son accès aux réseaux essentiels ou sensibles.

2.0 Points d'accès sans fil : points d'accès publics à Internet.

Les voyageurs ont accès à divers points d'accès sans fil à Internet, dont certains sont gratuits. Ces services comprennent, par exemple, l'accès gratuit à Internet pour la durée d'un événement, ou encore dans les hôtels, les aéroports ou d'autres lieux publics. Souvent, ces points d'accès sont des réseaux non sécurisés auxquels n'importe qui peut accéder. Un réseau auquel on accède avec un mot de passe n'est pas nécessairement sécurisé. S'il est vrai que toutes les communications sans fil peuvent être interceptées, un système de chiffrement efficace réduira les risques de divulgation d'informations.
À titre de pratique exemplaire, il faut éviter d'utiliser une connexion Internet sans fil publique et de transmettre des informations qui ne doivent pas tomber entre les mains de personnes indésirables ou non autorisées.

3.0 Cafés Internet, kiosques et autres points d'accès publics à Internet

Plusieurs installations sont dotées de dispositifs permettant aux voyageurs de se connecter à Internet. On retrouve souvent ce service dans les hôtels et les aéroports. Ces dispositifs ne doivent pas être considérés comme des points d'accès de confiance, mais reflètent simplement les pratiques et les politiques de gestion en matière de sécurité de l'organisation qui fournit le service d'accès. Du matériel et des logiciels malveillants et indétectables par les utilisateurs et le fournisseur peuvent y avoir été installés par inadvertance. Prenons l'exemple d'un enregistreur de frappe, qui consigne les informations tapées par l'utilisateur sur l'ordinateur, comme les mots de passe et les numéros de carte de crédit. Il peut s'agir d'applications logicielles clandestines ou dispositifs physiques reliés aux ordinateurs. Les voyageurs ne doivent pas utiliser ces appareils accessibles au public pour afficher ou transmettre des informations dont la divulgation pourrait faire du tort, à eux ou à leur organisation.

4.0 Chiffrement des données : protection des biens numériques

Au cours d'un déplacement, les utilisateurs peuvent également utiliser des mécanismes de chiffrement pour protéger leurs données. En résumé, le chiffrement transforme les données de manière à les rendre illisibles sans une clé de déchiffrement (le plus souvent, une phrase de passe ou un jeton). Le chiffrement peut être utilisé par les voyageurs pour envoyer des courriels ou pour sécuriser le contenu d'un support de stockage, comme le lecteur de disque dur d'un ordinateur portatif ou une carte mémoire flash USB. Une fois mis en œuvre correctement, le chiffrement protège les données contre le vol et l'interception. Des logiciels de chiffrement des courriels et des fichiers sont offerts sur le marché par plusieurs fournisseurs dignes de confiance. Par exemple, l'outil PGP (Pretty Good Privacy) est couramment utilisé pour chiffrer efficacement les courriels et le contenu des disques durs. Les voyageurs doivent consulter leur service de la TI pour en savoir plus sur les options de chiffrement prises en charge par leur organisation.

Bien que très efficace pour protéger les données, le chiffrement peut ne pas être réversible. Selon le type chiffrement utilisé, il se peut que vous ne puissiez récupérer les données chiffrées si la clé de déchiffrement est perdue.

Remarque : Certains pays disposent de lois qui restreignent l'utilisation et la présence de logiciels de chiffrement. Avant tout déplacement dans un pays étranger, il est conseillé aux utilisateurs de consulter les lois et les règlements ayant trait au chiffrement qui peuvent s'appliquer dans le pays concerné. Pour plus de détails, reportez-vous aux documents de référence de la section Autres ressources.

5.0 Sécurité des mots de passe au cours des déplacements

Compte tenu des risques plus grands inhérents aux déplacements, il est conseillé aux voyageurs de ne pas utiliser les mêmes mots de passe que ceux qu'ils utilisent à leur lieu de travail. Dans l'environnement informatique actuel, les utilisateurs ont souvent plusieurs comptes qui exigent d'entrer un mot de passe aux fins d'authentification. Cette situation peut donner lieu à la réutilisation du même mot de passe pour plusieurs comptes. En cas de compromission du mot de passe, il est possible qu'un auteur de menaces puisse obtenir ainsi un accès authentifié à plusieurs comptes de l'utilisateur. Par conséquent, il est conseillé aux employés d'utiliser un mot de passe différent et unique pour chaque compte au cours de leurs déplacements. En cas de soupçon de compromission d'un mot de passe, tous les mots de passe appartenant à l'utilisateur doivent être réinitialisés et les comptes utilisateur associés doivent être surveillés pour détecter toute activité suspecte.

6.0 Prudence à l'égard des courriels ciblés liés à un événement

Les attaques ciblées au moyen de courriels, ou hameçonnage ciblé, reposent sur l'exploitation de la confiance du destinataire concerné. Avant, pendant et après un déplacement lié à un événement planifié, le voyageur peut faire l'objet d'attaques ciblées au moyen de courriels. Ces courriels sont conçus de telle manière qu'ils semblent authentiques et peuvent amener le destinataire à divulguer des informations sensibles, ou installer à son insu des logiciels malveillants sur son appareil au moyen d'une pièce jointe ou d'un lien Web trompeur. Les voyageurs qui participent à des conférences internationales sur des sujets d'importance stratégique et économique touchant, par exemple, l'énergie, l'environnement, la finance et l'armée, sont souvent la cible d'attaques par hameçonnage. Bon nombre de ces attaques seraient associées à des auteurs de menaces sophistiquées et persistantes (Advanced Persistent Threat ou APT). Pour en savoir plus sur l'atténuation des risques liés aux menaces sophistiquées et persistantes et aux stratagèmes employés dans les attaques par hameçonnage ciblés, consultez les documents de référence dans la section Autres ressources.

7.0 Sauvegarde des données : sauvegarde des fichiers de données pertinents avant le départ

Avant le départ, il est conseillé aux voyageurs de sauvegarder les fichiers de données pertinents sur un appareil qu'ils n'apporteront pas avec eux. L'équipement est parfois exposé aux conditions rigoureuses et aux inconvénients associés à tout déplacement, comme la perte de bagages, le vol de matériel, les dommages subis pendant les correspondances, les défectuosités matérielles, voir les fouilles et la saisie.

Les voyageurs ne doivent jamais transporter avec eux des données essentielles, ni d'une manière qui enfreint les politiques de l'employeur et les lois applicables.

8.0 Cadeaux publicitaires reçus à une conférence : prudence!

Il arrive parfois que des logiciels ou des appareils soient remis aux participants qui assistent à des conférences ou qui reçoivent de la formation. Gratuits ou payés à même les frais de participation à une activité planifiée quelconque, ces produits peuvent contenir des logiciels malveillants, à l'insu ou non des organisateurs de tels événements. À titre d'exemple, des clés USB infectées par des virus au moment de leur fabrication ont été récemment distribuées par inadvertance à une conférence sur la sécurité informatique.

Les voyageurs doivent prêter attention à tous les dispositifs de stockage branchent aux appareils qu'ils transportent. Ils doivent exercer cette vigilance non seulement au cours de leurs déplacements, mais également une fois de retour au bureau. Ils ne doivent relier aucun dispositif reçu dans le cadre d'un déplacement tant que l'équipe de la TI de l'organisation ne l'a pas correctement évalué.

Recommandations

Les menaces à la cybersécurité, physiques et techniques, augmentent considérablement au cours d'un déplacement. En règle générale, le voyageur quitte un environnement connu et relativement sûr pour se retrouver dans un environnement inconnu et ouvert où les auteurs de menaces sont parfois soutenus par le régime en place. Un degré élevé de sensibilisation à la cybersécurité est nécessaire au cours d'un déplacement pour assurer la protection des biens personnels et de l'organisation.

Le CSTC a publié dernièrement un ensemble de pratiques exemplaires que vous trouverez dans les documents de référence de la section Autres ressources.

Voici, reproduites sous forme de liste de vérification, les pratiques exemplaires relevées dans le présent document et une partie de celles que contiennent les documents de référence. Cette liste est destinée aux voyageurs et au personnel de soutien de la TI.

Cette liste est destinée aux voyageurs et au personnel de soutien de la TI.

Avant le déplacement


Vérifié

Si vous n'avez pas besoin d'un appareil au cours du déplacement, ne l'apportez pas. S'il vous est nécessaire, il doit être configuré avec les seules fonctions que vous utiliserez pendant le en déplacement.

 

Méfiez-vous des courriels reçus avant le départ, surtout s'ils ont trait à de grands événements internationaux. Ils peuvent contenir des liens vers des fichiers d'archives compressés ou des fichiers exécutables malveillants, des pièces jointes infectées ou des liens vers des sites Web malveillants. Dans la mesure du possible, vérifiez-en la provenance.

 

Tenez compte des répercussions de la perte ou du vol des informations stockées sur l'appareil de voyage sur votre organisation. Supprimez les données inutiles, faites-en une copie de sauvegarde et laissez cette dernière dans vos installations locales. Vérifiez si le pays de destination autorise la cryptographie pour protéger les fichiers.

 

Installez les dernières mises à jour du logiciel antivirus et du logiciel anti-espion, ainsi que les derniers correctifs de sécurité du système d'exploitation et un coupe-feu personnel. Si possible, réglez le paramètre de sécurité du navigateur Web au niveau le plus élevé. Assurez-vous que l'utilisateur ne peut désactiver ces fonctionnalités.

 

À la suite de l'installation, configurez l'appareil pour que le logiciel antivirus analyse automatiquement les dispositifs de stockage lorsqu'on y accède (par exemple, une clé USB) et expliquez la marche à suivre au voyageur.

 

N'accordez que les privilèges administratifs nécessaires. Demandez au voyageur de modifier ses mots de passe avant le départ. Assurez-vous qu'ils sont conformes aux exigences de complexité définies dans la politique de sécurité de l'organisation.

 

Assurez-vous que les paramètres de sécurité réseau appropriés sont activés sur tous les appareils. Désactivez les technologies de connectivité inutiles (Bluetooth, liaison infrarouge, NFC et sans-fil).

 

Assurez-vous que l'utilisateur ne peut accéder à Internet avec un appareil mobile en même temps que l'intranet de l'organisation.

 

AU besoin, assurez-vous que les paramètres de sécurité appropriés sont appliqués à l'accès au réseau privé virtuel.

 

Précautions en cas d'incident :

  • augmentez les capacités de journalisation et de surveillance, s'il y a lieu;
  • installez une application de gestion des appareils mobiles pour identifier plus facilement les compromissions de sécurité. Votre organisation pourra ainsi comparer les images de l'appareil avant et après le déplacement, et y relever les différences;
  • assurez-vous que le voyageur a en mains les coordonnées du bureau de services de la TI et qu'il connaît bien la procédure de signalement des incidents.

 


Pendant le déplacement


Vérifié

Conservez l'appareil avec vous en tout temps. Ne laissez pas l'appareil avec vos bagages en consigne et évitez les casiers de sûreté des wagons de train, des aéroports et des hôtels. Si vous devez ranger l'appareil, retirez la batterie, les cartes mémoire et la carte SIM, et conservez-les avec vous.

 

Évitez de vous connecter à Internet au moyen d'un point d'accès public et ou d'un point d'accès sans fil public.

 

Évitez de brancher à l'appareil des dispositifs numériques dont vous ne connaissez pas la provenance, comme une clé USB, des une carte mémoire ou un chargeur. De même, ne branchez jamais votre clé USB ou tout autre dispositif à un appareil dont la sécurité n'est pas garantie.

 

Prenez garde aux personnes dans votre environnement immédiat qui pourraient voir votre écran ou votre clavier, surtout dans aires publiques (par exemple, protégez les mots de passe contre les regards indiscrets) et mettez fin à la connexion lorsque vous avez terminé.

 

Videz la corbeille et les dossiers « récents » après chaque utilisation. Nettoyez le navigateur après chaque utilisation : effacez les fichiers d'historique, la mémoire cache, les témoins, les adresses URL et les fichiers Internet temporaires.

 

Naviguez prudemment sur le Web à des fins personnelles, car vous pourriez compromettre vos renseignements personnels ou financiers (par exemple, lorsque vous effectuez une opération bancaire en ligne). N'utilisez pas la fonction « Se souvenir de moi » qu'on retrouve dans plusieurs sites Web : entrez votre mot de passe au début de chaque session.

 

L'Équipe de sécurité doit optimiser les capacités de surveillance des appareils associés à des déplacements internationaux et rechercher toute activité inhabituelle ou anormale, soit :

  • les tentatives de connexion non autorisées;
  • les tentatives de connexion à des moments inhabituels;
  • les activités inhabituelles ou non autorisées sur le réseau privé virtuel (par exemple, la séparation du trafic en plusieurs tunnels).

 

Assurez-vous que le bureau de services de la TI peut répondre aux questions et aux préoccupations des utilisateurs (p. ex., perte d'un appareil, sécurité, etc.).

 


Après le déplacement


Vérifié

Réinitialisez tous les justificatifs d'identité des comptes d'accès locaux et à distance et pour lesquels le nom d'utilisateur et le mot de passe sont identiques. Faites de même avec les comptes personnels, même si l'utilisateur n'y a pas accédé au cours du déplacement. Il peut s'agir de son compte bancaire, de réseau social ou de courriel Web.

 

Communiquez avec l'utilisateur pour qu'il vous renseigne sur le problème signalé, le comportement inhabituel de l'appareil ou un aspect de la sécurité qui vous préoccupe.

 

Appliquez les procédures de contrôle et de traitement avant de réutiliser l'appareil du voyageur :

  • examinez l'appareil pour détecter la présence de logiciels malveillants avant de le connecter au réseau de l'organisation;
  • continuez de surveiller les comportements inhabituels de l'appareil, y compris les comptes d'accès à distance des employés de retour d'un déplacement, pour s'assurer qu'aucun accès non autorisé se produit;
  • comparez l'image actuelle à l'image de base référence (s'il y en a une) pour relever tout signe de compromission;
  • recréez l'image de l'appareil avant de le retourner dans le stock des appareils de voyage;
  • testez les dispositifs de stockage amovibles reçus au cours du déplacement, comme les CD-ROM, les DVD et les clés USB, avant de les connecter au réseau de l'organisation;
  • traitez et signalez les incidents suspects conformément aux procédures et politiques de l'organisation. Les opérateurs et les responsables d'infrastructures essentielles au Canada peuvent également signaler les incidents au Centre canadien de réponse aux incidents cybernétiques (CCRIC) à l'adresse suivante :
    • cyber-incident @ps-sp.gc.ca

 

Considérer l'utilisation des appareils exclusivement pour les voyages qui sont préconfigurés avec les paramètres de sécurité autorisés et l'application d'une nouvelle image au retour.

 


Autres ressources

Mesures recommandées

Le CCRIC recommande aux lecteurs de passer en revue les conseils donnés ci-dessus afin de voir s'ils sont applicables à leur posture de sécurité et, le cas échéant, d'appliquer les mesures d'atténuation appropriées.

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :