Comment sécuriser l'information accessible au public
Note d'information numéro : IN02-005
31 mai 2002
Objet
L'objet de cette note est d'aider les spécialistes de la sécurité à déterminer des stratégies de gestion du risque en ce qui concerne les renseignements de nature délicate qui, s'ils étaient du domaine public, pourraient exposer davantage les infrastructures essentielles (IE) à un plus grand risque. On encourage les propriétaires et exploitants des IE à tenir compte de ces critères lorsqu'ils décident s'il y a lieu de permettre l'accès à des renseignements par l'entremise de l'Internet ou par d'autres moyens.
Introduction
À la suite des attaques du 11 septembre, les spécialistes de la protection des infrastructures essentielles (PIE) et de la gestion des situations d'urgence se sont de plus en plus inquiétés du fait que de l'information accessible au public puisse être employée abusivement par des personnes malveillantes ayant l'intention d'endommager ou de nuire à des installations essentielles, des opérations ou des particuliers.
Le conseiller spécial du président en matière de sécurité cybernétique aux États-Unis, Richard Clarke, a dit récemment que le groupe Al-Qa'ida recueillait des renseignements utiles à partir de sites Web publics. Selon M. Clark : « Si vous mettez ensemble tous les renseignements non classifiés, parfois cela constitue un tout qui devrait être classifié. » M. Clarke a aussi déclaré que certains indices démontrent que d'autres groupes et États terroristes pourraient se livrer à des activités de cueillettes de renseignements semblables. La Maison-Blanche a donné aux bureaux fédéraux l'ordre d'examiner le contenu de leurs sites Web pour déterminer l'existence de renseignements de nature délicate et de faire part de ses conclusions au Bureau de la sécurité intérieure (Office of Homeland Security) avant le 19 juin 2002.
Le Bureau de la protection des infrastructures essentielles et de la protection civile (BPIEPC) reconnaît que le gouvernement et l'industrie privée doivent trouver un équilibre entre les renseignements du domaine public et ceux qui sont protégés. Dans le but d'augmenter la sensibilisation à ce problème, le BPIEPC a, le 17 janvier 2002, publié un Avis de sécurité sur les « Menaces potentielles en raison de la cueillette de renseignements à partir de sites Web »
et une Note d'information sur l'« Intérêt des terroristes pour l'approvisionnement d'eau et les systèmes SCADA ».
Renseignements de nature délicate accessibles au public
Le BPIEPC rappelle aux propriétaires et exploitants des IE qu'une politique en matière de sécurité de l'information est partie intégrante de toute stratégie relative à la protection des infrastructures essentielles (PIE). La politique devrait aborder les questions de production, d'entreposage, de transmission et de gestion d'information matérielle et électronique. Les recommandations qui suivent visent à compléter une politique en matière de sécurité de l'information existante.
L'information accessible au public peut prendre diverses formes, y compris les rapports d'entreprise, les communiqués médiatiques, les brochures, le matériel publicitaire, les sites Web sur Internet, les documents en ligne, les informations automatisées ou acheminées en personne, et les dossiers publics.
Le terme « renseignements de nature délicate » utilisé dans la présente évaluation fait référence à toute information qui permettrait à une personne malveillante de choisir une cible, ou d'obtenir des renseignements à son sujet, sans qu'elle ait à l'évaluer matériellement. Les questions qui suivent aideront les spécialistes de la sécurité à examiner les renseignements de nature délicate qui ont été mis à la disposition du public ou qui pourraient l'être.
- La diffusion publique de ces renseignements a-t-elle été autorisée?
- Si ces renseignements étaient transférés par inadvertance à des destinataires non voulus, quel en serait l'impact?
- Les renseignements fournissent-ils des précisions sur la sécurité de l'entreprise?
- Les informations contiennent-elles des renseignements personnels comme des notices biographiques, des adresses, etc.?
- Comment une personne ayant l'intention de nuire pourrait-elle utiliser ces renseignements à des fins abusives?
- Quelles directives devraient être données aux gardiens légitimes de renseignements de nature délicate au sujet de la diffusion de l'information à d'autres parties, comme les fournisseurs?
- Ces renseignements pourraient-ils présenter un danger s'ils étaient utilisés de concert avec d'autres renseignements accessibles au public?
- Quelqu'un pourrait-il utiliser l'information pour cibler le personnel, les installations et les opérations?
- Pourrait-on trouver la même information ou une information analogue ailleurs?
- Ces renseignements augmentent-ils l'intérêt pour une cible?
Une connaissance de l'environnement de sécurité aidera les propriétaires et exploitants des IE à décider du niveau de vigilance avec lequel ils examinent les renseignements de nature délicate. Les risques qui découlent de l'accessibilité du public aux renseignements de nature délicate proviennent, à la fois, de menaces déterminées et opportunistes.
Facteurs qui augmentent les risques de menaces déterminées
Pour les besoins de cette discussion, le terme « menace déterminée » fait référence à une personne malveillante dont l'objet est de nuire à une cible d'infrastructure essentielle (IE) prédéterminée et spécifique. Le risque d'une menace déterminée à l'égard d'une cible d'IE spécifique augmente selon la nature délicate des renseignements disponibles dans le domaine public.
L'objectif primaire de la menace déterminée est de décider comment déployer ses ressources limitées pour causer le plus grand impact possible à une cible bien précise. La personne malveillante aura déjà beaucoup réfléchi sur le choix de la cible et sur la façon de produire le maximum d'impact visuel ou opérationnel. Le choix de la cible a probablement été influencé par un nombre de facteurs préexistants y compris l'idéologie, les griefs personnels, les objectifs stratégiques et le désir de notoriété.
Une fois la cible choisie, l'auteur de la menace déterminée consacrera beaucoup de temps et d'efforts pour acquérir autant de renseignements de nature délicate que possible au sujet de la cible choisie et de son environnement. Souvent, la personne malveillante n'aura pas les moyens d'obtenir des renseignements précis de sources clandestines ou ne sera pas prédisposée à le faire. Elle cherchera plutôt à se fier aux sources ouvertes, comme l'Internet, les médias et les bibliothèques pour recueillir une mine de renseignements qu'il est possible d'obtenir de façon relativement anonyme. Les renseignements recueillis seront examinés soigneusement pour trouver des détails qui pourraient aider à planifier l'attaque sur la cible, y compris des précisions au sujet de la sécurité et de la vulnérabilité de celle-ci.
Le tableau présenté à l'Annexe 1 précise les catégories universelles de renseignements de nature délicate qui, s'ils devaient être communiqués au public, pourraient exposer les éléments d'IE à de plus grands risques de menaces déterminées. On encourage les propriétaires et exploitants d'IE d'utiliser ces catégories pour déterminer les occasions où la pertinence à leurs propres installations et opérations existe.
Facteurs qui augmentent les risques en provenance de menaces opportunistes
Le terme « menace opportuniste » fait référence à une personne malveillante qui a l'intention de nuire, mais dont la cible précise n'a pas encore été déterminée. Le risque pour une cible IE précise, que ce type de personne représente, augmente en fonction de l'intérêt relatif des renseignements de nature délicate disponibles dans le domaine public.
Par opposition à une menace déterminée, l'objectif primaire d'une personne malveillante opportuniste est de décider où déployer ses ressources pour causer le plus grand impact possible à des cibles perçues comme ayant une valeur similaire. Ce type de personne cherche à obtenir des quantités significatives de renseignements comparatifs sur des cibles potentielles et des environnements. Le choix de cible sera probablement influencé davantage par des considérations d'ordre pratique que par des objectifs idéologiques, personnels ou stratégiques.
Il est plus probable que l'auteur d'une menace opportuniste cherche à obtenir des renseignements comparatifs sur des cibles potentielles de sources ouvertes, comme l'Internet, que s'engager dans des activités exigeantes en termes de ressources et de collecte secrète de renseignements. La personne malveillante va recueillir des renseignements sur une gamme de biens semblables pour décider de la cible la plus intéressante à attaquer.
Les critères qui font qu'un bien soit une cible inattendue intéressante peuvent comprendre des détails au sujet de sa criticité, de son accessibilité, de sa récupérabilité, de sa vulnérabilité, de son caractère reconnaissable et de son interdépendance relatifs. Le risque que posent des éléments d'information de nature délicate à un bien peut être influencé par des facteurs comme :
- la disponibilité de renseignements de nature aussi délicate ou de nature encore plus intéressante au sujet de biens semblables;
- la disponibilité d'autres renseignements accessibles au public qui pourraient être utilisés parallèlement à des renseignements de nature délicate pour des raisons malveillantes.
- la disponibilité de renseignements de nature délicate qui pourraient être utilisés pour classer un bien comme étant d'un plus grand intérêt que d'autres.
Après avoir déterminé une cible précise grâce à une analyse comparative, la menace opportuniste comprendra l'une de deux méthodes suivantes. Premièrement, la personne malveillante peut attaquer la cible impulsivement avec très peu de planification additionnelle. Deuxièmement, la menace opportuniste peut devenir une menace déterminée si l'attaque est planifiée de façon méthodique et élaborée.
Stratégies de gestion du risque
Le BPIEPC est conscient du fait que les environnements de menaces sont toujours variés et modifiables. Le Bureau ne recommande pas l'élaboration de stratégies de gestion du risque distinctes contre les menaces opportunistes ou déterminées. Une menace opportuniste deviendra probablement une menace déterminée une fois la cible choisie. Le BPIEPC recommande que les stratégies de gestion du risque reconnaissent le continuum des risques que représente la disponibilité de renseignements de nature délicate accessibles au public et la présence de menaces opportunistes et déterminées.
Le BPIEPC recommande que les propriétaires et exploitants d'infrastructures essentielles (IE) examinent la disponibilité de renseignements de nature délicate en tenant compte des menaces déterminées et opportunistes. Les propriétaires et exploitants des IE devraient prendre en considération le fait qu'il n'y aura peut-être pas suffisamment de temps pour retirer du domaine public des informations potentiellement compromettantes une fois qu'une menace précise ait été déterminée. Il pourrait aussi y avoir des occasions, comme des sites d'archivage sur Internet ou dans des installations collectives, où il est impossible de retirer de façon permanente des renseignements du domaine public. Les propriétaires et exploitants pourront accroître leurs objectifs de protection des IE en reconnaissant le risque que provoquent de tels événements et en révisant leurs plans de protection en conséquence.
Annexe 1 : Catégories de renseignements potentiellement sensibles
| Types d'information |
Exemples |
| Emplacements et fonctions |
| Biens critiques [*] |
Biens de haute capacité et excédentaires |
| Cartes de topologie de réseau |
Intersections ou points d'encombrement |
| Biens à découvert/non protégés |
Ponts et biens au-dessus de la surface |
| Biens sans personnel |
Biens sous contrôle SCADA |
| Matières dangereuses |
Produits chimiques industriels ou stockage des déchets |
| Zones de rassemblement en cas d'urgence |
Postes et points de rendez-vous d'urgence |
| Évaluations |
| Évaluations de la vulnérabilité ou des risques |
Évaluations de sécurité |
| Études d'impact hypothétiques |
Études d'impact sur l'environnement |
| Évaluations des exercices d'évacuation ou d'autres formes d'exercices |
Compte rendu des scénarios en cas d'urgence |
| Limitations des installations |
Limites des risques lourds concernant les catastrophes naturelles |
| Capacités des installations |
Capacités excédentaires |
| Emplacement/données rangées ayant une fonction bien définie |
Comparaisons quantitatives des biens |
| Opérations |
| Plans de sécurité cybernétique et matérielle |
Mesures de sécurité concernant les installations et la technologie de l'information |
| Procédures opérationnelles du risque accru |
Mesures spéciales de protection |
| Scénarios d'urgence hypothétiques |
Scénarios d'arrêt des opérations |
| Marches à suivre en cas d'urgence |
Critères d'évacuation des installations |
| Plan de poursuite des activités |
Détails concernant des changements au niveau de la production |
| Procédures opérationnelles pour les situations à risque élevé |
Procédés critiques de production |
| Conceptions des installations |
Plans et photos |
| Manuels d'utilisation |
Méthodes d'interruption d'urgence |
| Procès verbaux |
Points saillants des inquiétudes récentes du point de vue de sécurité |
| Interdépendances |
| Renseignements sur les employés |
Adresses, information personne-ressource, etc. |
| Sources d'énergie |
Sources d'énergie ordinaire ou de secours |
| Biens et procédures de communications |
Postes de relais et protocoles radio |
| Méthodes de transport |
Routes utilisées pour le transport de MATDANG |
| Fournisseurs principaux |
Fabricant d'équipement de sécurité |
| Clients principaux |
Cibles potentielles de perturbation |
- [*] Le terme « biens critiques » signifie les données, les communications, les structures et systèmes opérationnels et en énergie qui sont nécessaires pour soutenir la continuité des opérations.
Note aux lecteurs
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) constitue le point de convergence au Canada pour les avertissements et l'analyse concernant les menaces et les vulnérabilités cybernétiques, ainsi que pour la coordination de la réponse aux incidents. Le CCRIC est chargé d'assurer la résilience de l'infrastructure essentielle nationale en surveillant les menaces et en coordonnant la réponse du gouvernement fédéral aux incidents de cybersécurité d'intérêt national. Le CCRIC, qui travaille conjointement avec le Centre des opérations du gouvernement (COG) de Sécurité publique Canada, constitue un élément clé de l'approche « tous risques » du gouvernement en regard de la gestion des urgences et de la sécurité nationale.
Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:
Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca