Les 20 principales vulnérabilités en matière de sécurité Internet pour l'an 2002 selon NIPC / GSA / SANS
Note d'information numéro : IN02-007
2 octobre 2002
Objet
Le National Infrastructure Protection Center (NIPC) du FBI, le programme FedCIRC de la U.S. General Services Administration (GSA), et le SANS Institute ont annoncé aujourd'hui les 20 vulnérabilités les plus souvent exploitées par les pirates informatiques et autres cybercriminels. La liste des 20 principales vulnérabilités est une mise à jour importante de la liste de l'année dernière. La présente liste comprend de nouvelles vulnérabilités et supprime des vulnérabilités de l'an dernier qui ne sont plus courantes.
Cette initiative est une des premières mises en œuvre par la National Strategy to Secure Cyberspace des États-Unis, qui a été publiée le 18 septembre 2002. Dans le but de souligner les efforts du gouvernement d'assurer le concours du secteur privé pour la sécurisation de l'infrastructure de la TI du pays, quatre fournisseurs de scanneurs ont annoncé en même temps de nouvelles versions de leurs produits qui ont subi avec succès des tests relatifs aux 20 principales vulnérabilités. En outre, le Federal Technology Service du GSA a annoncé qu'il créait un groupe de travail chargé de rédiger des spécifications au niveau de l'ordonnance des tâches pour permettre aux organismes fédéraux d'utiliser le programme de maîtrise d'œuvre SafeGuard de la GSA pour procéder à des tests de détection des 20 principales vulnérabilités et obtenir de l'aide pour les supprimer.
Vous trouverez la liste complète des 20 principales vulnérabilités et des documents connexes en suivant le lien.
Observation
Le National Infrastructure Security Co-ordination Centre (NISCC) du Royaume-Uni et le BPIEPC accueillent favorablement l'initiative américaine de publier une liste des 20 principales vulnérabilités de la TI. Ces deux organismes se sont engagés à travailler en collaboration avec leurs partenaires américains dans le but de sensibiliser davantage les intervenants aux vulnérabilités dans les systèmes de la TI et de l'importance de prendre les mesures correctives qui s'imposent pour protéger les systèmes d'attaques électroniques, au pays et dans le monde.
Renseignements pour les lecteurs
L'utilisation non autorisée des systèmes informatiques et les dommages relatifs aux données constituent une faute grave au Code criminel canadien. Si une personne est trouvée coupable d'une telle faute, elle est passible d'emprisonnement pour une période n'excédant pas dix ans. Toute activité criminelle présumée doit être signalée immédiatement à un organisme d'application de la loi local. Le Centre national des opérations (CNO) de la GRC est disponible tous les jours, 24 heures sur 24, pour recevoir de tels rapports ou pour réacheminer les appels aux organismes locaux d'application de la loi. Vous pouvez rejoindre le CNO au 613-993-4460. Les préoccupations portant sur la sécurité nationale doivent être signalées au Service canadien du renseignement de sécurité (SCRS).
Note aux lecteurs
Le Centre canadien de réponse aux incidents cybernétiques (CCRIC) fonctionne au sein de Sécurité publique Canada et collabore avec des partenaires au Canada et ailleurs pour atténuer les cybermenaces pour les réseaux essentiels à l'extérieur du gouvernement fédéral. Il utilise des systèmes permettant d'assurer le bon fonctionnement des infrastructures essentielles du Canada, comme les réseaux électriques et financiers, et conserver les renseignements commerciaux de valeur qui sont à la base de notre prospérité économique. Le CCRIC aide les propriétaires et les exploitants de systèmes d'importance nationale, y compris les infrastructures essentielles, et est chargé de coordonner l'intervention nationale en cas d'incident important de cybersécurité.
Pour obtenir des renseignements généraux, veuillez communiquer avec la division des Affaires publiques de Sécurité publique Canada:
Téléphone: 613-944-4875 ou 1-800-830-3118
Télécopieur: 613-998-9589
Courriel: communications@ps-sp.gc.ca