Jean-François Vaillancourt et Jean-François Gignac : Webinaire sur la cybersécurité

Dernière modification le 25 mars 2024 à 14:45.

Temps estimé pour la lecture de cet article : 36 min

Quels sont les principaux enjeux de cybersécurité pour la PME et la grande entreprise à l’ère du 4.0 ?

En particulier lors d’un mouvement de masse vers le télétravail comme en pleine crise du COVID-19 ?

Jean-François Gignac, NETsatori

Comment s’assurer qu’on ne tombe pas dans la paranoïa totale (saine gestion du risque) ?

Aller vers l’infonuagique, est-ce moins sécuritaire que tout héberger chez soi (hébergement sur les lieux) ? ☁

Quelles sont les tendance actuelles du marché de la cybersécurité ?

Nous avons abordé ces questions lors d’un échange en direct avec Jean-François Vaillancourt et Jean-François Gignac, de l’entreprise NETsatori

NETsatori est spécialisée dans la sécurisation de réseaux complexes, la protection des données et offre aussi une vaste étendue de produits et services reliés à la cybersécurité.

Jean-François Vaillancourt est fondateur et Président de l’entreprise. Passionné depuis longtemps par la cryptographie, les intrusions informatiques les batailles entre les bons et les méchants, il s’intéresse donc depuis toujours à la cybersécurité.

Jean-François Gignac est VP Ventes. Oeuvre en cybersécurité depuis environ 10 ans.

Enjeux de cybersécurité

Dans cette discussion, il est question de plusieurs enjeux reliés à la cybersécurité, notamment :

  • Du périmètre traditionnel sujet à la sécurité est considérablement élargi et devient désuet.
  • D’augmentation de la surface d’attaque potentielle lors d’un mouvement rapide vers le télétravail.
  • De méthodes de mitigation et de contrôles compensatoires pour diminuer le risque d’intrusions malicieuses dans ce dernier cas.
  • De solutions de type VPN et de segmentation des réseaux informatiques.
  • De ne pas prendre de décision rapide et d’y aller avec la tendance marketing. Mais de prendre une décision réfléchie, pensée.
  • De l’importance de se reposer sur les bases de la cybersécurité, notamment en faisant en appel à des cadres et standards de sécurité comme le NIST (National Institute of Standards and Technology). Ce cadre contient notamment des recommandations sur la sécurisation des flottes de télétravail.
  • D’hygiène réseau, c’est-à-dire de pratiques peu coûteuses pour gérer les risques de sécurité.

 

Objectifs de la cybersécurité

« Dans cette période de pandémie, on parle souvent d’aplatir la courbe.

Pour faire un parallèle, en cybersécurité, l’objectif ultime est de restreindre la surface d’attaque, de fermer les portes pour lesquelles il n’y a pas un besoin légitime de les ouvrir.

À un moment donné, vous voulez tout simplement être une cible moins attrayante que le voisin.

En cybersécurité, il n’y a jamais de solution parfaite. C’est toujours une question de réduire votre surface d’attaque, c’est une question de rendre l’attaque plus coûteuse en temps et parfois en argent. De telle sorte qu’ils vont s’attaquer plutôt à l’autre personne à côté.

C’est un peu comme la joke du gars avec l’ours dans le bois avec son chum. C’est important que vous courriez un petit peu plus vite que votre chum quand l’ours est après vous. »

Jean-François Vaillancourt



Audit

La réalisation d’un audit de sécurité est souvent le point de départ des interventions de NETsatori dans une entreprise.

« Il n’est pas anormal, lorsqu’on fait un un audit de cybersécurité avec un client, de trouver 40, 50, 100 ou même 200 % plus d’avoirs et d’objets dans l’environnement client que le client pensait avoir. »

Jean-François Gignac



Pour écouter le webinaire au complet :


Transcription complète

Bonjour tout le monde, bon matin, bon mardi, bienvenue à cette nouvelle séance en direct qui aujourd’hui va porter sur la cybersécurité.

C’est un sujet qui est quand même très d’actualité ces temps-ci.

J’ai le plaisir de recevoir avec nous les deux Jean-François, donc Jean-François Vaillancourt de NETsatori et Jean-François Gignac aussi.

Je comprends que tout le monde est à la maison en ce moment. Vous, vous êtes organisés en mode télétravail depuis un certain temps, c’est bien ça?

Non. En fait, le télétravail, ça fait partie de notre ADN. Tous les employés sont équipés à 100%.

On est capable de maintenir 100% de nos opérations en mode « remote » et pas dégradé.

Excellent, même des coins les plus reculés.

Peut-être que je vais vous laisser un peu de temps pour vous présenter chacun un peu votre parcours rapidement et qu’est-ce qui vous a amené

à œuvrer en sécurité, en sécurité TI.

Parfait. Donc, bonjour tout le monde. Moi, c’est Jean-François Vaillancourt.

Je suis le fondateur et président de NETsatori, une petite firme d’experts conseils en cybersécurité avec une vision de services gérés.

Donc, nous, on travaille principalement avec la grande entreprise des Desjardins de ce monde, Transat, Bombardier, etc.

Et on a par contre aussi des solutions pour le « mid market ».

Et dans le contexte actuel, on peut aussi être d’intérêt pour la PME.

On a étendu notre offre un petit peu à la PME, plus par souci civique qu’autre chose.

Donc, on va parler de différents concepts ce matin qui pourraient être d’intérêt pour n’importe quelle entreprise au Québec.

Donc, moi, personnellement, ça fait plus de 20 ans que je suis en sécurité. Donc, avant que ça ne devienne « hot » et populaire, les enquêtes informatiques, chasser des méchants dans des réseaux. Donc, j’ai toujours été passionné par la cryptographie, les intrusions informatiques, les batailles contre les bons et les méchants. Donc, c’était un petit peu les Star Wars du réseau.

Puis ça, ce n’est pas avec de l’étude, mais les bons et les méchants.

Exactement.

Donc, on voit en fait de plus en plus d’intérêt, de plus en plus.

Même, je dirais, de criticité de la cybersécurité pour les entreprises de type moyenne et grande.

Donc, c’est un sujet qui est énormément d’actualité.

Et on a énormément de préoccupations dont les gens nous font part, particulièrement en période de pandémie où il y a des flottes de télétravailleurs qui ne sont des fois pas nécessairement habitués à être en mode de télétravail.

La surface d’attaque des entreprises s’accroît et ça amène vraiment beaucoup de défis.

Il y a des campagnes malicieuses très, très actives en ce moment qui ciblent justement les télétravailleurs avec des attaques de « phishing », de « spear phishing ». On va rentrer là-dedans un petit peu par après.

Mais en ce moment, la période de pandémie déstabilise les gens, ouvre aussi des nouvelles portes dans les entreprises qui amènent un niveau de risque qui est fortement accru en ce moment.

OK. On va y revenir là-dessus. Jean-François Gignac, je vais te laisser peut-être te présenter de ton côté.

Là, je suis Vice-président..

Je vais présenter brièvement l’autre JF, comme on l’appelle. C’est un peu le « running gag », parce qu’on est deux JF, travaillant dans la même équipe.

Donc, l’autre JF, Jean-François Gignac, notre vice-président aux ventes, lui, c’est aussi une personne qui a plus d’une dizaine d’années d’expérience en cybersécurité. Il a fait des grandes écoles comme Cisco. Plus récemment, une couple de startups israéliennes avec un focus très important en sécurité, IoT, sécurité et réseaux industriels. Donc, on est très bien équipé avec lui pour parler de sécurité dans un contexte d’industrie 4.0.

Excellent.

Puis, en fait, c’est une nouvelle embauche pour toi ? Il a joint les rangs de NETsatori il y a deux ou trois mois, je crois ?

Ça fait à peu près un mois.

OK.

Bon, super.

Jean-François, on est dans une période particulière. On est dans une période particulière, sans vouloir être super opportuniste par rapport à la situation de toute cette pandémie-là.

Il y a eu un gros mouvement vers le télétravail, puis ça continue.

Il y a des entreprises qui, en l’espace de quelques jours, une semaine, ont tout transféré.

En fait, à tout le moins, ceux qui ne sont pas dans le manufacturier, mais tous les employés de bureau ont été envoyés chez eux pour qu’ils puissent pouvoir fonctionner.

À quoi ça expose ces entreprises-là d’un point de vue risques d’intrusion?

Je ne sais pas.

Tantôt, tu faisais référence au fait qu’on augmente la surface ou la superficie d’intrusions possibles. Surface d’attaque ?

Surface d’attaque !

Oui, mais en fait, ce qui arrive, je vais vous donner un exemple qui illustre très, très bien c’est quoi la problématique.

On a un de nos gros clients que je ne nommerai pas pour des raisons évidentes. Eux autres, ce qu’ils ont à faire compte tenu de l’urgence de pouvoir mettre leur force de travail en télétravail. Dans ce cas-ci, on parle de plusieurs personnes qui n’étaient pas déjà équipées.

En télétravail, ils ont carrément donné un chèque de 1 000 $ pour dire :

OK, va-t-en au Best Buy, achète-toi un laptop, puis voici la procédure pour te connecter au bureau.

Donc, ce sont des machines qui ne sont pas « onboardées » sur un Active Directory. Ce sont des machines sur lesquelles il n’y a pas de GPO ou de script qui permettent de faire la configuration puis d’endurcir les machines.

Une bonne pratique quand on travaille avec des équipements comme ça pour une flotte de télétravailleurs, c’est de mettre en place des mesures pour conserver le contrôle de ces « endpoints », parce que ça ne devient pas essentiellement une porte dans le réseau de la compagnie non contrôlée.

Comment on fait ça concrètement?

C’est qu’on va, un, « onboarder » ces machines-là sur, généralement, Active Directory. Ils vont avoir, après ça, des scripts d’endurcissement pour « disabler » les services non essentiels. On va avoir aussi des logiciels spécialisés, ce qu’on appelle des « endpoints security ». Donc, c’est beaucoup plus que des antivirus.

C’est de la télémétrie qui se fait au niveau de ces équipements-là pour regarder, contrôler, enregistrer les activités qui sont faites. Puis, après ça, faire de la corrélation pour détecter de façon très, très, très tôt, une attaque potentielle.

Et, non seulement ça, on va aussi rentrer tous ces équipements-là dans des consoles de gestion pour savoir qui se « logue ». On va, généralement, coupler ça aussi avec ce qu’on appelle un MFA, un Multi-Factor Authentication.

Donc, au minimum, on va rouler avec un bidule comme ce que je vous montre ici. C’est ce qu’on appelle une calculette. Donc, ça peut prendre une forme physique comme dans celle-ci qui m’a été fournie par un client pour rentrer dans son système. Ou ça peut être simplement un texto qui est envoyé sur votre téléphone, votre smartphone.

Donc, on va s’assurer que c’est non seulement l’équipement de la personne, que c’est la personne aussi, par sa possession, le deuxième facteur d’authentication.

De cette façon-là, on va pouvoir faire des tests.

On va augmenter notre certitude que c’est, effectivement, votre employé qui rentre dans votre réseau. Que ce n’est pas un « hacker » qui a capturé les « credentials » comme le « user » et le mot de passe. Et, de cette façon-là, on peut resserrer un petit peu le contrôle d’accès.

Deuxièmement, une bonne pratique, ça va être d’utiliser des applications comme Citrix, pour ne pas les nommer. C’est celui qui est le plus répandu. Où on sait que la personne manipule un « desktop » virtuel. Et, de cette façon-là, on est capable de contrôler l’extrusion des informations.

Par exemple, vous travaillez sur des systèmes, des dossiers patients, des réclamations d’assurances, des systèmes financiers. On s’assure que c’est une espèce de petite bulle éphémère qui va se diluer une fois que la session est terminée. Et que, donc, elle est simplement hébergée de façon temporaire sur l’ordinateur avec lequel votre employé va se connecter.

Mais que les informations entrantes et sortantes de vos systèmes sont contrôlées parce que c’est une machine virtuelle sur laquelle vous avez plein contrôle.

Donc, ça, je dirais que c’est pas mal comme la façon idéale de rouler quand vous êtes en télétravail.

Mais, sauf que les entreprises qui, en ce moment, ne sont pas configurées comme ça, ils ne peuvent pas se virer de bord et le monter très rapidement.

Mais, il y a quand même d’autres choses qu’on peut faire. Il y a des contrôles compensatoires. C’est toujours une question de peser le coût ou l’intrusivité d’une mesure de sécurité versus les bénéfices que ça va amener.

Ça dépend aussi de votre modèle d’affaires.

Souvent, les clients vont dire, « Oui, mais je ne suis pas à la NASA ! »

À partir du moment où vous utilisez des informations qui pourraient mettre votre compagnie à risque, par exemple, des informations qui permettent de faire des transferts financiers, vous avez un devoir comme gestionnaire.

Vous devez faire un « due diligence » pour sécuriser ces informations-là.

Donc, au minimum, ça va demander de regarder quels sont les privilèges que vous accordez à des employé(e)s.

C’est toujours une question de, en ce moment, on parle beaucoup d’aplatir la courbe pour la pandémie.

Donc, en cybersécurité, c’est une question de restreindre la surface d’attaque, de fermer des portes qui n’ont pas des besoins illégitimes d’être ouvertes.

Donc, il y a des choses très simples, absolument non dispendieuses, peut-être d’un point de vue segmentation de votre réseau. Vous donnez des accès VPN. Ça, c’est le réseau virtuel privé.

On a des canaux encryptés qui vont rouler entre la flotte de laptops de vos employés et vos systèmes, mais vous n’avez peut-être pas besoin de donner accès à tout, à tout le monde.

Donc, toutes les solutions de VPN permettent de faire des restrictions.

Donc, on va avoir des… Souvent, c’est mappé avec des groupes dans Active Directory. Puis, on va dire, les systèmes financiers, il y a juste le monde qui a affaire à tous les jours à travailler avec qui devrait y avoir accès. Donc, on va avoir une liste de contrôle d’accès dans la configuration du profil VPN.

Et on ne donne accès aux systèmes financiers qu’à ces personnes-là.

C’est sûr qu’une personne malicieuse pourrait se faufiler à travers un autre système et faire une attaque latérale. Mais c’est toujours une question de rehausser la barre, rehausser la barre.

Puis, à un moment donné, c’est que vous voulez simplement être une cible moins attrayante que le voisin. Parce que c’est une question de sous.

En cybersécurité, il n’y a jamais une solution parfaite.

C’est toujours une question de réduire votre surface d’attaque, de rendre la job plus compliquée, plus coûteuse en temps. Et des fois en argent à des « hackers ». De telle sorte qu’ils vont aller plutôt s’attaquer à l’autre personne à côté.

C’est un peu comme la « joke » du gars avec l’ours dans le bois avec son chum.

Donc, c’est important simplement que vous couriez un petit peu plus vite que votre chum quand l’ours est en train de vous courir après. 🐻🏃‍♂️

J’aime beaucoup l’image !

Ça me permet de comprendre. Jean-François Gignac, tu es de retour. En fait, l’autre Jean-François a pris soin de bien te présenter tantôt.

Peut-être que là, on peut aborder un peu plus le volet 4.0. Dans le fond, on est dans une phase du monde numérique dans les entreprises où il y a beaucoup de connectivité, il y a beaucoup d’ouverture. On parle de plateformes mobiles, tu sais, utilisées par exemple par la force de vente ou les gens de gestion pour consulter et mettre à jour de l’information.

On parle de plateformes applicatives qui peuvent être hébergées ailleurs en mode SaaS, dans des centres de données.

On parle de l’internet des objets aussi.

Donc, par exemple, des puces qui sont intégrées à des véhicules en mouvement.

C’est quoi les grands enjeux d’un point de vue sécurité dans ce monde-là aujourd’hui? Il y a beaucoup d’entreprises qui poussent pour développer ces technologies-là. C’est quoi les enjeux avec lesquels on se retrouve aujourd’hui par rapport à la surface d’attaque qui est, j’allais dire, disponible ?

Le terme est peut-être mauvais, mais la surface d’attaque qui est ouverte ou qui est rendue, disons, ouverte pour des gens qui ont des intentions malveillantes.

Ça, c’est une très belle question pour l’autre JF qui est un spécialiste en sécurité IoT.

En fait, c’est toute une question parce que tu as mis beaucoup d’éléments dans ta question.

Malheureusement, c’est la réalité de tous, surtout ces temps-ci où est-ce qu’on se retrouve dans un mode… Non familier pour certains. Et on doit reposer sur les bases, en fait, en cybersécurité.

Ça fait quand même un certain temps que l’industrie existe.

Il y a beaucoup de frameworks ou de, je peux dire, de types d’encadrement qui sont disponibles beaucoup gratuitement pour essayer d’identifier de quelle façon on peut se mesurer à une certaine approche d’étanchéité ou d’essayer de réduire notre surface d’attaque, comme Jean-François le mentionnait.

Mais ce qu’il faut comprendre, c’est que le périmètre… Le périmètre traditionnel d’avoir un réseau et d’avoir certains dispositifs de sécurité comme un pare-feu, ça devient désuet, cette mentalité-là.

Parce qu’en fait, comme tu l’as mentionné, on a l’Internet des objets. On a plein de trucs qui vivent dans nos environnements qui ne sont pas nécessairement faciles à contrôler ou à gérer ou même à identifier.

Il n’est pas anormal que lorsqu’on fait un audit avec un client, on trouve 40 %, 50 %, 100 %, 200 % plus d’avoirs et d’objets dans l’environnement client que le client pensait avoir. Et ça, c’est petite, moyenne entreprise, grande entreprise, très grande entreprise, multinationale.

C’est vraiment une tendance, malheureusement, qui est présente un peu partout.

Et ça va s’accentuer tout dépendamment de l’industrie dans laquelle le client se retrouve ou dans quel vertical, si on peut dire.

Mais pour revenir à ta question, en fait, je pense qu’il faut revenir à la base. Il faut être capable de se comparer de façon honnête… Et de se doter d’outils, d’être en mesure de s’assurer qu’on compte sur trois choses dans notre approche.

Qu’on est en mesure de gérer les technologies nécessaires et les outils nécessaires pour assurer la protection de notre entreprise, mais que ce soit aligné aussi avec les opérations.

D’avoir de la sécurité, mais qui va étouffer l’entreprise, ça ne sert à rien.

Parce que l’entreprise va mourir.

Il faut avoir les gens, c’est-à-dire qu’il faut bien former nos gens, il faut les encadrer, il faut leur fournir l’accompagnement nécessaire pour qu’ils puissent bien faire leur travail et qu’ils soient au courant.

Ils ont un rôle à jouer parce qu’on peut investir des centaines de milliers de dollars dans une infrastructure de sécurité pour que ça soit complètement mis à part très rapidement par un usager qui va cliquer sur la mauvaise chose ou qui va avoir le mauvais comportement, qui peut exfiltrer des données, etc., etc.

Évidemment, il y a des scénarios qui sont plus difficiles de se protéger contre, mais dans l’ensemble, on peut prendre de bonnes étapes pour essayer de se doter des bons processus.

C’est la dernière composante.

Pour être capable d’encadrer nos opérations et la réalité de nos employés et de ce qu’on a besoin de protéger, en fait. Parce que les joyaux de la couronne d’un Desjardins n’est pas les mêmes joyaux de la couronne d’un Bombardier, ce n’est pas les mêmes joyaux de la couronne d’une PME, etc.

Il faut être en mesure de pouvoir créer de la sensibilisation au niveau de la sécurité parce que ça passe par les gens d’abord et ça va se gérer par des processus et on va fournir les outils nécessaires pour arriver à la bonne place.

Je pense qu’une des choses qui est la plus importante, surtout ces temps-ci, c’est de, malgré la tentation, de ne pas prendre de décisions irréfléchies ou d’y aller avec la tendance marketing ou par une recommandation autre qu’on ne peut pas valider et de dire, bien moi, je vais m’en aller vers ça parce que ça semble être ce que tout le monde fait dans le moment.

La réalité de chacun, elle est différente.

Je comprends. Qu’est-ce que tu veux dire d’y aller avec la tendance marketing?

Bien, en fait, je pense qu’une des choses qui nuit le plus à l’industrie de la sécurité, c’est le bruit.

Il y a énormément de bruit sur le marché.

C’est comme se présenter chez un concessionnaire automobile, ne pas comprendre comment le véhicule fonctionne, qu’est-ce que tu dois mettre dedans, de quelles options tu peux choisir et au lieu d’avoir trois modèles pour faire un choix, tu en as 253 sur le plancher.

Alors c’est très difficile aujourd’hui si on n’a pas nécessairement l’éducation nécessaire.

Je ne parle pas de l’éducation académique mais l’éducation sur les choix des solutions, qu’est-ce qui est disponible, qu’est-ce qui fait du sens pour mon entreprise, c’est très difficile de s’orienter.

Ça fait que se trouver un aviseur-conseil de confiance qui est en mesure de nous orienter ou de donner les conseils nécessaires, pas nécessairement pour nous faire acheter des choses, mais plutôt pour nous guider, d’utiliser ce qu’on a déjà en place et d’essayer de maximiser, en fait, les budgets qu’on a disponibles pour essayer d’assurer la protection de notre entreprise.

Je pense que le défi, c’est qu’il y a beaucoup de choses qu’on voit.

On parle beaucoup de « cloud » régulièrement. Les gens veulent aller vers le « cloud », ils veulent mettre leurs données dans le « cloud ». C’est plus sécuritaire, c’est moins facile à « hacker », etc., etc.

Pas nécessairement vrai.

En fait, on voit qu’il y a beaucoup d’approches, pas nécessairement réfléchies à la façon dont on va entreposer nos données, sans nécessairement connaître de quelle façon elles sont sécurisées.

Quels sont les dispositifs de sécurité, les outils nécessaires, les outils disponibles pour que je puisse voir de quelle façon mes informations sont protégées ?

Tu sais, il y en a de toutes sortes, malheureusement.

Et il y a des fournisseurs de services qui ne sont pas nécessairement axés sécurité, ils sont plus axés disponibilité.

Et selon le type d’entreprise auquel on vit, tu sais, Jean-François a fait allusion à IoT. Ça, c’est l’Internet des objets.

On parle d’IT. Ça, c’est les TI traditionnels d’une entreprise qu’on peut appeler corporatives.

Et on peut parler aussi de OT, qui est toute la technologie opérationnelle. Alors, traiter les eaux usées, un environnement hydroélectrique, ça peut être un environnement industriel, manufacturier, etc.

Tout ça, ça se parle, en fait.

Et la difficulté, c’est que si on regarde à la base, on va prendre un encadrement de base qui est fourni, qui est gratuit, qui est open source, qui est disponible sur l’Internet.

On parle souvent de NIST. Et NIST va faire référence à un modèle de base de dire, bien, identifiez. Alors, premier, protéger ensuite, se doter des outils pour faire la détection des intrusions ou des anomalies, être capable de répondre et de se récupérer des événements qu’on va vivre. On a passé…

Juste pour le bénéfice de l’audience, qui n’est peut-être pas toute full technique, quand on parle de NIST, on parle d’un organisme gouvernemental américain, l’Institut national des standards technologiques, qui a, entre autres, publié toute une série de guides très pertinents, très intéressants.

Donc, par exemple, l’envisage des réseaux industriels, comment sécuriser une flotte de télétravailleurs.

Ça, c’est un lien que j’ai partagé sur LinkedIn il y a quelques jours. Et Simon, tu pourrais peut-être le rendre disponible aussi sur Facebook.

Donc, c’est des ressources gratuites que le gouvernement américain met à disposition et qui sont très, très, très pratico-pratiques. Donc, il n’y a pas de fla-fla là-dedans.

C’est des checklists, des choses actionnables que toute personne intéressée par la sécurité devrait lire.

C’est de très bonnes informations aussi, très concises et très actionnables.

OK.

Je vous laisse aller. Je vais copier le lien dans les commentaires pendant ce temps-là.

Merci, Simon.

Merci, JF.

C’est une excellente intervention, d’ailleurs.

Des fois, on oublie quand on travaille dans le domaine qu’il y a certaines choses qu’on se sert à tous les jours qui, malheureusement, n’est pas nécessairement le cas avec tout le monde.

Et c’est un peu aussi la problématique de la sécurité.

Souvent, c’est un petit peu obscur pour la plupart des gens. Donc, il faut être capable de vulgariser, être capable de comprendre de quelle façon on peut agir sur certaines choses rapidement sans nécessairement faire des investissements massifs.

On a passé d’une industrie, en fait, qui a vécu des mouvements. Et dans les derniers mouvements où on est rendu dans le moment, les tendances technologiques, c’est qu’on s’en va dans un endroit où est-ce qu’il y a des outils qui sont disponibles aujourd’hui et que les usagers simplement ne connaissent pas.

Et on parle de technologies qui sont adéquates, qui sont propres.

On ne parle pas nécessairement « d’open source ».

On ne parle pas d’insertion de « malware » ou de maliciel ou des choses comme ça. On parle vraiment de technologies qui sont utilisables, qui sont bien fondées et qui peuvent fournir, en fait, des outils qui sont peu coûteux, très efficaces et qui vont faire une combinaison d’avoir une présence dans l’environnement client et aussi avoir une présence dans le « cloud », environnement hybride.

Il y a plein de solutions, malheureusement, qui ne sont simplement pas connues parce que l’industrie bouge si vite.

Oui, et en fait, même si on zoom out deux secondes, chez NETsatori, on a une pratique assez active qui fait des audits de sécurité, à ne pas confondre avec des tests intrusifs.

Les deux ont leur utilité. Les deux font quelque chose d’assez différent, par contre.

Donc, un audit de sécurité, c’est qu’on va littéralement s’asseoir avec vous pour regarder comment le réseau est monté, comment vous gérez la sécurité dans le « day to day », les configurations des équipements, etc., etc.

Ce qu’on voit dans l’énorme majorité des audits qu’on fait, et on fait des audits autant pour des cégeps, des commissions scolaires, des très grosses entreprises comme des banques, puis tout ce qui est « in-between », ce qu’on voit, un thème récurrent, c’est que généralement, les problématiques sont les mêmes.

Donc, on voit, par exemple, que la segmentation des réseaux est insuffisante.

Comment est-ce qu’on est capable de ralentir une attaque informatique mais c’est justement en ne mettant pas tout dans un même « bucket »?

Donc, vos systèmes financiers, par exemple, ne devraient pas être directement en contact, par exemple, de serveurs de fichiers.

Ils ne devraient pas être directement en contact de la petite madame à la réception.

Il y a vraiment des meilleures pratiques qui ne coûtent vraiment pas grand-chose pour faire des partitions virtuelles dans votre réseau.

Généralement, on parle de VLAN.

Dans les environnements qui sont un peu plus sophistiqués, on va avoir des zones avec des « firewalls », des segmentations.

On parle généralement des organisations avec plus de moyens.

Mais l’idée, c’est qu’on va ralentir un attaquant et on va lui donner plus de chances de faire du bruit et de se faire détecter.

Deuxième chose, on voit beaucoup de gens qui vont mettre, par exemple, des « firewalls » et dire « Ah, mais je suis en sécurité parce que j’ai un firewall ! ».

Le seul petit problème… Quand on commence à gratter en dessous de la couverte, on voit que le « firewall », il n’y a pas un chat qui regarde les « logs », qui n’est pas instrumenté pour détecter des menaces ou encore que c’est un « firewall » d’une vieille génération qui ne fait aucune décryption SSL, par exemple.

Donc ne détectera pas des canaux de « command and control » pour quelqu’un qui est infecté avec un « malware » et en fait, sa machine est sous le contrôle d’une gang de « hackers » en Russie.

Donc, il y a des thèmes qui reviennent constamment, constamment, constamment.

Et la bonne nouvelle, c’est que ce n’est pas tellement dispendieux de régler ces problématiques-là.

Et en cybersécurité, on voit que les gens qui se font défoncer, c’est généralement par des portes qui se sont laissées grandes ouvertes. Ce n’est pas mal toujours les mêmes problématiques qui reviennent.

Donc, c’est pour ça que j’aime beaucoup parler avec nos clients d’hygiène réseau.

C’est bon.

Vous dites à vos enfants de vous brosser les dents, vous leur dites de vous laver les mains.

Essentiellement, c’est des techniques d’hygiène qui sont très simples, faciles à enseigner, faciles à mettre en application et qui ne coûtent pas grand-cher et qui ne coûtent pas grand-chose.

Donc, en cybersécurité, c’est essentiellement la même chose.

Donc, commencez par avoir un système pour regarder les « logs de firewalls » ou donnez-le à un fournisseur de services de sécurité gérés qui font ça à longueur de journée. Et c’est ce genre de stratégie-là qui va vous permettre de réduire de façon très importante votre surface d’attaque.

Et encore une fois, je vous rappelle, vos besoins ne sont peut-être pas les mêmes que ceux de la NASA.

Donc, probablement pas. C’est juste d’être moins alléchant comme cible que l’autre compagnie d’à côté.

Oui, c’est fermer les portes, mettre des obstacles pour les intrusions sans complètement étanchéiser.

À 100 %, ce qui ne se peut probablement pas.

Exactement.

Ce n’est pas possible. À moins de se débrancher de l’Internet, ce n’est pas possible.

Je veux juste revenir à un point que Jean-François a fait parce que je pense qu’il est important.

Oui, donnez à un fournisseur de services, mais donnez avec les yeux ouverts et soyez exigeants dans vos demandes à savoir de quelle façon ils opèrent et quels sont leurs principes de sécurité et de quelle façon est-ce qu’ils vont gérer vos données et comment vont-ils interagir avec vous.

Ce sont toutes des choses qui sont importantes lorsqu’on choisit un fournisseur de services. Surtout quand on va lui confier nos données ou l’accès à nos environnements.

Les gens ne se posent pas nécessairement ces questions-là régulièrement.

Est-ce qu’on irait voir un médecin qui travaille à partir d’une ruelle?

Je ne pense pas.

Peut-être par les temps qui courent, mais pas normalement. 😷

C’est ça !

J’imagine que c’est ça.

J’imagine que pour vous, le meilleur client, c’est celui qui se présente chez vous, qui n’est pas en mode de crise et qui est sensibilisé au fait qu’il veut sécuriser son réseau. Il veut voir à quel point son réseau est sécurisé.

Vous, vous arrivez avec un point de vue externe et vous faites un audit pour dire voici l’état des lieux, voici les zones potentielles dangereuses et voici ce qu’on recommande.

C’est comme ça que vous travaillez de façon générale ?

C’est souvent la première étape.

Avec un client, on a de nombreux clients où tout a commencé par un audit réseau.

Ils ont aimé notre approche. On leur fait réaliser qu’ils avaient des vulnérabilités, des fois graves. On démontre à ce moment-là une approche très pragmatique. On ne va pas leur demander d’acheter pour des millions de dollars de cossins alors que c’est une compagnie qui n’a pas ces moyens-là.

On va vraiment adapter nos solutions au budget du client, à sa réalité, et les amener à rehausser leur sécurité de façon très concrète et pragmatique sur le terrain.

On n’ira pas proposer la navette spatiale à une usine en Beauce qui fait des machines à couper les poulets. 🐔

Comédien à ses heures, Jean-François.

Pour remettre en contexte, quand on parle d’audit réseau et on se date un peu dans le temps on utilise des expressions comme ça des fois, mais ça ne veut pas dire nécessairement se limiter au réseau informatique.

On peut parler de comment les identités et les accès sont gérés au sein de l’entreprise.

Si c’est une entreprise qui est aux prises avec l’industrie 4.0, qu’est-ce que ça veut dire pour moi de faire une migration vers un monde digital versus l’analogue?

Quels sont mes systèmes de contrôle?

De quelle façon je peux gérer ma production?

Et quelles sont les incidences de sécurité alentour de ça? Ce sont toutes des choses qu’on fait également.

Juste pour sortir de la capsule analyse réseau, audit réseau, c’est un peu plus large que ça.

Très bien. Il nous reste quelques minutes avant de passer au moment du « pitch » de votre côté, je veux juste inviter les gens qui sont en ligne sur Facebook à y aller avec vos commentaires, vos questions, le cas échéant. Ça va me faire plaisir de les relayer aux deux Jean-François, comme ils ne sont pas en ce moment branchés sur Facebook. C’est moi qui joue le rôle de relais. N’hésitez pas à y aller avec vos questions et vos commentaires.

Juste avant, on va voir si on a des questions ou commentaires.

La question que j’aimerais peut-être vous poser maintenant, c’est « Est-ce qu’il y a des mythes par rapport à la sécurité en ce moment dans l’industrie? »

Des mythes?

Oui.

Tu parles de l’insecte ou tu parles des phénomènes non validés?

Je dirais plus des phénomènes non validés.

Moi, il y en a un que j’entends presque tous les jours. Je vais laisser Jean-François renchérir par la suite. Malheureusement, surtout du côté des environnements, de l’industrie 4.0, avoir ce qu’on appelle un « air gap » communément, qui est une zone qu’on croit débranchée du reste de l’entreprise, ce n’est pas une stratégie de sécurité.

C’est simplement un outil parmi tant d’autres.

Malheureusement, à cause de la promotion de la connectivité depuis des années par les fournisseurs industriels, on se retrouve avec des environnements qui sont hyper branchés.

On peut avoir des ponts entre des réseaux ou on peut avoir un environnement sans fil qui va passer à travers toutes les méthodes de sécurisation qu’on a pu mettre dans le passé.

C’est un monde complètement différent et malheureusement qui s’est très mal adapté à notre réalité aujourd’hui avec des objets qui sont branchés dans nos environnements ou connexes ou qui parlent à trop de choses ou qui ne sont simplement pas pensés avec de la sécurité en tête et qui font malheureusement des comportements très vulnérables au sein de l’entreprise.

Ça peut permettre à un acteur malicieux de passer par soit la sécurité industrielle ou opérationnelle pour se rendre à la sécurité corporative et vice versa.

D’ailleurs, on a plusieurs exemples qui se sont produits pendant les dernières années.

On peut parler du Stuxnet et plusieurs autres menaces industrielles qui ont permis d’avoir accès aux environnements corporatifs.

Ce n’est pas différent pour la PME, ce n’est pas différent pour une ville, ce n’est pas différent pour une entité gouvernementale qui doit se permettre d’avoir la visibilité des deux côtés de la clôture, si je peux m’exprimer comme ça.

Juste pour renchérir là-dessus, on parle d’un « air gap » pour les réseaux industriels.

La réalité est malheureusement souvent très différente. L’année dernière, j’ai fait une série d’audits de réseaux industriels dans le pétrochimique. La majorité des usines que j’auditais, il y avait des PC Windows XP qui étaient « end of » tout, plus supportés depuis des années par Microsoft, aucune page de sécurité qui roulait des logiciels qui eux-mêmes étaient ultra vulnérables avec des vieilles versions de DNC qui étaient très truffées de vulnérabilité de sécurité et qui avaient deux cartes réseau. Une carte dans le réseau de contrôle de procédés et une carte réseau avec une autre adresse IP dans le réseau IT.

Tout ça, c’était pour pouvoir contrôler les usines à distance avec une connexion RDP qui est évidemment, elle aussi, truffée de vulnérabilité de sécurité.

Le client disait : « Oui, j’ai un air gap, mon réseau de contrôle de procédés ne touche pas au réseau IT et ne touche pas à l’Internet. »

Il avait oublié le fait que sa machine roulait un VNC ultra vulnérable.

Le client a été très démoralisé quand j’ai expliqué c’était quoi la vulnérabilité auquel il s’exposait.

Il a dû réviser ses façons de travailler. Il a dû changer des choses au niveau de son contrôledes usines parce quec’était une énorme porte pour des hackers.

C’est juste un exemple pris parmi d’autres.

C’est malheureusement souvent ce qu’on voit quand on fait des audits, surtout des usines avec des technologies un peu plus vieilles et qui n’ont jamais voulu investir au niveau de la sécurité réseau.

Oui, c’est ça.

À un moment donné, un jour, le réveil vient.

En fait, vous êtes comme un peu dans une position comme un docteur qui pose un diagnostic. Vous révélez les choses comme elles sont.

Oui.

La bonne nouvelle, c’est qu’il y a toujours un pronostic positif. Il s’agit de mettre les efforts, puis de passer le temps pour le faire et s’entourer des bonnes composantes, des outils, la sensibilisation et les processus pour y arriver.

OK.

Il est 11h33.

En fait, on a déjà dépassé notre temps et on ne semble pas avoir de questions pour tout de suite.

Ce qu’on va faire, peu importe les gens, vous pouvez en poser suite au « live » et moi, ça va me faire plaisir de les relayer aux deux Jean-François.

Je vais vous laisser conclure peut-être votre pitch, vous dire un peu plus ce que vous offrez à tout le monde et comment on peut vous rejoindre et si vous avez des annonces particulières à faire par rapport à des événements qui s’en viennent, allez-y.

Une première chose qui peut être pertinente pour l’auditoire, c’est qu’en période de pandémie, les manufacturiers avec lesquels on travaille pour des produits et services de cybersécurité ont tous des offres, soit gratuites ou avec des escomptes extrêmement importants.

Par exemple, pour une compagnie qui voudrait sécuriser des accès à distance de télétravailleurs, la compagnie Palo Alto Networks offre des « packages » de services gratuits pour 90 jours.

Cisco aussi a une offre similaire.

On travaille avec Crowdstrike, avec différents manufacturiers.

Si vous êtes intéressés à voir ce qui est possible pour au moins la période de pandémie, vous pouvez nous contacter et on peut vous aiguiller sur des solutions qui restent étonnamment pas dispendieuses compte tenu des circonstances.

Il y a des solutions qui se déploient à 100 % en mode infonuagique. Il n’y a aucune visite dans vos locaux qui va être requise. On peut faire 100 % des activités « remote » et, par exemple, vous permettre de reprendre le contrôle, d’augmenter le niveau de sécurité d’une flotte de télétravailleurs.

Ces solutions-là, on va installer un agent sur chacune des machines qui sont dans le champ avec votre personnel et le tout va être connecté avec des facilités infonuagiques qui vont pousser des politiques de sécurité à chacune de ces machines-là, faire de la détection d’intrusion et, même en cas d’attaque,

il y a des équipes qu’on peut « leverager » qui vont vous aider à reprendre le contrôle de vos informations le tout à distance.

Si ça vous intéresse, toutes nos informations de contact sont sur le site web de NETsatori.

Et ça va nous faire plaisir de vous donner un coup de main pour relever vos défis de cybersécurité.

Jean-François, est-ce que tu as quelque chose à ajouter ?

Je pense que mon Président fondateur a fait une bonne job. Je dirais qu’au-delà des solutions qu’on peut offrir évidemment, il y a du service conseil, il y a de l’orientation, il y a de l’accompagnement. On offre des services professionnels. On offre des services gérés également.

Donc même si c’est de façon temporaire, on peut définitivement aider des entreprises durant une transition comme celle-ci et on peut fournir des opérations critiques qu’eux, malheureusement, ne peuvent peut-être pas faire.

Donc, on peut être un pont pour les amener au-delà de la situation présente et les aider à vivre l’événement d’une façon gérée plutôt que dans un mode réactif.

OK. Super. Très bien.

Messieurs, je vous remercie beaucoup de vous être rendus disponibles ce matin. Ça a été bien apprécié. On a eu un bel échange. Comme je vous disais, 30-35 minutes, ça passe assez vite. Malgré les petits enjeux qu’on a eus de connexion Internet, on se revirait de bord assez rapidement.

Alors, merci. Je vais mettre fin au live à l’instant.

Je vous demanderais juste peut-être de rester en ligne deux petites minutes par après.

Bye bye tout le monde. À la prochaine.

OK. Merci tout le monde.

Vous aimerez aussi ces webinaires

Écrit par Simon Chamberland

Simon oeuvre dans l'univers numérique depuis 1997. Il possède plus de 20 ans d'expérience de conseil en gestion et technologies. Il s'est donné comme mission d'être constamment au-devant pour permettre à ses clients d'amorcer et accélérer leur transformation numérique. Il est l'humain derrière L'Éclaireur. Pour le rejoindre sur LinkedIn.

avril 1, 2020

Vous pouvez également consulter