Principes de prévention contre les menaces sophistiquées et persistantes

Numéro : TR11-002
Date : 02 décembre2011

Public cible

Le présent rapport technique est rédigé à l'intention des professionnels et gestionnaires de la TI des gouvernements fédéral, provinciaux et territoriaux et des administrations municipales, ainsi que des industries à infrastructure critique et autres industries connexes.

Objetif

De nombreux cas d'infiltrations informatiques, attribuables à des groupes qualifiés de menaces sophistiquées et persistantes ou MSP (de l'anglais Advanced Persistent Threats), ont fait dernièrement les manchettes. Nous définissons ici les MSP, décrivons leurs procédés usuels et présentons des techniques de surveillance et de prévention susceptibles de réduire le risque qu'elles constituent pour les organisations. Les pirates ont jusqu'ici porté l'essentiel de leur attention sur les gouvernements, les forces armées et les entreprises d'armement. Toutefois, toute organisation risque de susciter leur intérêt et, en conséquence, d'en être la cible.

Définition des MSP

Définissons les MSP par chacun des mots qui composent le terme.

Menace. Le gouvernement du Canada définit ainsi menace : « Événement ou acte délibéré ou accidentel qui pourrait porter préjudice aux personnes, à l'information, aux biens ou aux services . » Les MSP sont jugées délibérées parce qu'elles sont, pour l'essentiel, le fruit d'une préméditation. À cet égard, les pirates ont des moyens (ressources, aptitudes et connaissances) et des fins comparables à ceux des États-nations. Par le passé, les gouvernements, les forces armées et les entreprises d'armement ont fait les frais des attaques . Toutefois, les pirates ont de plus en plus dans leur mire les organisations d'autres secteurs (ressources naturelles, énergie , transport, communication, sécurité de l'information ), les entreprises de recherche et développement ainsi que les cabinets d'avocats. Leur dessein est généralement le suivant : voler de l'information et la remettre à leur parrain pour qu'il en retire un avantage (stratégique, diplomatique, militaire, concurrentiel, technologique, économique).

Sophistiquée. L'adjectif sophistiquée désigne ici deux choses. D'une part, on croit habituellement qu'il qualifie le programme malveillant associé à la MSP. Ce n'est vrai qu'en partie. Il arrive en effet que les pirates disposent de programmes personnalisés complexes qu'ils peuvent modifier facilement pour contourner les antivirus et les systèmes de détection des intrusions. Dans de nombreux cas toutefois, ils se servent de programmes tirés de « trousses » ainsi que de logiciels librement accessibles, développés pour exploiter les vulnérabilités usuelles. D'autre part, l'adjectif qualifie les techniques qu'emploient les pirates pour choisir leurs cibles et pour amener des personnes, dans les organisations ciblées, à leur donner accès aux biens informationnels. Il s'agit là de fraudes psychologiques astucieuses, qui sont centrées sur un champ d'intérêt de la personne et dont le contenu semble crédible.

Persistante. L'adjectif persistante désigne également deux choses. Premièrement, il qualifie l'examen minutieux et sélectif de l'organisation auquel procède le pirate afin d'y sélectionner des victimes et d'obtenir suffisamment d'information pour les faire participer, malgré eux, à la première attaque. Deuxièmement, il désigne le fait que le pirate, une fois qu'il a pénétré dans le réseau de l'organisation à l'issue de cette première attaque, risque d'étendre discrètement, en réduisant au minimum son empreinte numérique, ses tentacules pour obtenir des données sur la topologie du réseau, les technologies qui le soutiennent les titulaires des comptes protégés. Voilà une démarche patiente et cachée susceptible d'aider le pirate à garder sa couverture et ainsi à conserver longtemps sont accès à l'organisation infiltrée.

Chronologie d'une attaque par des MSP

La société McAfee, éditrice de l'antivirus du même nom, a récemment publié un rapport d'analyse d'une de ces attaques ciblées . Selon les conclusions de ce rapport, tout comme celles d'autres rapports, notamment celui de la U.S.-China Economic and Security Review Commission , les attaques se déroulent ainsi :

  1. Reconnaissance. Le pirate cherche des personnes susceptibles de lui donner accès à l'organisation ciblée. Il dresse un organigramme à partir de l'information figurant sur le site Web de cette dernière, sur les sites Web des partenaires d'affaires et sur les médias sociaux. Dans certains cas, le pirate emploie des cartes professionnelles, les consignes d'inscription à un congrès ou des renseignements obtenus au cours d'une infiltration précédente. Courriels et conversations par messagerie instantanée peuvent aussi contribuer au ciblage. De plus, le pirate fait parfois usage de cette somme de renseignements pour connaître les objectifs, les projets, les contrats, les partenaires et les clients de l'organisation pour mettre au point ses attaques par fraude psychologique. Il arrive même qu'il embauche un employé ou le fasse chanter pour obtenir un accès.
  2. Fraude psychologique et transmission sélective de programmes malveillants. À l'aide des renseignements obtenus au cours de la reconnaissance, le pirate envoie des courriels à des employés précis de l'organisation. Selon toute vraisemblance, ces courriels proviennent d'une source sûre ou de confiance; leur objet et leur contenu présentent un intérêt pour le destinataire; même leur signature semble valide. En règle générale, ces courriels comprennent une pièce jointe ou un hyperlien qui, s'il est ouvert, lancent une série d'opérations visant à infiltrer le poste de travail du destinataire. La pièce jointe est parfois un document original de l'organisation ou d'un de ses partenaires, dans lequel le pirate a intégré un programme malveillant pour en faire un cheval de Troie. Dans nombre des cas signalés, ce programme exploitait une vulnérabilité du système pour laquelle le fabricant avait publié un correctif.
  3. Ouverture d'une porte dissimulée. Une fois le système infiltré, le pirate tente parfois d'étendre ses privilèges d'accès. Il parcourt la périphérie du réseau et installe d'autres programmes malveillants à des endroits qui n'éveilleront pas de soupçons ni de déclencheront d'alarmes. Le pirate peut également se servir de temporisateurs pour éviter que les ordinateurs hôtes infiltrés communiquent tous en même temps avec les composants malveillants externes de son infrastructure (codés dans le programme). Ainsi prévient-il le repérage facile de ces composants.
  4. Constitution d'une infrastructure de commande et contrôle. Une fois que le pirate a obtenu suffisamment de privilèges, il installe parfois d'autres dispositifs, notamment des enregistreurs de frappe et des outils de commande à distance (OCD). Il ouvre également une voie de communication avec son infrastructure de commande et contrôle.
  5. Atteinte des objectifs. Le pirate a divers objectifs : exfiltrer (extraire) des données, modifier des documents ou prendre les commandes de systèmes critiques. La plupart des infiltrations connues, attribuables à des MSP se sont soldées par des exfiltrations. Dans de tels cas, il arrive que le pirate cherche des fichiers comprenant l'information souhaitée (courriels, documents produits dans une suite bureautique, etc.). Il transfère ensuite ces fichiers vers un serveur de transit, ou point d'exfiltration, du réseau infiltré. Il s'agit d'un serveur par lequel passe habituellement un grand trafic. Ainsi le pirate évite-t-il d'éveiller les soupçons et limite le nombre de voies vers l'infrastructure de commande et contrôle. En règle générale, les fichiers sont compressés et chiffrés avant l'exfiltration.
  6. Maintien d'une présence. Une fois les données exfiltrées, le pirate déploie parfois de grands efforts pour maintenir une présence à long terme. On parle notamment de réduire les communications avec l'infrastructure de commande et contrôle, de réinfiltrer les systèmes réparés, de mettre à jour les programmes malveillants (pour éviter leur détection par les antivirus) et de surveiller les modifications aux systèmes (de nouveaux mots de passe, par exemple). En outre, pour maintenir sa couverture, le pirate met à profit diverses techniques, notamment les suivantes : installation de trousses administrateurs pirates (rootkit) par le truchement de chevaux de Troie, modification du registre, emploi des services Microsoft Windows.

Méthodes efficaces d'atténuation du risque lié aux MSP

La présente section décrit les méthodes efficaces d'atténuation du risque présenté par les MSP. On trouve à la section Méthodes d'atténuation exhaustives, à la fin du présent document, une liste complète de ces méthodes.

  1. Information et sensibilisation. Le moyen le plus économique dont dispose une organisation pour contrer les MSP, c'est probablement d'implanter un bon programme de sensibilisation afin d'encourager les employés à faire preuve de davantage de prudence et de doute, même si l'efficacité d'un tel programme peut être mise en cause. Pour faire une analogie, il ne sert à rien d'avoir des caméras, des contrôles d'accès et des serrures si un employé insouciant laisse entrer un inconnu. Les employés doivent se méfier des courriels comprenant des pièces jointes ou des hyperliens. Il faut notamment insister sur les points suivants :
    1. a. Demandez aux employés de se poser la question suivante : « Considérant mon rôle dans l'organisation, suis-je censé recevoir un courriel comprenant cette information? » À titre d'exemple, une adjointe au service des ressources humaines devrait-elle logiquement recevoir un rapport d'information stratégique d'un partenaire outre-mer?
      *Remarque : Dans nombre d'organisations, les employés administratifs, notamment les adjointes de direction, ont à lire des courriels et leurs pièces jointes. Songez à mettre à leur disposition des visualiseurs non standards, capables d'afficher les fichiers de types courants (Microsoft Office et Adobe par exemple).
    • b. Demandez aux employés de vérifier l'adresse de l'expéditeur. Il se peut qu'elle comprenne le nom exact d'un superviseur ou partenaire. Il se peut même que la signature du courriel soit valide. Toutefois, si l'adresse révèle que le courriel provient d'un service gratuit (Hotmail, Yahoo! ou Gmail), l'employé doit se poser la question suivante : « Mon superviseur enverrait-il un courriel professionnel à l'aide d'un de ces services  ? »
    • c. Demandez aux employés d'obtenir une confirmation. S'ils ont un doute, ils doivent téléphoner à l'expéditeur et lui demander : « M'as-tu envoyé ce courriel? » Dans une organisation bien au fait des MSP, une telle question n'aura rien d'étonnant.
    • d. Informez les employés des politiques du service de dépannage. Ils doivent savoir qu'en aucun cas ce dernier ne leur demandera un mot de passe, que ce soit par téléphone ou par courriel. Apprenez aux employés à signaler toutes les activités louches au service de dépannage avant d'ouvrir une pièce jointe ou de cliquer sur des hyperliens.
    • e. Surveillez et validez le degré de sensibilisation de l'organisation. Passez en revue les répertoires, les organigrammes et les autres documents accessibles au public. Les pirates s'en servent souvent pour cibler leurs attaques. Pensez à rédiger des courriels hameçons et à vous en servir pour vérifier régulièrement le degré de sensibilisation des employés présentant un grand risque, notamment les cadres et les administrateurs de réseau.
  2. Installation des correctifs de système. Si certains des MSP procèdent par attaques furtives  (zero-day attacks), un grand nombre des infiltrations tiraient profit de vulnérabilités pour lesquelles l'éditeur avait publié un correctif. Il faut en particulier installer les correctifs des applications de base des utilisateurs finaux, notamment Microsoft Office et les produits d'Adobe.
  3. Sécurisation des systèmes. Outre l'installation opportune des correctifs, il existe un certain nombre d'autres pratiques exemplaires et élémentaires de configuration qui permettent de réduire le risque d'une infiltration par une MSP. Les recommandations qui suivent sont de nature générale. Vous trouverez des documents d'aide d'un certain nombre d'autres sources, selon le système d'exploitation employé dans votre organisation.
    • a. Réduisez le nombre d'administrateurs. Le risque qu'un pirate réussisse une infiltration est réduit s'il est incapable d'obtenir les justificatifs d'identité d'un administrateur. Rares sont les employés qui ont légitimement besoin des privilèges d'administrateur pour réaliser leurs tâches quotidiennes. Pour ceux qui l'ont, il faut prévoir un compte distinct. Le compte d'administrateur ne doit pas servir à envoyer des courriels ou à naviguer sur le Web.
    • b. Dressez une liste des applications autorisées (liste blanche). Il existe des outils et des paramètres pour prévenir l'installation de logiciels non autorisés.
    • c. Chiffrez les données. Il faut utiliser un algorithme de chiffrement éprouvé pour conserver la confidentialité des données stockées ou en transit dans le réseau.
    • d. Désactivez les services inutiles.
    • e. Implantez une fonction de hachage des fichiers dans les dispositifs critiques. Il arrive que les pirates installent ou modifient des fichiers ou des services dans les hôtes infiltrés pour maintenir leur présence. Pour aider à trouver ces fichiers modifiés, l'utilisation d'un vérificateur d'intégrité de fichier s'impose.
  4. Gestion du périmètre réseau. Configurer adéquatement le périmètre réseau réduit les risques que présente une MSP. À cet égard, il faut savoir concilier les besoins opérationnels légitimes et les pratiques exemplaires en matière de sécurité de l'information. Il est également impératif de surveiller régulièrement les dispositifs formant le périmètre. Voici quelques principes généraux de configuration du périmètre qui s'appliquent à la cybersécurité en général et aux MSP en particulier :
    • a. Installez une passerelle de courrier électronique. Elle doit comprendre un antivirus de préférence distinct de celui employé à l'intérieur du réseau. Employez le protocole SPF (Sender Policy Framework) . Configurez la passerelle de manière qu'elle bloque les courriels externes comprenant une adresse interne. Bloquez les fichiers exécutables et autres pièces jointes dangereuses .
    • b. Installez un filtre de contenu Web. Il doit comprendre une fonction de balayage actif du contenu. Étudiez la faisabilité de dresser une liste des sites Web autorisés (liste blanche) en fonction des politiques opérationnelles et des politiques d'utilisation acceptable. Bloquez tous les sites qui n'y figurent pas. C'est particulièrement pertinent dans le cas des sites ou est activé le protocole S-HTTP ou les services Dynamic DNS. Empêchez le téléchargement des fichiers exécutables, difficiles à contrôler (p. ex., les fichiers compressés protégés par mot de passe) ou dangereux de quelque autre façon.
    • c. Surveillez activement les dispositifs formant le périmètre, de préférence à l'aide d'une fonction de journalisation centralisée, intégrée à un corrélateur d'événements.
    • d. Mettez en œuvre un serveur DNS mandataire ayant une fonction de puisard. L'infrastructure d'un pirate tire parfois profit du flux de traduction des adresses IP pour parer aux enquêtes. Comme il est possible d'associer des noms de domaine à une MSP, on peut rapidement, à l'aide d'un puisard DNS (sinkhole), empêcher les connexions à ces domaines et vérifier si des hôtes sont infectés.

Indices d'une infiltration par une MSP

Pour détecter les activités malveillantes, il est utile de journaliser les événements de façon centralisée et de mettre en œuvre un corrélateur. Il faut surveiller et analyser en bonne et due forme les événements détectés, par exemple les alertes déclenchées par les antivirus et les systèmes de prévention ou de détection des intrusions. Le fonctionnement anormal d'un serveur hôte est un autre indice de la présence d'une MSP, en particulier s'il se produit en dehors des heures normales. On parle notamment des changements soudains de la performance du serveur (utilisation du processeur, espace disque, entrées-sorties de disques dans les magasins de données essentielles), ou encore du volume de trafic réseau. Plus précisément, les organisations pourraient tenir compte des indices suivants :

  1. Sorties imprévues de données chiffrées. Le transfert de données chiffrées au moyen du protocole SSL ou TLS ne devrait se faire que vers des sites Web autorisés, qui répondent aux objectifs de l'organisation ou à la politique d'utilisation acceptable. Il faut examiner les transferts sécurisés (par S-HTTP) vers d'autres sites, ainsi que les transferts chiffrés faits au cours d'une session HTTP ordinaire.
  2. Transferts sortants de volumes importants de données par le protocole HTTP ou S-HTTP. Les transferts normaux par HTTP ou S-HTTP sont asymétriques. En règle générale, une requête sortante de faible volume par un utilisateur entraînera une réponse de grand volume. Il faut vérifier la présence d'une infiltration dans tout appareil transmettant par HTTP ou S-HTTP de grands volumes de données sortantes, à mois qu'il s'agisse d'un serveur Web.
  3. Connexion à un appareil critique du réseau qu'on ne peut attribuer à un employé autorisé. Par appareil critique, on entend les contrôleurs de domaine, les routeurs, les dispositifs de protection du réseau et les dépôts sécurisés des mots de passe. Il faut consigner dans un appareil de journalisation central (extérieur à l'appareil potentiellement infiltré) toutes les connexions, qu'elles soient fructueuses ou non. On doit régulièrement lire les journaux produits et les comparer aux activités de l'administrateur.
  4. Accès à distance inexpliqué. Les services d'assistance se servent souvent du protocole RDP (Remote Desktop Protocol) ou du système VNC (Virtual Network Computing) pour analyser les problèmes d'ordinateurs. Il faut enregistrer dans un journal l'utilisation de ces outils, et analyser tout accès inexpliqué par RDP ou VNC.
  5. Communications Web, traduction de noms de domaine et chaînes d'agent utilisateur inhabituelles. Un autre indice de violation de la sécurité potentiellement attribuable à une MSP est la tentative, par des ordinateurs hôtes, d'établir des communications par des requêtes à des serveurs de noms de domaine inconnus, ou encore d'établir des connexions directes sans passer par le serveur Web mandataire de l'entreprise. Il en va de même des hôtes utilisant des chaînes inhabituelles d'agent utilisateur. Pour savoir si les activités inhabituelles sont légitimes ou non, il importe de connaître le trafic réseau usuel.

Méthodes d'atténuation exhaustives

La Defence Signals Directorate (DSD) du gouvernement australien a dressé une liste de méthodes recommandées de prévention contre les MSP. Il s'agit là d'une source précieuse, mise à jour régulièrement. Nous reproduisons ci-dessous ces méthodes, dans l'ordre décroissant d'efficacité établi par la DSD . La mise en œuvre des quatre premières aurait permis de prévenir 85 % des attaques ciblées.

  1. Installez les correctifs des applications (p. ex., visualiseur PDF, lecteur Flash, Microsoft Office et Java). Dans le cas des vulnérabilités à risque élevé, installez ces correctifs dans les deux jours suivant leur publication. Utilisez les dernières versions des applications;
  2. Installez les correctifs du système d'exploitation. Dans le cas des vulnérabilités à risque élevé, installez ces correctifs dans les deux jours suivant leur publication. Utilisez la dernière version du système d'exploitation;
  3. Limitez le nombre d'utilisateurs ayant des privilèges d'administrateur de domaine ou d'administrateur local. Donnez à ces derniers un compte d'utilisateur sans privilèges pour les courriels et la navigation sur le Web;
  4. Dressez une liste des applications autorisées (liste blanche) pour empêcher l'exécution des logiciels malveillants ou non autorisés. Servez-vous, par exemple, des Stratégies de restriction logicielle de Microsoft ou bien d'AppLocker;
  5. Prévoyez un système hôte de prévention ou de détection des intrusions afin de reconnaître les activités inhabituelles : introduction de traitements, enregistrement des frappes, chargement de pilotes, captage d'appels (call hooking) et autres;
  6. Filtrez le contenu des courriels en dressant une liste blanche des types de pièces jointes permises en fonction des besoins de l'organisation. Il est préférable de convertir ou de nettoyer les pièces jointes au format PDF ou Microsoft Office;
  7. Bloquez les courriels mystifiés en vérifiant les courriels entrants à l'aide du protocole SPF, ainsi qu'en tenant un registre exhaustif des enregistrements SPF ayant échoué à la vérification. Ainsi préviendrez-vous la mystification du domaine de votre organisation;
  8. Informez les utilisateurs (p. ex., sur les menaces Internet et sur l'hameçonnage ciblé par courriels trompeurs). Évitez d'utiliser des phrases de passe simples, de réutiliser des phrases de passe, d'exposer les adresses courriel et d'utiliser des dispositifs USB non approuvés;
  9. Filtrez le contenu Web entrant et sortant à l'aide de signatures, de cotes de confiance ou d'autres méthodes heuristiques, ainsi que d'une liste des contenus permis;
  10. Dressez une liste blanche de tous les domaines autorisés plutôt qu'une liste noire d'un petit nombre de domaines malveillants. Il s'agit là d'une méthode plus méthodique et préventive;
  11. Dressez une liste blanche des domaines HTTPS ou SSL autorisés plutôt qu'une liste noire d'un petit nombre de domaines malveillants. Il s'agit là d'une méthode plus méthodique et préventive;
  12. Inspectez les fichiers Microsoft Office sur les postes de travail afin de repérer les irrégularités, par exemple en utilisant la fonction Validation de fichier Office de Microsoft;
  13. Installez sur les postes de travail un pare-feu logiciel configuré de manière à refuser par défaut les transferts et ainsi à assurer une protection contre le trafic entrant malicieux ou non autorisé provenant du réseau;
  14. Installez sur les postes de travail un pare-feu logiciel configuré de manière à refuser par défaut les transferts et à n'autoriser que les applications sélectionnées à générer du trafic sortant vers le réseau;
  15. Segmentez le réseau en zones sécurisées isolées pour protéger les renseignements confidentiels et les services essentiels tels que les données d'authentification des utilisateurs et les données de l'annuaire des utilisateurs;
  16. Appliquez des mécanismes d'authentification forte (multifactorielle) aux moments où l'utilisateur est sur le point de lancer des commandes privilégiées ou d'accéder à une base de données ou à d'autres dépôts de renseignements confidentiels;
  17. Procédez à la sélection aléatoire de phrases de passe uniques et complexes pour les administrateurs locaux de tous les ordinateurs. Utilisez des privilèges de groupe de domaines au lieu de comptes administrateurs locaux;
  18. Appliquez une politique sur les mots de passe stricte quant à la complexité, à la longueur, à l'exclusivité et à l'interdiction de recourir à des mots figurant au dictionnaire;
  19. Protégez la passerelle au moyen d'un pare-feu gérant le protocole IPv6 pour empêcher les ordinateurs d'accéder à Internet autrement que par un serveur de noms de domaine segmenté, un serveur de courriels ou un serveur mandataire authentifié;
  20. Utilisez la fonction Prévention de l'exécution des données (DEP), en tirant parti des mécanismes logiciels et matériels pour toutes les applications logicielles qui prennent en charge la DEP;
  21. Utilisez un antivirus dont les définitions virales, les cotes de confiance et les autres fonctions de détection heuristiques sont à jour. Utilisez un antivirus provenant d'un éditeur différent pour la passerelle et pour les postes de travail;
  22. Utilisez des environnements d'exploitation virtualisés, sécurisés, non persistants et à accès limité au partage de fichiers dans le réseau pour les activités à risque telles l'ouverture de courriels et la navigation sur le Web;
  23. Prévoyez une journalisation centralisée et synchronisée des activités autorisées et bloquées dans le réseau, analysez régulièrement les journaux et stockez-les durant au moins 18 mois;
  24. Prévoyez une journalisation centralisée et synchronisée des événements informatiques autorisés et bloqués, analysez régulièrement les journaux et stockez-les durant au moins 18 mois;
  25. Utilisez un système d'exploitation normalisé, dans lequel vous avez désactivé les fonctions inutiles (p. ex., IPv6, le lancement automatique et le Bureau à distance). Resserrez les droits d'accès aux fichiers et aux registres;
  26. Resserrez les règles de configuration de la sécurité des applications sur les postes de travail (p. ex., désactivation des fonctions inutiles des visualiseurs PDF, des applications Microsoft Office et des navigateurs Web);
  27. Restreignez, dans la mesure du possible, l'accès aux services NetBIOS exécutés sur les postes de travail et sur les serveurs;
  28. Resserrez les règles de configuration de la sécurité des applications serveur (p. ex., bases de données, applications Web, systèmes de gestion des relations avec la clientèle et autres systèmes de stockage des données);
  29. Contrôlez les supports mobiles dans le cadre d'une stratégie de prévention de la perte de données qui tient compte du stockage, de la manipulation, des listes blanches de dispositifs USB, du chiffrement et de la destruction;
  30. Prévoyez le chiffrement par protocole TLS des communications entre les serveurs de courriel afin de prévenir l'interception de courriels légitimes et leur utilisation à des fins trompeuses. Balayez le contenu des courriels déchiffrés;
  31. Désactivez, sur les postes de travail et les serveurs, la prise en charge des mots de passe LAN Manager et la mise en cache des justificatifs d'identité afin de compliquer le piratage de l'empreinte numérique des mots de passe;
  32. Bloquez les tentatives d'accès à des sites Web à l'aide de leur adresse IP au lieu de leur nom de domaine;
  33. Prévoyez un système réseau de prévention ou de détection des intrusions fonctionnant avec des signatures et d'autres méthodes heuristiques pour déceler le trafic anormal interne et celui qui franchit le périmètre du réseau;
  34. Utilisez une passerelle pour faire respecter une liste noire des adresses IP et des domaines malicieux connus, y compris les domaines dynamiques et autres domaines offerts gratuitement à des utilisateurs d'Internet inconnus;
  35. Enregistrez tout trafic dans le réseau afin d'être en mesure de faire des analyses à la suite d'intrusions. Stockez le trafic du réseau des sept derniers jours au minimum.

Ressources additionnelles

Note aux lecteurs

En appui à la mission de Sécurité publique Canada de bâtir un Canada sécuritaire et résilient, le mandat du CCRIC est d'aider à assurer la sécurité et la résilience des cybersystèmes essentiels non gouvernementaux à la base de la sécurité nationale, de la sécurité publique et de la prospérité économique du pays. À titre d'équipe d'intervention en cas d'incident lié à la sécurité informatique du Canada, le CCRIC agit comme centre national de coordination pour la prévention, l'atténuation, l'intervention et le rétablissement liés aux incidents cybernétiques commis contre des systèmes non fédéraux. Pour ce faire, il formule des conseils éclairés, offre du soutien et coordonne l'échange de renseignements ainsi que l'intervention.

S'il vous plaît noter que la clé PGP du CCRIC a récemment été mise à jour.
http://www.securitepublique.gc.ca/cnt/ntnl-scrt/cbr-scrt/_fl/CCIRCPublicPGPKey.txt

Pour obtenir des renseignements de nature générale, veuillez communiquer avec la division des Affaires publiques de l'organisme :

Téléphone : 613-944-4875 ou 1-800-830-3118  
Télécopieur : 613-998-9589 
Courriel : ps.communications-communications.sp@canada.ca

Date de modification :