Les affaires, 14 mai 2005, Cahier 2

[" | CAHIER A | SÉCURITÉ INFORMATIQUE SOMMAIRE Les entreprises de têl lille ation Les ravages que peuvent faire les pirates de haut vol dépassen I'imagination! Des Victimes, que la police avait prises pour les malfaiteursgent ainsi faillisÿ8 retrouver en prison.Facilité INFORMATIQUE CANADA INC.ISO 9001 EXPERTISE ET CONFIANCE D Facilité Informatique regroupe des experts chevronnés et certifiés en sécurité des TI D Nos méthodologies éprouvées vous permettront d'adresser vos prioritées organisationnelles en matière de sécurité Contactez-nous au 514-284-5636 ou www.facilite.com.Montréal H Québec EH Ottawa HE Paris EH Boston EN LES AFFAIRES | SÉCURITÉ INFORMATIQUE | 14 MAI 2005 La sécurité préoccupe grandement les gens d'affaires Réunis dans un colloque tenu à Saint-Hyacinthe, ils s'entretiennent de la situation Gaël Le Corre- Laliberté gael lecorre@transcontinental.ca La 13° édition du Colloque québécois de la sécurité de l\u2019information (CQSI) a permis de mettre l\u2019accent sur l\u2019éducation en matière de sécurité auprès du personnel d\u2019une entreprise.Sous le thème « La sécurité, c\u2019est, une affaire de communication », le colloque s\u2019est déroulé à Saint-Hyacinthe les 26 et 26 avril derniers.Quelque 400 personnes avaient répondu à l'invitation de l\u2019Association de la sécurité informatique de la région de Québec (ASIRQ) et de l'Association de la sécurité de l\u2019information de la région de Montréal (ASIMM).La présidence d'honneur était assurée par Jacques Du- chesneau, président et chef de la direction de 'Administration canadienne de la siireté du transport aérien (ACSTA) et ex-directeur du Service de police de la Communauté urbaine de Montréal.Une quarantaine d'experts provenant des quatre coins de l'Amérique étaient présents aux différentes conférences, tables rondes et autres démonstrations technologiques.Ils ont répondu aux interrogations des participants.Le journal LES AFFAIRES a recueilli plusieurs réactions à la suite du colloque.Des employés qui travaillent à distance Jean Audet, vice-président, technologie de l'information et administration des contrats, de L'Union-Vie compagnie d'assurance-vie : « Le quart de notre personnel travaille à domicile, dit M.Audet.Certaines de ces personnes sont amenées à effectuer des évaluations de risque ou encore des études de réclamations.Pour cela, elles ont accès à distance aux dossiers de nos clients.« D'où l'importance primordiale que nous accordons à la sécurité informatique, qui doit cas! La présidence du 13¢ Colloque québécois de la sécurité de l'information était assumée par Jacques Duchesneau, président de l'Administration canadienne de la sûreté du transport aérien.être la plus haute et la plus fiable possible à tout moment.Il n\u2019est en effet pas question que des regards indiscrets puissent tomber sur ces dossiers confidentiels.« J'ai apprécié le colloque pour la variété des sujets abordés et pour la qualité des experts invités.Les présentations de conformité.modèle de TI.1\" et 2 juin 2005- Le coût: 250 $ L'ordre du jour détaillé tm VOUS invite à la Hotel OMNI Mont-Royal 1050, rue Sherbrooke ouest Montréal (Québec) H3A 2R6 EMC HEC Deloitte.McMILLAN BINCH MENDELSOHN et la formule d'inscription à l'événement sur le site Web www.converge-net.com/events ou R.S.V.P.& events@converge-net.com ou appellez au (514) 939-2163.Conférence 2005 sur les lois de CONFIDENTIALITE Les 1° et 2 juin 2005 Comprendre les objectifs des lois sur la confidentialité et les appliquer dans un véritable environnement de TI.* Aider à comprendre les étapes à suivre dans l'étaboration d\u2019une politique Apprendre comment déceler les aspects vulnérables de votre modèle de transmission de données.* Découvrir les critères qui vous seront nécessaires afin d'élaborer vos politiques.« Comprendre comment interpréter vos politiques dans la mise en œuvre de votre * Découvrir les ressources disponibles qui permettront d\u2019améliorer la conformité au sein de votre organisation.Des directives sur la façon de protéger vos données entreposées, en transit sur des réseaux sécurisés, et sur des réseaux non sécurisés ou publics.Partenaires et participants WY McAfee dog ayant trait à la gestion de crise et la gestion des identités m'ont captivé.I] est en effet crucial de savoir qui a le droit de faire quoi sur un réseau : plus le réseau devient complexe, plus il est important de bien définir les autorisations.» L'affaire de tous Sylvie Sigouin, chef de service, sécurité d'exploitation informatique, de Desjardins : « La sécurité est maintenant l'affaire de tous, à tous les niveaux de l\u2019entreprise, dit-elle.Ce n\u2019est plus la responsabilité de la seule l\u2019équipe informatique, mais de tous les employés.C\u2019est ce point qui m'a le plus intéressé dans le colloque.« Autre point intéressant : le défi pour les entreprises de respecter les exigences juridiques, comme celles de la loi C-198 ou Sarbanes-Oxley Pour certaines entreprises, cela peut entraîner une revue de fond en comble de ses processus d\u2019affaires.Le colloque m'a permis de rencontrer des gens d'affaires qui ont les mêmes préoccupations que les miennes, et je trouve cela très enrichissant.» Préoccupation constante Pierre Comeau, directeur des opérations, Département d'informatique et de génie logiciel, de l'Université Laval : « Aujourd\u2019hui, pour que la sécurité du réseau informatique d'une entreprise soit efficace, on ne peut plus se passer de la formation des employés, dit M.Comeau.Il est important que chacun comprenne bien l'importance de la sécurité et en tienne compte dans sa façon de travailler.« Le danger peut venir aussi bien de l'extérieur (virus, pirates, etc.) que de l\u2019intérieur (employés malveillants, etc.).La sécurité doit donc devenir une préoccupation constante des entreprises, et même des universités, qui doivent veiller à ce que des étudiants ne puissent pas consulter des dossiers informatiques de professeurs.« Le Colloque m'a permis de découvrir les tendances en matière de sécurité informatique, ce qui me permettra d'améliorer les programmes de formation de mon département.» « Où est l'équilibre parfait ?» Hugo Dominguez, directeur, sécurité informatique, de l'UQAM : « Mon défi est de trouver l\u2019équilibre entre la liberté de recherche des étudiants et des professeurs et la sécurité nécessaire à toute université, dit M.Dominguez.« Par exemple, dois-je bloquer tout message ou toute recherche comportant le mot Viagra, qui est une source phénoménale de pourriels, mais aussi un sujet de recherche pertinent ?m et hg ent Eur ev \u2018un et de Fautre, voire des J nd © en +m ttt it i Aeterna torent reins i te i Ls wet ir ot td tt ed en ces ra?rat Fi tf Ph Ep # lS tr i - [vr rl rt res rear tete attention \u2014ctvaltss ceutse-ditie-nE core csen tente a VOD SE EE | LES AFFAIRES | SÉCURITÉ INFORMATIQUE Trois étapes pour se doter d'un système de sécurité Neuf entreprises canadiennes sur 10 disent accorder une grande importance à la sécurité de leurs données, selon Ernst & Young ______\u2014 dossiers @transcontinental.ta Neuf entreprises canadiennes sur 10 disent accorder une grande importance à la sécurité de leurs données, selon une étude menée en 2003 par Ernst & Young.Or, seulement une sur deux (46 %) agit véritablement en conséquence.C\u2019est pourquoi René Vergé, René Vergé, de CGI, conseille de donner au personnel des règles claires d'utilisation du réseau informatique.directeur, services-conseils, de CGI, conseille aux entreprises déficientes de procéder en trois étapes pour se doter d\u2019un système de sécurité adéquat : stratégique, tactique et opérationnel.C\u2019est l\u2019étape stratégique qui requiert le plus de réflexion.L'étape stratégique Il s\u2019agit d'établir les grandes orientations du plan de sécurité : par exemple, déterminer le type de système le mieux adapté à la mission d'affaires de l\u2019entreprise, nommer le principal responsable et définir les mécanismes spécifiques (autorisations d'accès, mise à jour des mots de passe, etc.).Cette réflexion peut être poussée encore plus loin, et déterminer entre autres la politique de l\u2019entreprise en matière d'utilisation personnelle d'Internet pendant les heures de travail, ou encore les pratiques de courriel recommandées.« Nous suggérons aux entreprises de rédiger un document clair, de deux ou trois pages, expliquant tout cela aux employés », dit M.Vergé.La rivalité des catfcaions s'accroît au Québec C'est pourquoi on assiste à une forte compétition entre \u201cles différents organismes de certification, qui riva- \u201clisent entre elles grâce à \u201c de nouvelles certifications.En 2002, l'Information Systems Audit and Control -Association (ISACA) lançait la CISM, destinée aux gestionnaires de la sécurité informatique.L'autre grand acteur, l\u2019International Information Systems Security Certification Consortium (ISC2), répliquait l\u2019année suivante avec la certification SSCP pour l'architecture de systèmes.\u2019 \u2014 Ces différentes certifi- .Cations attestent que leurs titulaires ont une expertise élevée en sécurité informa- , tique et qu'elle est parfaite- \u201cment djour Des connaissances surtout théoriques Michael Albertson, prési- dent-de SecurIP services conseils, estime que les \u2026 entreprises devraient consi- + dérer les certifications somme une priorité pour = Sur le marché de Ia sécurité FE informatique, il devient très \u201c avantageux d\u2019avoir une où \u201cplusieurs certifications attes- -tant de ses.compétences.7 \u201c Selon Michae!'Albertson, \"de SecurlP, rien ne vaut l'expérience d'uno gestion quotidienne-de la sécurité.leur sécurité informatique.\u201c «Toutefois, les certifications assurent que telle personne a un bon bagage de connaissances, surtout théoriques, et pas nécessairement pratiques », reconnaît-il.Est-ce que l'employé certifié sera capable de résis- - ter à la pression, le moment venu ?Pourra-t-il travailler - en respectant les contraintes de l\u2019entreprise, souvent budgétaires ?« Seule l\u2019expérience d\u2019une gestion quotidienne de la sécurité permet d'acquérir de telles compétences », poursuit- : ALaGLL- De plus, il est important de déceler les secteurs les plus sensibles du réseau informatique, et d\u2019agir en conséquence.A cet égard, il est bon de se poser trois questions : > Quelles menaces pèsent sur le système (virus, piratage) ?> Quelle est le degré de vulnérabilité des différentes parties du système ?> Quelles peuvent être les conséquences concrètes d\u2019une attaque réussie ?La meilleure protection ne parviendra jamais à empêcher un employé d'ouvrir un courriel suspect.En répondant à ces questions, l'entreprise est alors en mesure d'élaborer un plan directeur dictant les mesures concrètes à mettre en place.Ce plan peut permettre de déterminer entre autres les besoins en sécurité des réseaux téléphoniques et informatiques, les procédures d'identification du personnel à adopter et les programmes de formation à faire suivre aux employés.C\u2019est souvent à l'étape stratégique que les PME souffrent de carences, souligne Patrick Naoum, vice-président, services professionnels et technologies, d\u2019ESI Technologies de I'information.« Elles ont généralement de bons outils, mais ne s\u2019en servent pas comme il le faudrait », dit-il.Létape tactique Il s\u2019agit d\u2019adopter des procédures précises de sécurité, dans l\u2019enceinte même de l\u2019entreprise.Cela concerne autant la définition des zones d\u2019accès limité que les cartes d'accès et le personnel de surveillance.Des procédures similaires doivent être appliquées à l\u2019accès au réseau informatique.3 L'étape opérationnelle Il s\u2019agit de mettre en oeuvre les procédures de sécurité.Cela concerne, par exemple, un plan d'action en cas d\u2019attaque du système, ou encore des sessions de formation du personnel.Ce dernier point est d\u2019une grande importance.En effet, la meilleure protection informatique ne parviendra jamais à empêcher un employé d'ouvrir un courriel suspect.Pour éviter un geste aussi déraisonnable, le seul moyen est la sensibilisation du personnel aux dangers informatiques, comme les pourriels qui circulent sur le Web.m \u201c> La sécurité physique > La continuité des activités >Les lois, enquêtes et éthique L'examen - > Épreuve de 250 questions à choix multiple en six heures Les certifications en bref Ire > Une des principales certifications demeure la CISA, proposée par |\u2019 Information Systems Audit and Control Association (ISACA) depuis 1978.> Une autre est la Certified Information Systems Security Professional (CISSP), délivrée par l'international Information Systems Security Certification Consortium (ISC2) depuis 1991.\u201c> Les deux certifications comptent chacune quelque 30 000 personnes accréditées.> De son côté, la CISM, également de l'ISACA, compte 5 000 personnes accréditées.! A qui s'adresse la CISSP ?Aux professionnels de la sécurité qui possèdent trois années d'expérience dans le domaine de la gestion de la sécurité.La certification est sous réserve de la participation à des stages de formation continue.Les thèmes abordés > La gestion de la sécurité > Les architectures de sécurité > Les\u2019contrôles d'accès > La sécurité du développement d'applications et tde systèmes > La sécurité de l'exploitation « > La cryptographie > La sécurité des réseaux et.des télécommunications > Langues : français et anglais .- > Note de passage : 70 % : 8 > Lieu où passer l'examen : Montréal et Québec (peut être organisé ailleurs si la demande est suffisante) ENT ALE \u20ac Aux professionnels de l'audit, du contrôle et de je la sécurité des systèmes informatiques, \u2014 au moins ; eing années d'expérience dans le domaine.Les thèmes abordés TABLEAU EY Bhi nr A rai OP SR Aid 108 \u2018> Processus d'audit des systämes informatiques A.- > Gestion, planification et organisation des systèmes informatiques > Infrastructure technique et pratiques opérationnelles > Protection des biens informatiques > Plan de secours et de continuité de l'activité - > Développement, acquisition, mise en œuvre et maintenance des systèmes d'application commerciaux > Évaluation des processus métier st de la gestion des risques L'oxamon > Épreuve de 200 questions à choix multiple en quatre heures > L'examen se donne en français et en anglais et a lieu en juin et en décembre > Note de passage : 75 % > L'examen se déroule à Montréal et à Québec qui s'adresse la CISM ?Aux gestionnaires de sécurité : directeurs informatiques, responsables de la sécurité des systèmes informatiques (RSSI) et aux consultants en sécurité.Les thèmes abordés > Gouvernance de la sécurité > Gestion des risques > Gestion des plans de sécurité .> Gestion des activités de sécurité \u201crd > Gestion des incidents L'examen ; > Épreuve de 200 questions à choix multiple en quatre heures > L'examen se donne uniquement en anglais et a lieu en juin > Note de passage : 75 % > L'examen se donne à Montréal et à Québec SAMU AMC neÿ Paaie ete 630186 10010 MIO EE LES AFFAIRES SECURITE INFORMATIQUE | 14 MAI 2005 | Les menaces sont moins destructrices, mais plus pemicieuses Les pirates du Web ne cherchent plus à se faire un nom dans leur communauté, mais à faire fortune dossiers @transcontinental.ca Avez-vous remarqué qu\u2019il est moins souvent question d'attaques massives de virus, comme à l'époque des Melissa et autres / love you ?Ceux-ci, qui datent d\u2019à peine deux ou trois ans, étaient parvenus à détruire des masses colossales de données.Pourquoi ce changement ?À l'époque, les pirates cherchaient avant tout à se faire un nom dans leur communauté.Et aujourd'hui, ils courent après l'argent.C\u2019est ce qu'indique un récent rapport de Message- Labs, une entreprise spécialisée dans la sécurité à distance.Les virus actuels ont pris de nouvelles formes.On parle maintenant de logiciels L'étendue des dégâts dépasse parfois l imagination : L'an dernier, les dégâts un des cas, il s'agissait d'une \u201c0ecasionnés par les viriüs \u2018sont élevés dans le monde à 17,6 milliards de dollars américains (G$ US), selon-Com-.puter Economics, une firme - Californienne d'analyse de marché.En 1995, ils s\u2019éle- \u201cvalent à seulement 500 M$ \u201cLes entreprises sont tou - chées au premier chef par\u2019 \u201cles attaques de virus.Sur \u201c 600 entreprises américaines : \u2018interrogées par le CERT, le tiers étaient en mesure | de chiffrer l'étendue des dégâts subis, et le total ättei gnait 600 M$ Us.\u201d Au Québec, impossible chiffrer quoi que ce soit \u2018Niles entreprises ni les\u2019 orgs 0 \u2018Rismes gouvernementaux ne.divulguent la moindre \u201ctique.Toutefois, des tém * gnages sont éloquents.- - Ainsi, Gérald Saint-Pierre, .directeur, pratique de sécuri .de TELUS, indique ay \u201cter lequel a fait tomber en - de crédit, courtage, otc.Même \u201cpanne le réseau informatique pendant une journée et e seul montant chiffré des dollars perdus à cause d\u2019un virus.Un seul mot de passe.btilisé lors d\u2019une attaque ar hameçonnage (phishing) : \u201cpeut suffire à jeter le discrédit sur.l\u2019ensemble des comptes la victime : banque, cartes : Les actes de piraterie peuvent également détruire des téputations.Ce fut-le cas de deux Britanniques, Julian \u2018nateurs à leur insu.\u201d Green et Karl Schofeld, qui nt da subir en 2008, chaos sécurité de ses numéros de sécurité sociale, d\u2019assu- ice maladie et de permis \u2018conduire peuvent @ trouvé.des images pornogra- 7 : phiques d'enfants dans leurs.pu démontrer qu\u2019ils avaient - été victimes de pirâtes qui: s'étaient servis de leurs ordi- \u201cFrédéric Meunier, conseil Jer principal, de Watch4Net, : souligne que « que quelqu'un 3 | Des gens de savoir-faire en matière de sécurité ESI Technologies offre des services professionnels de sécurité qui vous aideront à : * limiter les risques de sécurité pour vos opérations d'affaires; gérer proactivement les problèmes de sécurité avant qu'ils ne soient exploités; * respecter les lois en vigueur; * réduire les coûts d'opération avec le déploiement de politiques et procédures de sécurité: e réduire les cycles d'impiémentation des nouvelles solutions de sécurité et des mises a jour logicielles.Nos services professionnels de sécurité incluent : ¢ Développement de politiques de sécurité e Audit de sécurité e Tests d'intrusion e Design d\u2019architectures de sécurité * Stratégie de conformité réglementaire * Réponse aux incidents * Investigations informatiques * Développement de programmes de conscientisation a la sécurité espions (spyware), de réseaux de zombies, de chevaux de Troie et des omniprésents pourriels (spam).De manière clandestine En fait, les virus sont aussi présents qu\u2019auparavant, mais se font de plus en plus discrets.Ils visent moins à dérégler les ordinateurs qu\u2019à les asservir à l\u2019insu de leurs propriétaires, en installant dans leurs circuits des fragments de code clandestin, notamment des chevaux de Troie.Une de leurs tâches est de transformer l\u2019ordinateur en « zombi », une sorte de mort-vivant qui devient alors un relais pour diffuser des pourriels et diverses formes d\u2019arnaques.MessageLabs évalue à 50 millions le nombre d'ordinateurs infectés de la sorte dans le monde.Et les trois quarts des pourriels interceptés au cours des 12 derniers mois par cette entreprise américaine avaient été expédiés par l'entremise de réseaux de zombies.Contrôler un réseau de zom- \u201c bies permet de se faire de l\u2019argent par millions de dollars, en le louant à des arnaqueurs.« Il existe des conflits entre groupes criminels rivaux pour contrôler des réseaux de zombies, affirme un rapport de MessageLabs.Par exemple, on a assisté l\u2019an dernier à une guerre entre deux virus, Netsky et Bagle, qui tentaient de se détruire l'un l\u2019autre pour avoir la mainmise sur différents réseaux, » Quel internaute ne connaît pas le pourriel ?Et qui n'en est pas agacé ?La question vient immédiatement à l\u2019esprit : comment se fait-il qu\u2019il en existe toujours ?Tout simplement parce qu\u2019ils permettent de gagner beaucoup d'argent.En effet, un taux de réponse de 1 % de la part des internau- tes est suffisant pour rentabiliser une opération d\u2019envoi de pourriels, indique David Poell- huber, président de ZéroSpam, une entreprise montréalaise spécialisée dans la sécurité à distance.Par exemple, Jeremy Jaines, un maître du pourriel récemment condamné en Caroline du Nord, encaissait entre 500 000 et 750 000 $ par mois grâce à ses bases de données comportant pas moins de 85 M d\u2019abonnés d\u2019AOL.Le plus grand danger Quant aux logiciels espions, ils pourraient devenir la plus grande menace du Web.Il s\u2019agit de logiciels illicites, portant des noms tels que CoolWebSearch, Webhancer et GalorGain, que l'internaute télécharge à son insu et qui épient ses moindres faits et gestes.Les réseaux de téléchargement de musique, comme Kazaa, sont l\u2019une des sources les plus prolifiques de ces logiciels espions.Ironiquement, les internautes eux- mêmes, en acceptant la licence d'utilisation qui leur est présentée à l'entrée de ces sites, rendent cette infiltration tout à fait légale.David Poellhuber, de ZéroSpam, indique qu'un taux de réponse de 1 % à un envoi de pourriels suffit à rentabiliser l'opération.Jusqu'à l\u2019été 2004, les méfaits de ces logiciels espions étaient plutôt modestes.L\u2019espion se contentait, par exemple, d'enregistrer les déplacements de l'internaute et d\u2019expédier ses rapports à un détenteur de réseau de zombies qui les revendait à des arnaqueurs.Quel internaute ne connaît pas le pourriel ?La question qui vient à l'esprit est comment se fait-il qu'il en existe toujours ?Parce qu'ils permettent de gagner beaucoup d'argent.Mais voila qu'une étude du fournisseur d\u2019accès Internet Earthlink révèle que les formes les plus pernicieuses de logiciels espions se sont développées de manière foudroyante ces derniers mois, Il s\u2019agit d\u2019enregistreurs de frappe et de capteurs d'écran capables d'enregistrer des renseignements confidentiels concernant la victime, comme ses mots de passe et ses numéros de cartes et de comptes bancaires.« Il n'y avait pas d'argent a faire dans les virus, mais il y en a dans les logiciels espion », souligne Robert Massé, président de GoSecure, une entreprise montréalaise de consultation en sécurité.m re eT Der in od ER ET PM PIE EE Mais il n'y a qu'une source continue en matiere de sécurité.Visitez microsoft.ca/securite/TI pour connaître les nouveautés du Centre de conseils sur la sécurité de Microsoft.Vous y trouverez les éléments suivants : Microsoft\u201d Windows\u201d XP Service Pack 2 Téléchargez et évaluez les dernières mises à jour, qui offrent un niveau de sécurité plus élevé, de même que les technologies de sécurité qui offrent une protection proactive contre les menacès informatiques.; he Autoévaluation en ligne gratuite Remplissez gratuitement la fiche Internet d'autoévaluation pour évaluer \u201cles pratiques de sécurité de votre entreprise et identifier les zones à améliorer.Alertes par courriel et mises à jour gratuites Soyez continuellement au courant des dernières avancées technologiques en matière de sécurité informatique.Abonnez-vous gratuitement au service Microsoft rity Communications.Outils de sécurité gratuits Réagissez plus efficacement à d'éventuelles menaces informatiques.Profitez des outils tels.que le logiciel Microsoft.Baseline Security Analyzer et le service de mises à jour des logiciels Microsoft.Visitez régulièrement le Centre de conseils sur la sécurité de Microsoft, qui est continuellement mis à jour, pour connaître les nouveautés en matière de sécurité.Sur un même site, vous trouverez des conseils techniques, des outils de sécurité et la formation dont vous avez besoin pour mieux sécuriser les réseaux de votre entreprise.Pour profiter d'une protection proactive et d'une source continue de conseils, visitez microsoft.ca/securite/TI.Microsoft +© Microsoft Corporation, 2004.Tous droits réservés.Microsoft et Windows sont des marques déposées ou des marques de commerce de Microsoft Corporation aux États-Unis et/ou dans d'autres pays. LES AFFAIRES | SÉCURITÉ INFORMATIQUE | 14 MAI 2005 | Les entreprises de telecommunications entrent dans la danse Elles feront dorénavant concurrence aux sociétés-conseil en informatique dossiers @transcentinental.ca Le 14 février est née Bell Solutions de sécurité (BSSI), une filiale de l'entreprise de télécommunications dédiée à la sécurité des réseaux informatiques.Sa mission : tirer profit de la popularité croissante de la téléphonie par Internet (téléphonie IP, pour Internel Protocol) pour proposer des systèmes de sécurité aux entreprises.Ainsi, BSSI est, en mesure de proposer des services-conseils, et du matériel de sécurité provenant d\u2019une quarantaine de fournisseurs.Selon Doug Car- wardine, vice-président au développement des affaires, BSSI détiendrait d'ores et déjà 10 % du marché canadien de la sécurité des réseaux informatiques des entreprises, et elle entend doubler cette proportion en trois ans en s'adressant aux 1 000 plus grandes entreprises du pays.BSSI emploie actuellement 275 personnes, dont 215 travaillent a son siege social, à Ottawa, et 35 à Montréal.Le bureau montréalais est le deuxième en importance de Qu'est-ce que la téléphonie IP ?La téléphonie Internet (IP) permet d\u2019acheminer la voix sur \u2018le même réseau qui transporte les données.La technologie utilise le langage de programmation à l\u2019origine d'Internet pour acheminer voix et données.Des logiciels convertissent la voix en paquets de données qui, une fois compressés, sont envoyés par Internet et réassemblés en .audio à leur sortie.Chaque paquet est acheminé au desti- \u201c nataire par les meilleurs chemins disponibles sur le réseau, afin que la communication soit fluide.w 0.S.des solutions de gestion de sécurité ainsi que des logiciels la filiale et dirige ses efforts vers l\u2019industrie bancaire.Certains employés de BSSI travaillaient déjà chez Bell Canada.Quant au reste du personnel, il provient de trois entreprises récemment acquises par Bell : JetNet et Once Corporation, toutes deux d\u2019Ottawa, et Emergis.Une vive concurrence C'est que la téléphonie par Internet, qui permet de transporter sur un même réseau voix et données, suscite un vif intérêt depuis quelques mois.Au début de l\u2019année, Vidéo- tron a lancé son service de téléphonie IP sur la Rive- Sud de Montréal et à Laval, se plaçant ainsi en concurrence avec les pionniers au Canada tels que Primus, Vonage, Sprint et babyTEL.La filiale de Quebecor est le premier câblodistributeur à proposer ce service.De son côté, Bell Canada propose la téléphonie IP à Sherbrooke, à Québec et à Trois-Rivières depuis la fin de La sécurité sur IP en rt Les risques > L'écoute possible des appels téléphoniques à l\u2019insu de l'entreprise.> L'utilisation du réseau.pour faire des appels interurbains aux frais de l\u2019entreprise.Peu d'attaques répertoriées > Au Canada, on rapporte très peu d'attaques informatiques sur les réseaux IP, ce qui ne veut pas dire qu\u2019il n'y en a pas.Les organisations visées n\u2019ont pas nécessairement intérêt à en faire état.> De plus, plusieurs utilisateurs limiteraient le champ d'action des réseaux IP aux communications internes, ce qui limite la possibilité d\u2019intrusion externe.mars, après trois mois d'essai en Estrie.Shaw Communications envisage de leur emboîter le pas, puis ce devrait étre le tour de Rogers Communications et de Cogeco Câble, cet été.La téléphonie connaît une progression « forte et rapide », selon Marc Giroux, vice-président, marketing des affaires, de TELUS Québec.« Quant à nous, nous visons toutes les entreprises, qu\u2019elles soient petites ou grandes », ajoute-t-il.Scepticisme et inquiétude Selon Yves White, directeur, solutions technologiques, du Groupe LGS, une filiale à part entière d'IBM, la convergence de la réseautique et de l\u2019IP rendait inévitable l\u2019arrivée des entreprises de télécommunications.« Elles pénètrent dans notre champ de compétence, mais comparativement à nous elles ont moins d\u2019expertise en matière de réseautique », dit-il.Maintenant que les principaux acteurs de la télécommunication entrent de plain-pied dans la téléphonie IP, la sécurité est devenue un enjeu central.Et l'inquiétude est palpable chez deux autres acteurs de la sécurité sur IP.Ceux-ci, qui préfèrent conserver l\u2019anonymat, estiment qu\u2019il y a déjà une forte pression à la baisse des prix.« Nous voyons passer des soumissions où les marges bénéficiaires sont dérisoires, dit l'un d'eux.Et cela ne concerne pas seulement des soumissions au- pres de grandes entreprises.» m Association de la sécurité de l'information de la région de Québec Thématique de l'année : La sécurité, une affaire de communication L'ASIRQ est un organisme sans but lucratif qui regroupe depuis 22 ans les principaux intervenants du domaine de la sécurité de l'information au Québec.L'ASIRQ a comme mission de promouvoir la sécurité de l'information et compte aujourd'hui parmi ses rangs plus de 200 membres provenant à part égale, de l'entreprise privée oeuvrant dans divers secteurs économiques et du milieu gouvernemental.Chaque année l'ASIRQ présente gratuitement pour ses membres des conférences en lien avec sa mission et le thème de l'année.L'ASIRQ organise aussi depuis les 13 dernières années le Colloque québécois de la sécurité de l'information*, www.cqsi.org, qui regroupe maintenant plus de 350 participants.Une des premières actions à poser en sécurité dans votre entreprise est de s'assurer de bien former et sensibiliser votre personnel.Permettre à vos ressources de participer aux activités organisées par l'ASIRQ sera votre meilleur investissement en sécurité de l'information.Devenez dès maintenant membre corporatif de l'ASIRQ.Secretanat@asirg.qc.ca www.asirg.qc.ca *Le CQSI est organisé en collaboration avec l'ASIMM depuis les 3 dernières années. Tm 7 Sien avant gull Ne puisse s'intiltrer\u2026 ee \u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014\u2014 \u2014_\u2014 emmy EE LES AFFAIRES | SÉCURITÉ INFORMATIQUE Des responsabilités élargies Le rôle des professionnels de la sécurité devient plus stratégique danielle.turgeon@transcontinental.ca Les professionnels de la sécurité informatique se détachent peu à peu du service des technologies de l'information (TI).Leurs responsabilités dans I\u2019entreprise s'élargissent et ils travaillent davantage avec le personnel des ressources humaines, les avocats du service du contentieux et les spécialistes de la documentation.Auparavant, leur réle était de rédiger des politiques de sécurité, d'assurer la formation, d'entretenir les réseaux et de planifier l'installation de nouveaux systèmes informatiques.Aujourd\u2019hui, ils encadrent, normalisent (des enquêtes pré-emploi par exemple) et doivent connnaître tout ce qui se passe dans l'entreprise.La gestion de la sécurité physique leur revient souvent de droit.Et la montée de la Gestion de contenu d'entreprise (GES) - qui consiste à gérer les données « informelles » \u2014 les obligera à sécuriser toutes les données de l\u2019entreprise.« Il n'est pas possible de dire : \u201cNous protégeons l'information numérique et ignorons le reste\u201d, note Louise Thiboutot, coordonnatrice gouvernementale, sécurité de l'information numérique et des échanges électroniques au Conseil du trésor.Tout est maintenant lié.» D'ailleurs, chez Loto-Québec, la sécurité ne fait plus partie des TI depuis sept ans.« Les professionnels de la sécurité doivent passer d\u2019un rôle opérationnel à un rôle stratégique.Nous faisons davantage de la gestion de risque », dit Harold Côté, directeur corporatif de la sécurité des TI chez Loto- - Québec.La perception change Gaétan Houle, officier en chef de la sécurité chez Bombardier Aéronautique, estime que la perception des chefs d\u2019entreprise à leur égard change .lentement et qu\u2019il reste beaucoup de sensibilisation à faire.Les dirigeants et les employés doivent être conscients des enjeux de la sécurité et des manières de réagir.« Le personnel de sécurité n'est pas des policiers, mais des conseillers.I] ne suffit pas de dire aux dirigeants que nous courons des risques, cela ne les convainc pas.Il faut leur montrer ce qui se fait ailleurs.Chez Bombardier, nous l\u2019avons fait par des études comparatives avec d'autres entreprises manufacturières en Amérique du Nord.» Les propos de ces trois conférenciers ont été entendus à une table ronde sur le rôle des responsables des systèmes et de la sécurité de l'information (RSSI) réunie dans le cadre de la 13° édition du Colloque québécois de la sécurité de l'information tenu les 25 et 26 avril à Saint-Hyacinthe.Sensibiliser les utilisateurs Benoît Dicaire, vice-président de TechSolCom et président de l'Association de la sécurité de l\u2019information du Montréal métropolitain (ASIMM), l\u2019une des deux associations organisatrices du colloque, rappelle que l'importance de la sécurité informatique se résume à trois éléments : la sensibilisation, la sensibilisation et la sensibilisation ! Tant que les dirigeants et les employés ne sont pas conscients des enjeux de sécurité et des manières de réagir, les meilleures solutions ne seront pas suffisantes.« La sécurité en tant que telle n'existe pas.Ce qui existe, c\u2019est l'absence de sécurité.Ce qu'on fait en réalité, c'est une gestion du risque », dit-il.La base de la sécurité Les systèmes d\u2019information jugés critiques doivent être sécurisés à trois égards : la confidentialité, l'intégrité et la disponibilité des données.Un mot de passe facile à trouver peut nuire à la confidentialité, des renseignements altérés par un problème électrique fragilisent l'intégrité du système et le fait de ne pouvoir accéder aux documents d\u2019un site Web compromet la disponibilité.Une organisation doit évaluer l'importance de ses renseignements statégiques et avoir un inventaire des données critiques (dossiers des clients, des fournisseurs, liste des prix, etc.).Le résultat de cette évaluation déterminera la gestion du risque la plus adaptée.« Les décisions d'affaires seront basées sur le risque et sur la valeur des actifs.Des renseignements qui valent 10 M$ nécessitent-ils un système de protection de 15 M$ ?demande M.Dicaire.Il est possible d\u2019avoir un risque « zéro », mais ce n'est pas toujours souhaitable du point de vue des affaires, parce que le coût en est trop élevé.I] faut bien étudier la question.» m Article rédigé avec la collaboration ce de Gaël Le Corre-Laliberté.Désuet, le mot de passe Les mesures de sécurité excessives ont parfois un effet inverse à celui visé.Par exemple, quand elles imposent de changer les mots de passe tous les.45 jours : nombre d'employés les notent sur des bouts \u201cde-papier dispersés sur leur bureau, de peur de les ou- \u201cblier.Sans parler des mots de passe trop simples (mots :: 14 MAI 2005 | \u2018familiers, suite de chiffres), .$ qu\u2019un pirate bien équipé \u201cpeut trouver en quelques secondes, : De telles mesures peuvent aussi coûter plus cher que prévu.« La moitié des appels de demande d'aide informatique concernent les mots de passe oubliés.Pour l\u2019entreprise, cela représente des coûts variant entre 15 et 40 $ par appel, qui correspondent.au temps nécessaire pour changer le mot de passe », dit Pierre - Root, président et chef de.1a direction de Labcal.Par empreintes digitales Que faire.pour éviter cela ?Labcal, établie à Québec, propose une solution simple : la reconnaissance par empreintes digitales.L'avantage est de faire disparaître la nécessité du mot de passe.L'entreprise a même prévu les cas de falsification d'em- - preintes digitales, comme dans des films de science- fiction.« Le contact doit se faire avec un tissu humain vivant, donc impossible de présenter une copie d\u2019empreinte ou autre chose », précise-t-il.m G.L.-L.Entreprises publiques, une nouvelle loi vous attend _______ dossiers @transcontinental.ca D'ici quelques années, la nouvelle loi C-198 obligera les entreprises cotées en Bourse à renforcer la sécurité de leurs données.En fait, cette loi n'imposera aucune nouvelle mesure de sécurité, mais exigera que la sécurité des procédures \u2014 actuelles ou futures \u2014 soit renforcée.La loi C-198 entrera en vigueur en juin 2006 et visera les entreprises ayant une capitalisation boursière supérieure à 500 M$.L'année suivante, elle concernera celles ayant une capitalisation supérieure à 250 M8.Et finalement, en juin 2009, celles ayant une capitalisation supérieure à 75 M$.Garantir l'intégrité des données Cette loi, qui reprend essentiellement la section 404 de la loi Sarbanes-Oxley, s'intéresse aux régles internes du controle financier des entreprises.Elle impose le fait de garantir l\u2019intégrité et la validité de toutes les données qui ont un impact financier, depuis l'inscription dans les systèmes informatiques jusqu'à sa parution finale dans les états financiers.René Vergé, directeur, service- conseil, de CGI, en résume les principales conséquences : « Il faudra alors établir avec exactitude qui approuve quoi.Il faudra aussi savoir qui a eu accès aux données, à quel moment, quel est le niveau d'autorisation de ces personnes et de qui relève l\u2019autorisation.Aujourd'hui, il y a bien des entreprises où ces contrôles ne sont pas en place.» L'un des points cruciaux soulevés par la nouvelle loi touche la gestion des identités.« C\u2019est justement l\u2019une des failles les plus importantes dans les entreprises, dit David Cott, consultant principal en sécurité, de M3K Solutions.La difficulté est liée au roulement du personnel, qui est parfois élevé et qui modifie constamment les registres d\u2019autorisation.» Pour pallier cette difficulté, les entreprises sont appelées à cheminer graduellement vers la procédure d'autorisation unique (single sign-on).Il s'agit d'établir un registre central dans lequel le profil complet de chaque employé est tenu à jour avec l\u2019ensemble de ses autorisations d'accès.Dès que ce profil évolue (l'employé change de responsabilités ou quitte l\u2019entreprise), son statut peut être rapidement mis à jour.Ainsi, il devient plus difficile pour un fraudeur de subtiliser, même temporairement, l'identité d'un employé.Revoir ses documents d'entreprise Autre point crucial : la documentation.Les procédures détaillées de contrôle seront parmi les premiers documents que les vérificateurs comptables exigeront d'une entreprise.« Les employés connaissent les procédures, mais trop souvent, elles ne sont pas écrites dans les documents officiels, explique M.Vergé.Cela devra changer.« De plus, les entreprises devront plonger dans la réin- David Cott, consultant principal en sécurité, de M3K Solutions.génierie des tâches et dans la gestion du changement.Aucun de ces éléments n'est nouveau, mais la nouvelle loi va faire en sorte qu'on ne pourra plus les négliger.» m LAL CX EUR EE OT www.lesaffaires.com POUR VOUS, TOUS LES JOURS ! MISE A JOUR CONSTANTE DE VOS NOUVELLES ÉCONOMIQUES ET FINANCIÈRES 1e ali taie J La nouvelle solution en sécurité de TELUS aura vite fait de le bloguer! TELUS innove une fois de plus en présentant ANGEL\", le premier dispositif de blocage et de vérification proactif (block & scan) au monde, capable de vérifier la conformité des postes informatiques, internes ou externes, avant qu'ils n\u2019accèdent au réseau de votre entreprise pour risquer de le contaminer.Ce n\u2019est ni un pare-feu, ni un logiciel qui se greffe à un poste de travail.Il s'agit .d\u2019une solution d'infrastructure qui vient bonifier la fiabilité et l'étanchéité de votre réseau déjà en place.En fait, elle constitue le plus haut niveau de protection contre les attaques de vers et de virus informatiques que vous puissiez trouver sur le marché.Grâce à sa fonction de vérification pré-réseautage exclusive, tous les postes sont mis «en quarantaine » avant de pouvoir accéder à votre réseau.Ils sont vérifiés en un clin d'œil pour s'assurer de leur conformité aux politiques de gouvernance établies par votre entreprise.Laissez ANGEL vous procurer cette paix d'esprit que vous recherchez, en empêchant les indésirables de s'infiltrer dans votre réseau pour nuire à votre productivité et à votre profitabilité.Pour en savoir plus sur l\u2019Unité réseau de conformité ANGEL\u201c de TELUS, communiquez avec l\u2019un de nos conseillers au 1 877 520-1212 ou visitez le | www.telusquebec.com/angel | TELUS\u201d le futur est simple\u201d mr mb, > Nom 7 i M.40% moins \u2019 \\ : de temps passe à la maintenance et - à l'administration ; £ ; i æ Maintenant, nous faisons plus qu'éteindre des feux; notre priorité est de déployer de j ror nouvelles technologies qui peuvent améliorer ; notre service à la clientèle.» © à v Dave Chacon - + Directeur, Services techniques, PING B Faites- -vous un nom avec Windows Server System™.w Le logiciel serveur intégre Windows Server System de Microso : ! te Microsofts © VJ | partir d'un seul poste.Les 800 heures par année épargnées : sur le temps Vr OWS d'administration peuvent ainsi être consacrées au développement.de « Ç nouvelles méthodes de soutien aux clients, partenaires et employés.Server System Voilà un logiciel qui vous aide à en faire plus avec moins.Lisez I\u2019 histoire ST .complete de PING en visitant le site microsoft.ca/wssystem/fr ; *> i vel Tevevé remet i 13 ærâxts es _ 1 À s ei STE ST Avec- lérrivée de la téléphonie par Internet (ou téléphonie IP, IP, pour Internet Protocol), 'uni vers \u201cdedutéléphonie entre en collision\u2018avec celui des réseaux de données.« Nous assistons à la confron- tatian de deux environnements différents, sdit Michael Albert- son, n, pigden de SecurIP ser- FAI CURITÉ | 3 Ia LES AT a He É = eatin ~ mers - me \u201ci téléphones cellulaires numérisent les messages comme des données informatiques.Se pose donc un problème de sécurité.» Ainsi, les entreprises intéressées par la téléphonie IP devraient avant toute chose se poser deux questions, selon M.Albertson : > A-t-on intérêt à partager le réseau de données avec celui de la voix pour économiser ?> Si oui, la sécurité du réseau np nie rar Patte + « 7 wm NEL pour garantir celle de la téléphonie IP ?De nombreux risques Perdre ne serait-ce que quelques heures l'usage du téléphone peut être dramatique pour une entreprise.Or, en combinant les deux réseaux, à savoir celui des données et celui de la voix, il peut se produire une contamination de l\u2019un par l'autre.Par exemple, des pr t pas sans morte 7 T wo me ee devraient veiller à informer leur personnel de l'importance vitale de respecter des règles de base en matière de sécurité.Elles devraient aussi veiller à former les employés de manière continue en ce domaine, voire à mettre sur pied un programme de récompense pour ceux qui utilisent au mieux les réseaux \u2026 Différents types de virus A.14 MAI 2005 Porta les entreprises informatiques.M.Albertson souligne le rôle que les manufacturiers doivent jouer.lls doivent informer leur clientele des mesures de sécurité a adopter en fonction du maté- rial acheté, et fournir régulièrement des conseils, les attaques de pirates se faisant de plus en plus sophistiquées.m .Maintenant, les de données est-elle adéquate virus présents dans le réseau de données, mais inactifs ou contenus par des anti-virus, pourraient alors se répandre dans celui de la voix au moment de l'association des deux réseaux.« Les premières attaques envisageables de la part de pirates pourraient viser à mettre hors service le réseau téléphonique, dit M.Albertson.Ils pourraient aussi tenter de saturer les boîtes vocales.Ou encore, s\u2019en prendre directement au serveur du réseau de téléphonie IP.» De telles attaques pourraient prendre des heures à être repoussées.Erreurs de jeunesse Les entreprises ne se préoccu- La rapidité à laquelle les virus évoluent ne a bion évidemment pas Ton dresser 4 une liste exhaustive.\u201cToutefois, les types su vants sont les plus courants: - = > Virus classique \u2018Programme pirate capable: do Timor.at de se reproduire dans un ou plusieurs systèmes informatiques, avec l'intention dy causer des dégéts.| .> Ver (worm) .Virus se trarismettant de lui-mêmé.aux différents « contacts » enregistrés dans l'ordinateur, généra- \u201clement par I entremise dès listes de le.messagerie.> Virus polymorphe : } Virus capable de modifier ses oaractéristiques principales pour Setappar dla vigilance des antivirus.: \u2014 Cs Virus dont la priorité est d' annihiler les systèmes de protection (antivirus, pare-feu, -êtc.).L'ordinateur devient ainsi particulièrement vulnérable, notamment à l\u2019installätion par le pirate \u201cd'une porte arrière secrète lui permettant de \u2018 s'infiltrer à volonté.m 0.S.4).La plus grande firme privée de consultation en \u2018l'information et en management au Canada.Fondée en 1975 ISO 9001 technologies de valuation des risques et des menaces leilleures pratiques et conformité ss technologies en matière 2 sécurité laboration de politiques, ise en place des processus et déploiement d'une infrastructure technologique sécurisée.Nous offrons : Services-conseils en technologie Services-conseils en affaires Développement d'applications Intégration de systèmes os valeurs : Satisfaction sans compromis Respect de nos collaborateurs Résultats de qualité Saines relations humaines A propos de Solutions Watc Solutions Watch4Net est un spécialiste réseaux et sécurité, qui offre des services-conseils et met en place des solutions technologiques qui répondent aux besoins suivants: J la surveillance du réseau et des services (disponibilité, performance, impacts) J la sécurité J les infrastructures réseaux L'offre de Watch4Net permet un accompagnement complet du client \u2014 de l'étude jusqu'à la mise en production \u2014 et s'appuie sur des partenariats stratégiques avec les principaux acteurs, tels que Aventail, Check Point, EMC Smarts, Check Point, Network Intelligence, Pedestal et Symantec afin de proposer aux clients des solutions adaptées et innovantes.Solutions Watch4Net www.watch4net.com a des bureaux à Montréal et Toronto. qd Sr RR mag ot -, ote otre passio ARR TTR Microsoft see ep Nom : RES IR eo + om eme M.400 000 UGS et su bs.7,5 millions de transactions- get\u201d » Q analysées en temps réel % Lng | MEGASTORE | Lr = à, © ria ie SAL ma a i -~ fs % À .ER +.rad Lr «3 rec ofS Robert Fort Faites-vous un nom avec Windows Server System.Pour la.sôciété rèl- Virgin Entertainment Group, Windows Server System™ de.Microsoft® cilite les d ec ie) à l'égard des stocks basées sur les données en temps réel de : ses- compt de ve Comment?En créant une solution d'intelligence.commerciale à à Faide de.sou Serve ticrosofte articulé autour de BizTalk\"° Server et de l\u2019 infrastructure.NET de Microsoft, Virgin peut recueillir les données de points de vente et d \u2018achalandage dans ses agasin Windows analyser et faire parvenir des rapports aux directeurs de magasin toutes les 15.minutes server System Un logiciel qui est plus facile a intégrer est un logiciel qui vous \u2018aide à à en faire plus avec wo moins.Pour lire l'histoire complète de Virgin visitez le site microsoft.ca/wssystem/fr = dé 5 = # go EN \u201ceee eee ni rem ne oe ra be ye rn i i ei p ern rn pren Rr $7 lm ASA EEE ae ro a ver tees on oe ge SY RY PO nr 0 AIS perry i i Ï 3 i 1 ! 3 | LES AFFAIRES = om - \u2014 | Les techniques de vol d'identité sont de pl se TT SÉCURITÉ INFORMATIQUE \u2014n SE Celle du hamegonnage, I'une des plus efficaces, est en vogue depuis quelques mois dossiers @transcontigeutal.ta Une personne moins avertie que Robert Massé serait probablement tombée dans le piège de l\u2019« hameçon » (phishing) qui l\u2019attendait dans sa boîte de courriel, le matin du 20 avril.Le courriel venait de PayPal, un réseau américain de paiement électronique auquel M.Massé est abonné.Dans ce courriel, PayPal l'informait que sorrcompte présentait un « niveau inhabituel d'activité » et disait vouloir s'assurer que l'intégrité de son compte n'avait pas été compromise.Jusqu\u2019à ce que M.Massé confirme les données relatives à son compte, PayPal ne lui donnerait qu\u2019un accès limité.Après avoir cliqué sur l\u2019hyperlien qui le dirigeait directement au site de PayPal, M.Massé s'est retrouvé face à un écran d'accès requérant son nom d'utilisateur et son mot de passe.Après qu\u2019il eut fourni les données demandées, le site lui indiqua que l'information était iñvalide et lui demanda de retapérle tout.Apparaissait ensuite.une page où il devait inscrire plusieurs détails confidentiels:: numéros de carte de crédit, comptes de banque, | numéro d'identification personnel, etc.Ce que les arnaqueurs ignoraient, c\u2019est que M.Massé est président de GoSecure, une entreprise montréalaise spécialisée dans la sécurité informatique, et qu\u2019il avait reconnu dès le départ un cas particulièrement bien réussi de phishing.Il s\u2019est rendu jusqu\u2019à l\u2019étape ultime pour voir comment les fraudeurs avaient monté leur opération, puis s'est contenté de refermer la page.La personne moins avisée qui aurait répondu aux questions aurait fini par découvrir, quelques jours plus tard, que son compte en banque, par exemple, avait été vidé.Une croissance fulgurante L\u2019hameçonnage est un piège Internet qui connaît une croissance fulgurante.En septembre 2003, les filtres anti-fraude de Message- Labs ont intercepté 279 cour- riels hameçons différents.En juin 2004, il y en a eu 265 000, et én novembre de la même année, 3 millions.Sachant qu\u2019environ 5 % des personnes mordent à l\u2019hameçon, selon les évaluations du Anti-Phishing Work Group, on comprend aisément que les arnaqueurs prisent cette nouvelle forme de piège.Le but du phishing est toujours le même : inciter la personne visée, le poisson, à livrer des renseignements confidentiels, presque toujours de nature financière.La façon la plus fréquente de procéder est l\u2019envoi d\u2019un courriel, libellé au nom d'une institution financière crédible.Le message évoque un risque potentiel de vol d'identité.Pour vérifier tout cela et rétablir au plus vite la situation si le supposé vol d'identité est confirmé, le courriel incite l\u2019internaute à confirmer certains renseignements à son sujet.En réalité, il s\u2019agit d\u2019un site factice piloté par l\u2019arnaqueur.Des trucs afin d'éviter d\u2019être arnaqué À première vue, il peut paraître compliqué de flairer l'arnaque.Tout semble crédible : la page d'accueil du site de vérification d'identité, le ton du message, le fait d'entrer son mot de passe à deux reprises, etc.« En fait, si on tape deux fois n\u2019importe quoi, comme asz- kacxpouah, le site des arna- queurs nous laisse entrer de toute façon, indique M.Massé.Ce truc peut permettre de découvrir à qui on a affaire.» Parfois, de menus détails peuvent alerter l'internaute d'un piège.Dans le cas de M.Massé, le message com- mengçait par la formule « Cher client PayPal », alors qu'une entreprise sérieuse saluerait son client par son nom.Mais surtout, aucune institution financière crédible ne demanderait par courriel à un client de fournir de l'information confidentielle.Et c\u2019est là le point le plus important, celui qui devrait mettre la puce à l'oreille de la personne visées par l'amaque.En fait, toutes les institutions financières rappellent régulièrement qu'elles ne communiquent jamais par courriel avec leurs clients ni ne leur demandent de renseignements personnels par ce moyen, Elles optent plutôt pour le téléphone et le courrier.De plus en plus rusé De nouvelles formes de vol d'identité sont récemment apparues.Par exemple, un courriel invite un internaute à récupérer une carte postale virtuelle sur un site dont l'hyperlien lui est fourni.En cliquant sur la carte, la victime télécharge à son insu un logiciel espion capable d'enregistrer les touches tapées sur le clavier dans les jours suivants.Il arrive un moment ou un autre que des mots de passe soient tapés sur le clavier et volés par des pirates.Dernier raffinement, qui intéressera toute victime potentielle : comment les fraudeurs s'y prennent-ils concrètement pour vider un compte sans se faire prendre?Rien de Lhamegonnage est un piège Internet qui connaît une croissance fulgurante.plus simple : en faisant faire le travail par d'autres, parfois à leur insu !- Par exemple, un fraudeur envoie des pourriels faisant us en plus raffinées croire qu'une institution financière crédible est en train de recruter des chargés de compte régionaux.Le travail proposé consiste simplement à effectuer des transferts de comptes bancaires.Ainsi, le chargé de compte régional doit ouvrir des comptes dans différentes banques (celles des victimes), dans lesquels arrive de l'argent# (celui des victimes).Il doit \u201c alors-effectuer le transfert de ces montants sur un autre compte bancaire, souvent à l'étranger comme aux Bahamas ou aux îles Caïmans.À chaque transfert, il recevra une commission de 6 à 8 % du montant transféré.m Re ¥ - wr Ma.ÿ \u2018eva L'ASIRO et l'ASIMM vous invitent au 14° Colloque québécois de la sécurité de l'information les 1\u201d et 2 mai 2006 à l'Hôtel des Seigneurs de St-Hyacinthe.PRY ES CCE ER : va pee\" 17 © omega re = = TE or ge + zy ~~ fo æ ¥ ¥ @ 3 Y 0 \u20ac > % % ws .[ \u201c@ a = 9 2 Su, © m Pree tL dE Vd a, i) = E k A Pa Gi S 3 RN Çû 5 sen se Ë A 4 æ = ESS AN Ra a WE » = 0 2 iS RR RN BR TW > = NS XY ve ki TN A J RN \\ NX an A & SN À NR a QD 8 .Cisco SYSTEMS pero Re == = b Ye, S % ND .nN Nk wi + Ÿ y S Ÿ % RY = ero) br} (§IN{e CR orld ND ion.prop 2 Se A NE 2d a EN 4 N + = aR SO LX A XN 3 RN N Li re \u2014prcciges a ae | LES AFFAIRES | SECURITE INFORMATIQUE Les PME disposent de plusieurs moyens pour se protéger L'une des solutions les plus populaires auprès des PME est de se doter de boîtiers multifonctions de filtrage ______ dossiers @transcontinental.ca Les dangers liés à Internet menacent aujourd'hui autant les PME que les grandes entreprises.Ces dernières, possédant les ressources nécessaires pour le faire, n'hésitent pas à mettre en place toutes les mesures de sécurité requises Le danger peut se présenter sous trois formes : virus, logiciel espion et pourriel.pour se protéger.On ne peut malheureusement pas en dire autant des PME.Pourtant, les solutions de pointe leur sont aussi accessibles qu'aux grandes entreprises.Le danger est omniprésent, à la fois localement et mondialement.Une PME doit se prémunir aussi bien contre des employés malfaisants que contre des fraudeurs installés à l'autre bout du monde.« Il est certain que des entreprises étrangères tenteront de pénétrer les réseaux informatiques d\u2019une entreprise de la Beauce qui fait de la R-D dans un secteur de pointe », affirme Benoît Jour- dain, président d\u2019'Horus information et technologie, de Québec, et de l'Association de sécurité de l'information de la région de Québec (ASIRQ).Le danger peut se présenter sous trois formes : virus, logiciel espion et pourriel.Les pièges peuvent alors être multiples : chevaux de Troie, enregistreurs de touches, capteurs d'écran, etc.Les canaux d'accès ne se limitent pas au Web : il faut aussi tenir compte entre autres des messageries instantanées, Benoît Jourdain, d\u2019Horus : « Il est certain que des entreprises tenteront de pénétrer les réseaux informatiques d'une PME de la Beauce qui fait de la R-D dans un secteur de pointe.» des ordinateurs de poche et des accès Wi-Fi.Plusieurs solutions sont envisageables L'une des solutions les plus populaires auprès des PME est de se doter de boîtiers multi- fonctions de filtrage, comme ceux fournis par Websense et SurfControl.Ceux-ci se placent dans un serveur que l'on installe à l'entrée de la connection Internet de l\u2019entreprise, juste derrière le coupe-feu.Alors que les logiciels de protection courants ne visent qu\u2019une catégorie de menaces (virus, etc.), ces boîtiers luttent contre toutes sortes d'attaques.Ils sont en mesure d'arrêter les attaques classiques et d'empêcher les logiciels espions d\u2019acheminer à l\u2019extérieur l'information subtilisée, de limiter l'accès à certains sites Web et de contrôler les messageries instantanées.Pour un produit comme Web- sense Enterprise, les licences d'utilisation coûtent annuellement de 15 à 40 $ par utilisateur, selon M.Jourdain.Mais attention, prévient Frédéric Meunier, conseiller principal, chez Watch4Net, « il n'y a pas de produit miracle.Chaque solution est imparfaite.» M.Jourdain explique qu\u2019« il vaut mieux aller chercher le meilleur de chaque catégorie.» - Selon lui, on peut très bien s\u2019équiper d'un boîtier de filtrage Web, mais il est sage de multiplier les couches de protection en y ajoutant les meilleurs logiciels pour chaque catégorie de pièges.Par exemple, il est préférable d'installer un antivirus non seulement dans son réseau informatique, mais aussi sur chaque poste individuel.Symantec et McAfee sont spécialisées dans ce type de logiciel.Pour stopper les logiciels espions, le magazine PC World recommande Counierspy de Sunbelt Software, et SpySweeper, de Webroot Software.Cette publication conseille aussi de surveiller la sortie prochaine de Windows Antispyware, de Microsoft.Quant aux pourriels, PC World considère SpamNet, de Cloudmark, comme nettement supérieur aux vedettes du secteur que sont Symantec Norton AntiSpam 2004 et Network Associates McAfee Spam- Killer 5.0.Tous ces logiciels\u2019 coûtent de 40 à 80 $ l\u2019unité.Services externes Une autre possibilité est de recourir à des gestionnaires de sécurité à distance.Il y a dans ce domaine des généralistes, comme ESI Technologies de l'information ou Bell Solutions de sécurité, et des fournisseurs spécialisés, comme ZEROSPAM.Les généralistes supervisent à distance toute l\u2019activité qui a cours sur le réseau de l'entreprise (serveurs, postes de travail, commutateurs, coupe-feu, etc.).Chez ESI, par exemple, les colts varient de 75 à 125 $ mensuellement par champ surveillé.Une fournisseur spécialisé comme ZEROSPAM ne surveille que le trafic de courriels de l\u2019entreprise pour en extirper les pourriels et les « hameçons » (phishing).Bell propose aussi ce service.Chez ZEROSPAM, le coût mensuel est de 50 $ pour un maximum de 20 boîtes de courriel.Au-delà de 20 boîtes, les coûts sont de 3 $ mensuellement par boîte additionnelle, le prix diminuant selon le nombre de boîtes, pour atteindre environ 1 $ par boîte au-delà d\u2019un total de 500.Avant d'adopter telle ou telle 7 mesure de sécurité, la PME doit évaluer les risques courus, selon Fred Bedrich, vice- président, services-conseils, de Bell Solutions de sécurité.Fred Bedrich, de Bell Solutions de sécurité, conseille aux PME d'évaluer précisément leurs besoins avant de s'équiper de quoi que ce soit.Ainsi, si une paralysie du réseau informatique de l\u2019entreprise durant une journée ne correspond qu\u2019à une perte de quelques milliers de dollars, peut-être n\u2019est-il pas nécessaire de s\u2019équiper de logiciels antivirus destinés aux seuls employés utilisant le Web.En revanche, la PME pour laquelle une telle mésaventure serait une catastrophe aurait tout intérêt à faire appel à un service de surveillance externe.= HITACHI DATA SYSTEMS J sq 54To v Jusqu'à 107T0 Jusqu'à 13To 8 Montréal Ottawa Toronto Une croissance ÉNORME de vos données?Un besoin ÉNORME de performance?Un budget.pas si ENORME?Pouvez-vous y arriver?Absolument.Et d'une façon Découvrez comment une Solution de stockage Hitachi peut améliorer l'accès à votre information de façon extraordinaire.Québec ry Vancouver (514) 982.2634 (418) 692.4525 (613) 726.9324 (416) 758.5172 (403) 290.1188 (250) 385-5141 www.hds.com/na/thunder9500 GAGNER wn \u201cSegway\u201d Transporteur personnel (valeur de $4,995) Maintenant que vos Participer pour affaires vont plus vite.Vous aussi vous irez plus vite a = ¢ 4 ES \u201c = ê r.EEE LES AFFAIRES | SÉCURITÉ INFORMATIQUE La lutte est acharnée contre les virus et pourriels , gael.lecorre@transcontinental.ca Les pourriels et les virus qui se transmettent par la messagerie électronique deviennent des fléaux pour les entreprises.En réponse, de nombreuses \u201d* sociétés offrent déjà des solutions permettant de préserver les réseaux informatiques.« L'industrie prône actuellement d'installer la technologie d'un certain manufacturier et d'en implanter une seconde technologie provenant d'une autre source.Il est périlleux de ne se fier qu\u2019à une seule solution », dit Alain Turcot, de Sybari.Sybari propose, quant à elle, une solution combinant de quatre à huit technologies différentes.« Pour vous donner une image de l\u2019évolution technologique de notre solution, Le Canada, source de pourriels ; Le Cahada est l\u2019une des sources de pourriels les plus impôr- tantes du monde, selon une étude de l\u2019entreprise de sécurité \u201cx informatique Sophos.En 2004, près de 6 % des courriels indésirables détectés par ses services provenaient du Canada, ce qui en fait le 4° pays le plus « polluposteur » du monde.: De fait, Sophos compile différentes données sur les pays d\u2019où \"sont expédiés les pourriels, ce qui lui permet de dresser un pal- : marès.Ce dernier met les États-Unis largement en tête, \u201cà 42 %.Suivent respectivement la Corée du Sud (13 %), la Chi- #\u201cne (8 %), le Canäda (6 %), le Brésil (3 %) et le Japon (3 %).-Sophos souligne par ailleurs que 40 % des pourriels sont expédiés à partir de réseaux d'ordinateurs préalablement = Infoclés par: un ver x informatique ou un cheval de Troie.m 08.c\u2019est comme si vous passiez d'un système de porte avec clé à celui de la reconnaissance de la voix et des empreintes digitales », poursuit-il.Une menace venue de l'Orient Selon M.Turcot, un grand nombre de virus proviennent de l'Asie et de l\u2019Europe de l\u2019Est.Il souligne en effet que la propagation des virus a tendance à suivre les réseaux horaires, infectant d\u2019abord l\u2019Asie, puis l'Europe et l'Amérique.- Ainsi, les entreprises d\u2019ici ont l'avantage de bénéficier d'un répit de quelques heures pour trouver une parade aux nouveaux virus.Reste à profiter pleinement de cet avantage.Cependant, les pirates ont d'ores et déjà entrepris de réduire cet avantage à néant.Ils seraient à mettre au point le Zero-Day-Exploit.Il s'agit d'un virus qui apparaitrait simultanément en plusieurs endroits de la planète et se propagerait à toute allure, m www.deloitte.ca Pour plus de renseignements, visitez notre site Deloitte.Samson Bélair/Deloitte & Touche Nous ne protégeons pas seulement l'information de votre entreprise : nous contribuons également à protéger vos actifs Chez Samson Bélair/Detoitte & Touche, nos experts sont des chefs de file en ce qui concerne l'élaboration et la mise en application de solutions relatives à la sécurité de l'information.Notre vision des affaires et notre expérience en matière de technologie nous fournissent un savoir-faire unique qui nous permet d'offrir des solutions globales en matière de sécurité à l'échelle de l'entreprise.Ensemble, nous pouvons gérer votre risque relatif à l'informatique, et ce, de votre salle du conseil jusqu'aux opérations.Certification.Fiscalité.Consultation.Conseils financiers.© Samson Bélair/Deloitte & Touche s.e.n.c.r.l, et ses sociétés affiliées.| 14 Mai 200s | Au tour des cellulaires d'être la cible d\u2019 attaques ofivier.schmouker @transcontinental.ca Les alertes aux actes de piratage sur téléphone cellulaire se multiplient depuis quelques semaines, un peu partout dans le monde.L'un des derniers actes en date a été dénommé Fontal.Il s\u2019agit d\u2019un cheval de Troie, dont le procédé est fort simple.Un fichier infecté est envoyé à un cellulaire doté de Symbian série 60, l\u2019un des systèmes d'exploitation les plus populaires auprès des fabricants de cellulaires tels que Nokia, Samsung, Siemens, Panasonic et Lenovo.Dès que l'utilisateur ouvre le fichier infecté, Fontal installe des données corrompues qui provoquent une panne au démarragæ Si l'on réinitialise le téléphone en l\u2019éteignant puis en I'allumant.de nouveau, la situation empire, car le téléphone se retrouve vérouillé.« À l'heure actuelle, la seule manière connue de désinfecter un cellulaire ainsi touché est de le reformater, au risque de perdre toutes les données stockées », explique un communiqué de F-Secure, une société finlandaise de sécurité informatique à l\u2019origine de plusieurs alertes d'attaques sur cellulaires.« Une infection peut se révéler coûteuse, souligne Mikko Hypponen, directeur, recherche antivirus, de F-Secure.Le carnet d'adresses de mon cellulaire compte 1 700 adresses.Imaginez la difficulté que j'aurais à le reconstituer.» De plus en plus dangereux Fontal est l\u2019un des premiers types d'attaques à éteindre réellement le cellulaire et à contraindre les utilisateurs à Hausse prévue des budgets alloués à la sécurité $ \u201cLe budget des.\u2018entréprises - \u201calloué à l'informatique devrait \u2018sieurs années de ainsi augmenter après.plu- \u2018tion, souligne l\u2019étude menée | auprès de quelque 1 300 directeurs informatiques prove- Fontal est un cheval de Troie, dont le procédé est fort simple.Dès que l'utilisateur ouvre le fichier infecté, Fontal installe des données corrompues qui provoquent une panne au démarrage.effacer toutes les données.Les attaques précédentes, qui datent d\u2019il y a seulement quelques semaines, correspondent à différentes sortes de vers, dont Mabir et Cabir.Fontal est un des premiers types d'attaques à éteindre réellement le cellulaire et à contraindre les utilisateurs à effacer toutes les données.Ainsi, ces vers consistaient en des fichiers infectés qui se propageaient par l\u2019entremise de Bluetooth, un système de transmission sans fil pour les cellulaires et pour Internet.Une fois infiltré dans un cellu- \u201cman dune trentaine dé pe \u20ac et représentant un budget tait fait sentir dès 2001.des entreprises en mai 2 ; informatique.Ce phénomène laire, le ver tente d'établir une connection avec les cellulaires compatibles aux alentours.Ce moyen de propagation n\u2019est guère efficace, car il faut que l'utilisateur télécharge le fichier envoyé et accepte par deux fois de passer outre des messages d'alerte d'un risque potentiel de virus.Et pourtant, Cabir a déjà été détecté dans une vingtaine de pays, dont les États-Unis.« Il y a tant d\u2019étapes d\u2019installation qu'il est étonnant que ce ver prenne autant d\u2019ampleur, mais j'imagine qu'avec un milliard de cellulaires dans le monde, certains utilisateurs acceptent d\u2019ouvrir le fichier infecté », dit M.Hypponen.Cabir et les autres vers actuels ne causent guère de dégâts, tout au plus des inconvénients tels que le déchargement accéléré de la batterie da cellulaire infecté.m 1 La priorité actuelle des en- ] des "]