Analyse d’attaque ciblée Savoir résister aux attaques La cyberrésilience Les cybercriminels utilisent des moyens de plus en plus sophistiqués pour cibler et s’approprier les plus précieux éléments d’actif informationnel des organisations. D’où l’importance de tester et d’améliorer sans cesse l’infrastructure de sécurité. Certaines espèces, comme le lézard d’Armadille, ont développé des mécanismes de défense contre les attaques dans les environnements les plus hostiles. Les organisations doivent elles aussi être en mesure de prévenir, de détecter et de contrer toute nouvelle menace. Vos processus et systèmes informatiques sont-ils efficaces? Les cybercriminels perfectionnent leurs méthodes et profitent des failles dans les processus ou la technologie d’une organisation pour accéder à ses renseignements opérationnels critiques. Les organisations ne restent pas figées – nous avons constaté qu’elles tentent de se protéger en améliorant leurs processus et leur technologie –, mais il est rare qu’elles mettent leurs processus à l’épreuve en y intégrant tous les niveaux de sécurité adéquats. Elles sont donc vulnérables. L’analyse d’attaque ciblée vous permet d’agir dès maintenant pour protéger vos précieuses données. Qu’est-ce qu’une attaque ciblée? Une attaque ciblée permet d’accéder à un système particulier, celui qui, généralement, contient les éléments d’actif informationnel les plus précieux. Planifiée longtemps d’avance, cette offensive très sophistiquée se sert de l’ingénierie sociale, des logiciels malveillants et des vulnérabilités des systèmes pour déceler et exploiter les faiblesses des processus et de la technologie. Elle peut viser une seule organisation, un pays ou le monde entier. Analyse d’attaque ciblée Reposant sur l’approche méthodique de la Simulation de cyberattaque, l’analyse d’attaque ciblée utilise des scénarios, des simulations d’attaque et des essais (méthode de la boîte noire, de la boîte blanche ou combinaison des deux) personnalisés en fonction des besoins de votre organisation. Notre approche s’appuie à la fois sur des techniques utilisées dans les milieux du renseignement et de la sécurité offensive. © 2016 KPMG s.r.l./S.E.N.C.R.L., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés. L’équipe Cybersécurité de KPMG peut aider votre organisation à déterminer : 1. jusqu’où un cybercriminel peut s’introduire dans votre système pour voler vos données critiques; 2. vos capacités actuelles de prévention, de détection et d’intervention. Avantages de l’analyse d’attaque ciblée – Identification des données critiques : en faire l’inventaire. – Examen des processus techniques : pour comprendre vos processus et les niveaux de sécurité entourant vos données critiques. – Reconnaissance : collecte de renseignements, planification et validation de l’examen des processus techniques. – Élaboration de scénarios : pour faciliter le compte rendu sur l’étape de reconnaissance et la collaboration avec votre organisation concernant les essais internes et externes. KPMG élaborera des scénarios pour pénétrer dans votre périmètre interne et accéder aux données critiques réservées aux utilisateurs privilégiés, à l’intérieur de limites prédéfinies. – Formulation des attaques : conception, élaboration et mise à l’essai de chaque scénario. – Essais pratiques : réalisés selon l’une ou l’autre des méthodes d’essai (ou les deux), et portant sur l’ingénierie sociale, les attaques à distance ou par réseau sans fil, le harponnage et le noyautage des systèmes de sécurité physique et logique. Plusieurs outils et techniques imitent ceux utilisés par les pirates. Personnalisation des scénarios et des attaques simulées Conscient de l’importance de vos données critiques, KPMG personnalise les scénarios, les simulations d’attaque et les essais en se fondant essentiellement sur les processus et les niveaux de sécurité entourant vos données critiques. KPMG procède à des tests traditionnels ainsi qu’à des essais de haut niveau utilisés en juricomptabilité. Les scénarios et les simulations d’attaque que nous pouvons créer sont tout aussi variés. Les essais portent sur les exploits au niveau des systèmes du client, ou réalisés à partir d’un point d’accès non autorisé (Rogue AP), d’une application Web, d’un dispositif USB, ou encore par crochetage de serrures, clonage de cartes d’identité par fréquence radio (RFID), attaque en force de codes RFID, contournement de la norme 802.1x et d’autres procédures d’authentification et d’autorisation, et « reniflage ». Pourquoi choisir l’équipe Cybersécurité de KPMG? Nous utilisons les outils et techniques dont les professionnels chargés de missions de piratage et de sécurité offensive contrôlées se servent pour tester les niveaux de sécurité de nombreux clients. – Nous avons exécuté des essais pratiques similaires dans divers secteurs. – Nos professionnels, reconnus dans le milieu, travaillent depuis longtemps avec la police et sont souvent cités comme témoins dans le cadre de procès. – Nos conseillers collaborent avec des organismes fédéraux, dont la Gendarmerie royale du Canada (GRC) et les Forces armées Canadiennes, ainsi qu’avec les services secrets américains et le Department of Homeland Security des ÉtatsUnis. – Les quelque 2 700 professionnels accrédités en juricomptabilité à l’échelle mondiale collaborent à des enquêtes transfrontalières en informatique judiciaire, y compris celles qui font appel à des enquêteurs privés autorisés. La cybersécurité doit être vue dans le contexte de ce qui est POSSIBLE, et non de ce qui est impossible. Services primés KPMG International a été qualifié de chef de file dans le rapport The Forrester Wave™: Information Security Consulting Services, Q1 2016 de la maison Forrester Research, Inc. En 2011 et en 2012, l’équipe Cybersécurité de KPMG a également obtenu le prix des meilleurs services-conseils en matière de sécurité de l’information et le prix MCA. Indépendance Nos recommandations et nos stratégies techniques ciblent uniquement les services qui conviennent à votre entreprise. KPMG au Canada n’est lié à aucun fournisseur de technologie ou de logiciels. Collaboration Nous collaborons, à titre d’animateurs ou de participants, à des forums réunissant des sommités du domaine afin de trouver ensemble des solutions aux nouvelles menaces et aux défis communs. La conférence du groupe I-4 organisée par KPMG rassemble une cinquantaine des plus grandes organisations au monde. Conseillers de confiance Les cabinets membres de KPMG détiennent un grand nombre de permis et de certifications qui les autorisent à exécuter des missions à l’échelle internationale. Présence mondiale et locale Le réseau de cabinets membres de KPMG s’étend dans 155 pays et compte au-delà de 174 000 professionnels, dont plus de 2 700 dans le domaine de la sécurité, ce qui nous permet d’offrir, dans le monde entier, des services répondant aux normes de qualité les plus élevées. Les bureaux régionaux de KPMG au Canada sauront répondre à vos besoins, qu’il s’agisse de mettre en place des stratégies de sécurité de l’information, des programmes de gestion du changement, des plans d’intervention et des programmes de formation et de certification ISO27001, ou d’effectuer des évaluations techniques détaillées et des enquêtes en juricomptabilité. L’équipe Cybersécurité de KPMG travaille avec les organisations pour prévenir, détecter et contrer les cybermenaces. Nous pouvons aider votre organisation à devenir cyberrésiliente. En cas d’urgence Notre service de cyberassistance est disponible 24/7 1-844-KPMG-911 1-844-576-4911 Communiquez avec nous Paul Hanley Kevvie Fowler Francis Beaudoin Associé et leader national, Cybersécurité 416-777-8501 [email protected] Associé et leader national, Réponse aux cybermenaces 416-777-3742 [email protected] Associé, Services-conseils Gestion des risques L’information publiée dans le présent document est de nature générale. Elle ne vise pas à tenir compte des circonstances de quelque personne ou entité particulière. Bien que nous fassions tous les efforts nécessaires pour assurer l’exactitude de cette information et pour vous la communiquer rapidement, rien ne garantit qu’elle sera exacte à la date à laquelle vous la recevrez ni qu’elle continuera d’être exacte à l’avenir. Vous ne devriez pas y donner suite à moins d’avoir d’abord obtenu un avis professionnel se fondant sur un examen approfondi des faits et de leur contexte. © 2016 KPMG s.r.l./S.E.N.C.R.L., société canadienne à responsabilité limitée et cabinet membre du réseau KPMG de cabinets indépendants affiliés à KPMG International Cooperative (« KPMG International »), entité suisse. Tous droits réservés. KPMG et le logo de KPMG sont des marques déposées ou des marques de commerce de KPMG International. 514-840-2247 [email protected] kpmg.ca/cyber