Foire aux questions

Généralités

Qu’est-ce que le programme Initiatives en cybersécurité?

Ce programme national, articulé sur la collaboration, est conçu pour renforcer la cybersécurité dans les organisations canadiennes de recherche et d’éducation en harmonisant, coordonnant et finançant des initiatives jugées prioritaires au terme de vastes consultations avec les intervenants du secteur.

Qui finance le programme?

Le ministère fédéral Innovation, Sciences et Développement économique Canada (ISDE) finance CANARIE pour qu’il coordonne, harmonise et subventionne les initiatives du programme.

Qui peut y participer?

Les organisations admissibles (voir les critères plus bas). Chaque organisation ne peut soumettre qu’une demande de participation.

Quels sont les critères d’admissibilité?

Pour participer au programme, l’organisation doit respecter les critères que voici :

Y a-t-il une échéance pour participer au programme?

Les organisations admissibles (OA) peuvent s’inscrire jusqu’au 31 mars 2023, mais le programme Initiatives en cybersécurité (PIC) sera financé jusqu’au 31 mars 2024. Néanmoins, l’organisation n’aura accès aux initiatives subventionnées qu’une fois sa participation au programme confirmée. Par conséquent, plus vite elle s’y inscrira, plus longtemps elle bénéficiera des initiatives que finance CANARIE.

Les organisations participantes ont-elles un certain temps pour s’inscrire aux initiatives subventionnées?

Oui. Une échéance sera fixée pour l’inscription à chaque initiative et son déploiement. Ainsi, les organisations participantes ont jusqu’au 31 mars 2023 pour déployer la première, le pare-feu DNS de l’ACEI.

Doit-on mettre en œuvre toutes les initiatives que finance le PIC?

Non. Toutefois, ces initiatives sont conçues pour s’intégrer mutuellement et renforcer la cybersécurité de l’organisation ce qui, au bout du compte, rendra le secteur plus sûr.

Partenaire du RNRE

Qu’est-ce que le RNRE?

Le Réseau national de la recherche et de l’éducation (RNRE) canadien connecte les chercheurs, les enseignants et les innovateurs du pays les uns aux autres et leur donne accès à leurs homologues ainsi qu’aux données et aux technologies du monde entier. Le réseau est également raccordé à une toile mondiale composée d’une centaine de RNRE, partout sur le globe. Le RNRE canadien se compose de treize partenaires provinciaux et territoriaux et d’un partenaire fédéral, CANARIE.

Quel est le rôle des partenaires provinciaux et territoriaux du RNRE dans le programme Initiatives en cybersécurité?

Les partenaires provinciaux et territoriaux du RNRE collaboreront avec CANARIE pour faire connaître les initiatives subventionnées, les piloter, les coordonner et en faciliter l’exécution.

Quels liens y a-t-il entre le programme Initiatives en cybersécurité et le Canadian Shared Security Operations Centre (CanSSOC), le projet SIEM du Réseau national de la recherche et de l’éducation (RNRE) et le programme ON-CHEC de l’Ontario?

Ces trois initiatives se complètent et ont pour but d’accroître les compétences en cybersécurité, d’élargir les capacités dans ce domaine et de faciliter le partage de l’information sur les cybermenaces dans le secteur de la recherche et de l’éducation.

On dirait qu’il y a beaucoup d’initiatives nationales et régionales pour résoudre le même problème de sécurité. Pourquoi?

Sécuriser les milieux de la recherche et de l’éducation est une tâche complexe qui exige l’harmonisation et la coordination de solutions complémentaires que proposent diverses organisations. Nous collaborons avec d’autres partenaires ou initiatives dans un but commun : rendre plus sûr les milieux de la recherche et de l’éducation au Canada.

Le programme Initiatives en cybersécurité s’inscrit dans une stratégie plus vaste échafaudée par les partenaires nationaux et internationaux de CANARIE pour mettre en place une approche commune à la sécurisation des milieux de la recherche et de l’éducation. Grâce à cette approche, on créera un site Web central et une marque identifiable à partir desquels on pourra effectuer une recherche sur l’ensemble des programmes de cybersécurité régionaux, nationaux et mondiaux et y accéder. Plus de détails sur le site et la marque en question seront dévoilés au début de 2021.

Obligations relatives à la participation

Que mon organisation devra-t-elle faire si elle s’inscrit au programme et ratifie l’Entente de collaboration en cybersécurité avec une organisation (ECCO)?

Voici ce à quoi sera tenue l’organisation en vertu de l’ECCO.

  1. Elle pourra, à sa discrétion, choisir la ou les initiatives auxquelles elle aimerait participer et pour chacune d’elles devra :
    • s’inscrire à l’initiative en cybersécurité en vue d’y participer;
    • ratifier la ou les ententes complémentaires qu’exige l’initiative, s’il y a lieu;
    • participer aux activités d’intégration et de formation établies par le partenaire de l’initiative;
    • collaborer avec la collectivité dans le cadre de l’initiative, y compris recourir à des outils en ligne comme Slack.
  2. L’organisation devra désigner un responsable IT pour qu’il réponde aux exigences IT de l’initiative (le partenaire de l’initiative pourra lui dispenser du soutien au besoin).
  3. Elle devra donner son avis sur de nouvelles initiatives éventuelles.
  4. Elle devra remettre un rapport final sur chaque initiative à laquelle elle a participé en se servant du modèle fourni par CANARIE.

Quelles sont les obligations de CANARIE en vertu du programme?

Aux termes de l’ECCO, CANARIE et ses partenaires du RNRE faciliteront l’exécution des projets et des initiatives en cybersécurité dans les organisations qui se sont inscrites au PIC. Ces initiatives sont entièrement ou partiellement financées par CANARIE.

Mon organisation touchera-t-elle des fonds directement dans le cadre de ce programme?

Il se pourrait qu’une organisation admissible reçoive des fonds pour certaines activités comme la formation du personnel ou l’installation et la configuration des logiciels. Dans un tel cas, l’organisation participante devra conclure une entente complémentaire avec CANARIE. L’ECCO ne prévoit pas le financement direct des organisations. Elle ne sert qu’à financer des initiatives dont peut bénéficier gratuitement l’organisation.

Nous avons déjà instauré les meilleures mesures de protection. Pourquoi devrions-nous adopter les initiatives financées par le PIC?

es initiatives n’ont pas pour but de remplacer ce que vous avez déjà mis en place, mais d’ajouter une couche de protection supplémentaire uniforme à toutes les organisations du secteur canadien de la recherche et de l’éducation. Les initiatives subventionnées par le PIC ont été conçues pour s’intégrer les unes aux autres et renforcer la cybersécurité de l’organisation ce qui, par voie de conséquence, consolidera tout le secteur.

Pour la majorité des organisations, le financement de ces initiatives par le PIC signifie une économie appréciable dans le budget IT annuel, économie qu’on pourra affecter à d’autres mesures de sécurité, à la formation ou aux ressources humaines.

Si l’organisation utilise déjà un service identique à celui que subventionne le PIC, CANARIE en absorbera automatiquement le coût. Après l’inscription au PIC, CANARIE collaborera directement avec le partenaire de l’initiative (distributeur ou fournisseur du service) en vue d’en prendre le coût en charge.

Nous n’avons pas beaucoup de ressources. Et nous n’avons ni le temps ni les personnels nécessaires pour s’occuper de nouvelles initiatives.

C’est ici qu’entre en jeu le partenaire du RNRE de votre région. Son personnel possède le savoir-faire requis pour servir de prolongement à votre équipe. Les deux premières initiatives financées dans le cadre du PIC, le pare-feu DNS de l’ACEI et le fil de menaces du CanSSOC, ont été conçues pour qu’on les « oublie » une fois l’installation terminée. Bref, elles n’exigent qu’un minimum d’attention. En outre, il faut moins d’une heure pour déployer la première et une séance d’information technique de moins de deux heures pour mettre en œuvre la seconde. Le partenaire du RNRE de votre région pourra guider l’équipe de l’organisation dans chaque cas.

Inscription

Comment l’organisation peut-elle s’inscrire à une des initiatives subventionnées?

Les organisations qui se sont inscrites au programme Initiatives en cybersécurité (PIC) peuvent participer aux initiatives qu’il finance. Si l’organisation est admissible au PIC, le partenaire du RNRE de sa province ou de son territoire prendra contact avec elle et lui transmettra un lien donnant accès au formulaire d’inscription. Vous ne savez pas si votre organisation est admissible ou pas? Contactez le partenaire du RNRE de votre province ou territoire.

Quelles informations le formulaire d’inscription réclame-t-il?

Les informations réclamées sont celles qui serviront à préparer l’Entente de collaboration en cybersécurité avec une organisation (ECCO) de CANARIE. Si vous le désirez, vous pouvez examiner un exemple du formulaire et de l’entente.

Entente

Qu’est-ce que l’Entente de collaboration en cybersécurité avec une organisation (ECCO)?

L’ECCO est l’entente que concluent CANARIE et l’organisation admissible (OA) qui décide de participer au programme Initiatives en cybersécurité. L’ECCO officialise l’intention de l’organisation à collaborer et à participer aux initiatives et aux projets nationaux en cybersécurité, et ainsi bénéficier du financement de ces initiatives par CANARIE.

Voir un exemple de l’ECCO.

Peut-on modifier l’Entente de collaboration en cybersécurité avec une organisation (ECCO)?

Pour une question d’uniformité, l’entente est la même pour toutes les organisations qui participent au programme. L’ECCO ne peut être modifiée à la demande d’un seul participant.

Pourquoi mon organisation doit-elle signer une autre entente? Elle fait déjà partie du Projet conjoint en sécurité.

Le programme Initiatives en cybersécurité est un nouveau programme. Ses exigences sont différentes. Il exige donc la ratification d’une nouvelle entente.

Pare-feu DNS de l’ACEI

Nous avons déjà un pare-feu. En quoi celui-ci est-il différent?

Comparativement à votre pare-feu « ordinaire », dont vous vous servez pour empêcher le trafic malveillant d’accéder à votre réseau, celui de l’ACEI empêche vos utilisateurs d’accéder aux sites malveillants à partir des appareils se trouvant sur votre réseau. On doit passablement de fuites de données aux employés ou aux étudiants qui cliquent par inadvertance un lien dans un courriel d’hameçonnage ou sur un site Web quelconque. Le pare-feu DNS de l’ACEI ajoute une couche de protection cruciale en interdisant l’accès à de tels sites, par une en temps réel des fils de menaces dans le monde ou par une analyse des données historiques. Le pare-feu identifie aussi les activités suspectes et les signale à l’équipe de cybersécurité de l’organisation avant de mettre les appareils infectés en quarantaine afin de limiter les risques.

Nous avons déjà un pare-feu DNS d’un autre fournisseur. Pourquoi changer?

Avec le PIC, CANARIE finance l’implantation du pare-feu DNS de l’ACEI dans toutes les organisations admissibles. Puisque la plupart des pare-feu DNS sont facturés en fonction du nombre d’ETP, l’initiative de l’ACEI signifiera une économie appréciable pour la majeure partie des organisations. L’argent épargné pourra être investi dans d’autres ressources en cybersécurité.

Comment l’organisation peut-elle accéder à cette initiative?

Veuillez communiquer avec le partenaire du RNRE de votre province ou territoire.

Si l’organisation s’est déjà inscrite au PIC, le partenaire du RNRE de votre région vous enverra un lien menant au portail de l’ACEI, où vous pourrez configurer et installer le pare-feu DNS.

Si l’organisation n’est pas encore inscrite au PIC

  1. Le partenaire du RNRE de votre région vous enverra le lien menant au formulaire d’inscription.
  2. Après que vous aurez rempli et soumis le formulaire, CANARIE vous enverra l’Entente de collaboration en cybersécurité avec une organisation (ECCO), que vous devrez signer.
  3. Une fois l’ECCO ratifiée, le partenaire du RNRE de votre région vous enverra un autre lien conduisant au portail de l’ACEI, où vous pourrez configurer l’installation du pare-feu DNS.

Combien de temps faut-il pour implanter cette initiative?

La configuration du pare-feu DNS demande environ une heure.

Combien de temps notre équipe dépensera-t-elle pour s’occuper du pare-feu DNS de l’ACEI après son installation?

Le pare-feu DNS réclame peu d’attention (habituellement moins d’une heure par mois).

Quelle expertise faut-il pour mettre en place et maintenir cette initiative?

Un membre de votre équipe IT ayant accès aux serveurs DNS du réseau possèdera l’expertise voulue pour installer et maintenir le pare-feu DNS de l’ACEI. Si votre équipe IT n’a pas les ressources nécessaires pour procéder à son installation, contactez le partenaire du RNRE de votre région. Il s’assurera que vous receviez l’aide requise pour profiter de cette initiative.

Faut-il installer des outils de cybersécurité particuliers pour profiter de cette initiative?

Non. Il n’y a aucune exigence minimale pour que l’organisation utilise le pare-feu DNS.

Fil de menaces du CanSSOC

Nous utilisons déjà le fil de menaces du CanSSOC avec le pare-feu DNS de l’ACEI. En quoi ceci est-il différent?

La source de renseignements est la même, mais le degré de protection offert par chacun est très différent. Par son intégration, le Fil de menaces du CanSSOC est une des sources d’information que le pare-feu DNS de l’ACEI emploie pour identifier les activités ou les sites malveillants sur le DNS et empêcher l’utilisateur d’y accéder.

Le pare-feu de la prochaine génération de l’organisation intègre directement le Fil de menaces du CanSSOC pour bloquer les menaces extérieures et les empêcher de s’infiltrer dans le réseau. Il protège ce dernier contre les cybermenaces externes qui tentent d’y accéder.

Nous sommes déjà abonnés à plusieurs fils de menaces. Avons-nous vraiment besoin de celui du CanSSOC?

Cette initiative ne remplace pas les fils de menaces que vous pourriez déjà avoir installés, elle les renforce avec des informations spécifiques au secteur. Le Fil de menaces du CanSSOC pourrait d’ailleurs incorporer des fils auxquels vous êtes abonné, notamment celui du Centre canadien pour la cybersécurité. Le Fil de menaces du CanSSOC regroupe et analyse diversw fils portant uniquement sur les menaces qui visent le milieu de la recherche et de l’éducation (R-E). Les cybermenaces sont si complexes de nos jours qu’une organisation R-E menacée peut mettre en danger le secteur dans sa totalité, par ricochet. Le Fil de menaces du CanSSOC permet au secteur R‑E canadien d’exploiter collectivement un moyen de défense national mis à la disposition des organisations.

Comment l’organisation peut-elle accéder à cette initiative?

Veuillez communiquer avec le partenaire du RNRE de votre province ou territoire.

Si l’organisation s’est déjà inscrite au PIC, le partenaire du RNRE de votre région vous enverra un lien menant au formulaire d’inscription du fil de menaces du CanSSOC.

  1. Remplissez puis soumettez le formulaire.
  2. CANARIE vous fera parvenir l’entente de confidentialité du CanSSOC, que vous devrez signer.
  3. Après que vous aurez ratifié l’entente de confidentialité, le partenaire du RNRE de votre région prendra contact avec vous pour organiser une séance d’information technique au terme de laquelle vous aurez accès au fil de menaces.

Si l’organisation n’est pas encore inscrite au PIC

  1. Le partenaire du RNRE de votre région vous enverra le lien menant au formulaire d’inscription, où vous pourrez aussi vous inscrire au fil de menaces du CanSSOC.
  2. Après que vous aurez rempli et soumis le formulaire, CANARIE vous enverra l’Entente de collaboration en cybersécurité avec une organisation (ECCO), que vous devrez signer.
  3. Une fois l’ECCO ratifiée, CANARIE vous fera parvenir l’entente de confidentialité du CanSSOC pour que vous la signiez.
  4. Après ratification de l’entente de confidentialité, le partenaire du RNRE de votre région prendra contact avec vous pour organiser une séance d’information technique au terme de laquelle vous aurez accès au fil de menaces.

Combien de temps faut-il pour implanter cette initiative?

La séance d’information technique dure environ deux heures et est entièrement guidée par un représentant du RNRE ou du CanSSOC.

Combien de temps devra-t-on passer pour s’en occuper après son installation?

Le CanSSOC a conçu son fil de menaces pour que l’organisation n’ait plus à s’en occuper au point de détection après un minimum de configuration.

Quelle expertise faut-il pour mettre en place et maintenir cette initiative?

La seule expertise requise est celle d’un administrateur possédant les compétences et les autorisations voulues pour accéder au pare-feu de l’organisation et y apporter quelques modifications.

Faut-il installer des outils de cybersécurité particuliers pour profiter de cette initiative?

Non. Cependant pour optimiser l’utilité du fil de menaces, on préconise l’usage d’un pare-feu de la prochaine génération. Le Fil de menaces du CanSSOC s’intègre aisément à Firepower de Cisco, à FortiGate de Fortinet et au pare-feu de la prochaine génération de Palo Alto, mais l’intégration à d’autres pare-feu de la prochaine génération ainsi qu’à des dispositifs de détection et de protection en bout de ligne est en cours de développement.

Système de détection des intrusions

Qu’est-ce qu’un système de détection des intrusions (SDI)?

Le SDI est une application qui détecte les cyberattaques en saisissant puis analysant les paquets de données sur le réseau. En surveillant un segment du réseau (ou un commutateur), le SDI suit le trafic qui y circule et affecte les nombreux hôtes connectés au segment en question. [Réf. glossaire du NIST ]

Nous utilisons déjà le Fil de menaces du CanSSOC. Avons-nous vraiment besoin du SDI?

Les initiatives subventionnées dans le cadre du programme Initiatives en cybersécurité (PIC) sont conçues pour fonctionner ensemble et rendre l’organisation plus sûre, donc, par voie de conséquence, accroître la sécurité du secteur de la recherche et de l’enseignement dans son ensemble. Le Fil de menaces fournit de précieux indicateurs de compromission pouvant intégrer des mesures de sécurité (pare-feu périphériques, listes de contrôle des accès, filtres pour le trafic, etc.) conçues pour protéger l’organisation par de multiples couches. Le SDI assure la surveillance sans laquelle de telles mesures seraient inefficaces.

Nous recourons déjà au pare-feu DNS de l’ACEI. Avons-nous aussi besoin du SDI?

Le pare-feu DNS de l’ACEI a été conçu pour assurer une protection en temps réel, quand l’utilisateur navigue sur l’internet. Le SDI surveille passivement le trafic qui circule sur le réseau, mais n’intervient pas dans les activités de l’utilisateur durant la navigation, ni avec le service du pare-feu DNS de l’ACEI.

Quelle est la différence entre un SDI et un pare-feu?

Le SDI surveille le trafic circulant sur le réseau de façon passive. Il identifie la signature spécifique d’une attaque ou les anomalies, et établit les bases à partir desquelles les activités suspectes sur le réseau seront signalées.

Le pare-feu est un dispositif en ligne qui fait barrière et régule les échanges entre réseaux, selon les politiques locales en matière de sécurité. Il contrôle activement les communications entre les réseaux au niveau des ports, des protocoles ou des applications.

De quelle façon le SDI améliore-t-il la sécurité de l’organisation?

Le système de détection des intrusions fournit de précieux renseignements sur l’activité du réseau de l’organisation. Les cadres de protection de l’information (CSF du NIST, CIS, ISACA, ISF, GDPR, ISO 27001, etc.) employés pour jauger le degré de sécurité de l’organisation considèrent le SDI comme un dispositif important pour la sécurité de cette dernière, car il rehausse ses capacités sur les plans de la surveillance, de la déclaration et du déclenchement d’alertes.

De quoi faut-il tenir compte avant de déployer le SDI?

CANARIE tiendra une séance de formation et remettra de la documentation en vue du déploiement, notamment sur ce qui suit :

Où le SDI se place-t-il dans le CSF (Cyber Security Framework) du NIST?

Le SDI se situe au niveau des contrôles du CSF pour la détection des menaces. Les données glanées par le SDI comblent aussi d’importantes lacunes au niveau des contrôles « surveillance et analyse ».

Quels efforts la participation à l’initiative SDI nécessitera-t-elle?

Pour participer à l’initiative, vous devrez (estimation du temps requis) :

Comment les intrusions sont-elles détectées?

Le SDI de l’initiative utilise l’application Network Security Monitor (NSM) de Zeek pour analyser le trafic et déceler les anomalies.

Comment et où puis-je obtenir du soutien technique?

La communauté du SDI est une excellente ressource. Les participants peuvent partager leurs constatations avec elle et lui poser des questions techniques. Les participants ont également tous accès à un canal Slack qui leur est consacré.

L’équipe en cybersécurité de CANARIE vous procurera aussi une assistance technique, notamment avec le portail SDI, sur lequel vous trouverez de la documentation. Si vous avez besoin d’une plus grande aide, notre équipe reste régulièrement en contact avec les créateurs de Zeek.

Les équipes de l’Université Victoria et de l’Université de Waterloo qui ont développé les plateformes d’analyse pour le SDI dispensent le soutien technique qui s’y rapporte. FYELABS offre aussi du soutien pour l’interface graphique locale servant de module au SDI de Zeek et permettant l’analyse des données stockées directement dans le serveur du SDI.

Questions techniques

Quelles sont les contraintes techniques de l’installation?

Vous aurez besoin de ce qui suit pour installer le SDI :