Forum Sécurité et Fraude Desjardins – l’importance de l’humain

Sécurité ordinateur informatique cadenas mot de passe

J’ai assisté au Forum Sécurité & fraude de Desjardins à Laval, pour le premier volet consacré aux entreprises… Et j’ai pris beaucoup de notes! J’ai l’habitude de couvrir les sujets qui touchent « le grand public », mais les trucs et bonnes pratiques de sécurité informatique sont encore plus importants en entreprise – pas seulement les grandes. Qu’on soit travailleur autonome, employé ou patron!

… Mais mon entreprise n’est pas à risque!

Piratage, hameçonnage, rançongiciel… Les pirates informatiques ne sont pas des ados dans leur sous-sol: ce sont des criminels organisés, qui opèrent sans se soucier des frontières. Les logiciels de piratage s’achètent sur le dark web!

Les entreprises détiennent des informations stratégiques (soumissions, plans, recettes…), personnelles (des employés et des clients!) et financières, ce qui en font des cibles alléchantes pour les pirates. La moitié des PME ont déjà été victimes d’attaques informatiques!

Les règles sur la sécurité informatique (le Règlement général sur la protection des données en Europe, la Loi sur la protection des renseignements personnels et les documents électroniques au Canada) font aussi quel les informations personnelles des clients et des employés ne doivent plus être traitées à la légère. Un niveau de sécurité plus important est nécessaire. Il peut être avantageux de contacter un spécialiste en sécurité ou un avocat en la matière pour s’assurer d’être conforme aux nouvelles normes. Un recours collectif contre votre entreprise est possible en cas de fuite de données!

L’importance de développer de meilleurs réflexes en sécurité informatique

On faisait un parallèle avec la ceinture de sécurité en voiture: avec le temps, tout le monde sait quand le faire et comment le faire; c’est un réflexe. Et la crainte d’une amende salée nous rappelle de ne pas l’oublier!

Il faut arriver à un même niveau d’automatisme avec les bonnes pratiques de sécurité informatique.

L’actualité comme source d’apprentissage

Chaque fuite de données (l’affaire Facebook et Cambridge Analytica, Equifax…) est une façon de se rappeler de l’importance d’être vigilant. Personne ne veut être la prochaine entreprise victime de fuite de ses données ou d’une faille informatique. Encore moins la personne responsable. Et comme 60% des incidents informatiques sont causés par les employés… C’est important de les mettre à contribution.

Un plan de continuité informatique

Beaucoup d’entreprises ont un plan de continuité des affaires, pour réduire l’impact sur ses activités en cas d’incident ou de catastrophe. Le plan devrait inclure les catastrophes informatiques causées par le piratage, les attaques informatiques, la perte (ou le vol) des données informatiques. Qu’est-ce qu’on fait si on ne peut plus utiliser les ordinateurs parce qu’on est victime d’un rançongiciel (ransomware)? On contacte qui?

Déterminer qui est responsable de la sécurité informatique est important, même pour les petites entreprises. Il faut toujours garder en tête combien coûterait la reprise des affaires si l’entreprise ne pouvait plus utiliser ses ressources informatiques – liste de clients, de fournisseurs, le système de facturation…

(Pour un travailleur autonome, perdre ses données est une catastrophe… Et beaucoup ne font pas de copies de sauvegarde régulières. Je n’ose pas imaginer l’impact pour une PME!)

On suggérait de considérer l’achat d’une cyber assurance; une faille informatique peut coûter très cher à régler. Parce que pour être assurable, il faut avoir de bonnes pratiques informatiques! (Desjardins en lance une bientôt.)

Ajout: Un bon exemple: le cas d’Artopex. « On avait déjà préparé un plan de contingence en cas d’attaque informatique, alors on a réussi à repartir nos affaires » Les bonnes pratiques informatiques, ça rapporte!

Tester le processus

Simulation hameçonnage Terranova - Solutions de sécurité

Il ne suffit pas d’avoir un plan de continuité des affaires dans un tiroir quelque part… Il faut le tester pour s’assurer que tout le monde sait quoi faire!

Par exemple, il est possible de faire un test d’hameçonnage dans son entreprise: on simule l’envoi des messages dangereux à ses employés. On peut ainsi voir qui ouvre le message, qui clique sur les liens, mais surtout, qui ont les bons réflexes de signaler le courriel…

(Il existe aussi des solutions open source comme GoPhish pour tester l’hameçonnage.)

J’ai beaucoup aimé la phrase: « Quand le système informatique flanche, c’est l’humain qui prend la relève ». Investir en préparation est moins coûteux que payer la réparation des dégâts…

L’importance des copies de sauvegarde

On ne le répètera jamais assez: faire des (bonnes!) copies de sauvegarde peut sauver énormément de temps et d’argent. Et il faut valider que les copies sont bien faites et qu’on sait comment s’en servir!

Une pièce d’identité?

Vous demandez une pièce d’identité à vos clients? On ne peut conserver un numéro de permis de conduire que pour les activités liées à la conduite, le numéro d’assurance maladie que pour les soins de santé et le numéro d’assurance sociale que pour des raisons fiscales. Ça vaut aussi avant l’embauche pour les demandes d’emploi! Et si jamais vous devez conserver ces informations… Il faut les conserver de façon sécuritaire!

Une trousse de cybersécurité gratuite

Protéger votre entreprise contre les cyberattaques Desjardins
Beaucoup de conseils pratiques pour la sécurité informatique en entreprise!

Pour aider à protéger les entreprises contre les cyberattaques, Desjardins a sur son site une trousse de conseils sur la sécurité très bien faite. On y trouve l’ABC de la cybersécurité (le type de fraudes…), des conseils et de bonnes pratiques.

Notes en vrac sur la sécurité

  • 73% des gens réutilisent leurs mots de passe, ça monte à 80% chez les jeunes!
  • Les fausses factures sont la meilleure façon de piéger les employés (on clique sur le lien… et l’ordinateur peut être infecté!)
  • Il y a l’hameçonnage, l’envoi de courriels piégés. Mais il y a aussi l’harponnage, une attaque plus ciblée qui utilise des informations personnelles (facile à trouver sur le web ou les médias sociaux.)
  • L’importance de l’analytique (de l’intelligence artificielle) comme filtre à l’entrée quand les humains ne sont plus capables de suivre – filtrer des millions de courriels dont 80% sont des pourriels…
  • Si jamais vous recevez une tentative de fraude par courriel ou texto, prenez le temps de le transmettre à votre institution bancaire, pour aider à identifier les nouvelles menaces (et les adresses et numéros de téléphone utilisés). Pour Desjardins, transférez-le à protection@desjardins.com ou par texto au 7726. Vous recevrez une réponse automatisée.

P.

Cinq trucs pour mieux réagir en cas de faille informatique.

Ajout: Pour faire réfléchir: un reportage d’Enquête sur la cybersécurité en entreprise – les risques potentiels.

P.-S. Le Forum sécurité et fraude a eu lieu à Québec le 15 mai 2018. Les ateliers sont filmés et seront ensuite offerts sur le site de Desjardins.

By Pascal Forget

Formateur. Animateur. Podcasteur, chroniqueur et journaliste en technologie et en science.