/finance/business
Navigation

Les employés font partie de la lutte contre les cyberattaques

Steve Waterhouse
Photo Pierre-Paul Poulin Steve Waterhouse, spécialiste en informatique. Il observe le trafic Internet.

Coup d'oeil sur cet article

Comment protéger une entreprise contre les attaques répétées des cyberpirates? En misant sur les employés!

• À lire aussi: Aucune PME n’est à l’abri d’une cyberattaque

La cyberdéfense, c’est avant tout une question de culture d’entreprise, disent les spécialistes en cybersécurité. « Et ça touche principalement les PME, car 70% des entreprises canadiennes victimes d’incidents de cybersécurité emploient moins de 100 personnes », explique Guillaume Caron, président-directeur général de VARS, division en cybersécurité de Raymond Chabot Grant Thornton. 

Concrètement, les cyberpirates attaquent les entreprises principalement par des techniques d’hameçonnage : « Ils envoient un courriel contenant un lien, un employé clique sur ce lien, ce qui permet au criminel d’exécuter un ‘‘malware’’ qui prendra éventuellement le contrôle de l’environnement informatique de l’entreprise. », poursuit M. Caron. 

Comment réagir? En se dotant d’un plan qui passe par la formation et la sensibilisation du personnel.  

« Tout le monde, du grand patron aux employés de la base, doit être formé et, surtout, sensibilisé à la sécurité informatique, poursuit M. Caron. La direction doit comprendre les principaux enjeux et choisir les solutions technologiques et humaines appropriées. De nos jours, on ne peut plus dépendre uniquement des antivirus... » 

Une politique

Une PME doit donc se doter d’une politique de sécurité informatique qui sera réalisée en fonction de sa réalité, de sa culture, de ses opérations et de ses effectifs. Il ne faudra pas hésiter à faire affaire avec un spécialiste pour l’écrire et l’implanter, à tous les échelons de l’entreprise.  

« Pour une petite PME, ce n’est parfois pas nécessaire d'avoir plusieurs politiques de sécurité de l’information. Une seule peut suffire. Elle devra aborder des sujets importants, notamment la gestion des accès, la gestion des données et des mots de passe de l’entreprise ainsi que l’utilisation acceptable de l’équipement informatique. De plus, les PME doivent être prêtes à réagir en cas d’attaques. C’est important plus que jamais de mettre en place un plan de réponse aux incidents. » 

Ce document devra tenir compte de certaines techniques d’ingénierie sociale et s’adapter aux réalités de l’entreprise pour être efficace et réaliste. Il devra être rédigé dans une langue simple. Et cette politique doit impérativement aborder la question de la sensibilisation des employés. 

Pour Guillaume Caron, l’entreprise doit s’assurer qu’une telle politique soit lue, comprise et signée par tous les membres du personnel. 

Par la suite, la PME peut se charger d’organiser elle-même des activités de sensibilisation sur une base continue, ou les confier à une firme externe. 

De la formation

Pour faire face à la menace, une PME doit instaurer dès que possible un programme de sensibilisation et de formation. « Dans la réalité, les employés constituent le maillon le plus faible face aux cybercriminels. Il faut faire en sorte qu’ils deviennent une première ligne de défense efficace », martèle M. Caron. 

Ce dernier prône l’instauration de campagnes de sensibilisation permanentes, routinières et, surtout, à participation obligatoire. Les thèmes portent avant tout sur l’hameçonnage, la protection des renseignements et des documents sensibles, l’utilisation des technologies... « Il faut que ces campagnes soient attrayantes et fassent appel à des quiz en ligne et à de l’humour, reprend Guiillaume Caron. Et, surtout, il faut sans cesse répéter le message. » 

CONSEILS

Faut-il engager un spécialiste?

Se fier aux conseils de son beau-frère, même s’il est doué en informatique, est une erreur. « J’ai été appelé récemment par une PME qui a été attaquée deux fois, en août et en septembre, explique François Daigle, vice-président, services professionnels, chez OKIOK. On a fini par comprendre qu’ils n’avaient aucun mur coupe-feu (firewall) sur leur serveur, depuis des années! C’est comme avoir des rideaux au lieu de portes munies de serrures. N’importe qui pouvaient pénétrer leur réseau informatique... Cette entreprise faisait pourtant affaires avec un consultant en sécurité, un ami du patron, mais il était incompétent. » Dans le doute, M. Daigle suggère de dépenser quelques milliers de dollars pour solliciter l’avis d’une firme reconnue. Certaines offrent des programmes de formation en ligne par abonnement mensuel des plus abordables. « Ça coûte moins cher que d’engager un chef de la sécurité informatique ou de payer la rançon à des cyberpirates. » 

Ne rien laisser traîner   

Une bonne politique de défense contre les cyberpirates comprend des notions sécuritaires de base.

Les experts nomment spontanément des techniques éprouvées :   

  • ne jamais laisser traîner des documents affichant des renseignements confidentiels ou sensibles sur votre bureau, chez l’employeur ou à la maison;   
  • proscrire les clés USB pour transférer des documents (et ne jamais les laisser traîner);   
  • ne pas utiliser l’adresse courriel ou même les appareils du patron (ordinateur de bureau, portable, tablette, téléphone) pour les activités personnelles et familiales des employés;   
  • ne surtout pas laisser les enfants des employés accéder à ces appareils, notamment pour jouer à des jeux vidéo;   
  • interdire l’installation de jeux vidéo sur les postes de travail au bureau ou sur ceux de l’entreprise, en télétravail;   
  • ne jamais confier son mot de passe ou son NIP à un collègue de travail;   
  • ne jamais répondre à un courriel provenant d’une personne ou d’une adresse inconnue, étrange, non sollicité ou dans un contexte bizarre, même s’il vient d’un patron, y compris sur Messenger (avant de répondre, prenez la peine d’appeler ce dernier pour vérifier s’il vous a bel et bien écrit);   
  • ne jamais cliquer sur un lien dans un tel courriel;   
  • ne jamais se connecter à des réseaux publics (aéroports, cafés internet) mal sécurisés;   
  • changer régulièrement ses mots de passe, quitte à utiliser une application de gestion de mots de passe;   
  • ne jamais jeter des documents dans des bacs de recyclage ou des poubelles : déchiquetez-les!