Articles lundi 16 mai 2022
La cybersécurité : essentielle et accessible
Par Marie-Hélène Paradis
Les technologies sont au cœur de nos vies professionnelle et personnelle et accompagnent nos actions au quotidien. S’il est impensable de remettre en question leur utilisation, il est désormais crucial de savoir les utiliser de façon sécuritaire.
Le Code de déontologie des avocats mentionne l’obligation, pour les avocats, de se maintenir à jour quant aux technologies de l’information. Cela signifie qu’il faut non seulement bien connaître les moyens technologiques qu’on utilise au travail, mais également être vigilants en ce qui concerne la sécurité informatique. Selon Me Elhadji Niang, avocat expert en cybersécurité chez Bouchard avocats, « plusieurs collègues sont intimidés par le vocabulaire et les différentes techniques utilisées, mais ce n’est pas compliqué. Il y a simplement des comportements de base à adopter pour y arriver. »
Quel type d’incidents faut-il craindre?
Parmi les situations ou les incidents à l’origine de nombreux problèmes de cybersécurité, on retrouve le plus souvent : la perte ou le vol d’une clé USB contenant des dossiers de clients, les ordinateurs laissés sur le siège d’une voiture garée ou sur une banquette de restaurant, les virus informatiques, les tentatives d’hameçonnage, les liens malicieux sur lesquels on clique imprudemment. On pense souvent que ça n’arrive qu’aux autres. Pourtant, personne n’est à l’abri d’un accident ou d’une circonstance faisant de nous la victime d’un problème de cybersécurité aux conséquences graves.
En France, on se souvient du cas très médiatisé du Tribunal de Paris qui a été la cible, à l’automne 2020, d’une intrusion frauduleuse massive. À l’origine de l’incident, un simple courriel d’avocat compromis. L’attaquant a ainsi eu accès à l’ensemble des contacts de ce juriste et, partant d’un ancien message, il a envoyé un courriel à un juge qui a cliqué sur le lien frauduleux inséré dans le message. Résultat : les fraudeurs ont accédé à une information sensible et créé bien des problèmes de confidentialité. Tout cela à partir d’un simple courriel d’avocat compromis. Le département de la Justice de l’État de New York a lui aussi expérimenté des problèmes de cybersécurité, à la suite d’un piratage : même les plus gros ne sont pas à l’abri!
Toutefois, les pires histoires d’horreur en matière de sécurité informatique surviennent quand on mêle vie privée et vie professionnelle. Nombreux sont ceux, parmi nous, qui fréquentent des sites plus ou moins sécuritaires, téléchargent des utilitaires gratuits avec des publicités, utilisent des Google Drive et des Dropbox gratuits ou dont les enfants utilisent les tablettes ou téléphones intelligents pour s’amuser avec des jeux vidéo. Hélas, ce sont autant de terreaux fertiles ou d’occasions parfaites pour les intrusions malveillantes.
Les pirates modernes
« L’objectif des pirates informatiques n’est pas de rendre votre ordinateur inutilisable mais de l’utiliser comme instrument pour faire de la « business ». Ils veulent utiliser votre appareil pour faire des publicités de masse, des attaques informatiques sans qu’on s’en rende compte. Et, oui, ils peuvent aussi chiffrer l’information à la suite d’un accès frauduleux et faire une attaque par rançongiciel, comme on a pu voir à la Société des transports de Montréal, chez Canac ou au CEGEP de St-Félicien. Mais ce qu’ils veulent avant tout c’est de l’argent. Ils recherchent des entreprises ou des personnes peu familières avec la technologie pour intégrer leur ordinateur à un réseau de machines zombies sous le contrôle d’un ou de plusieurs cybercriminels qui peuvent en faire ce qu’ils veulent », affirme Me Niang.
La prévention, nerf de la guerre
« Quand il y a intrusion dans nos systèmes, il est souvent trop tard. Les pirates font des mouvements latéraux; par exemple, ils partent de votre compte, au bureau ou à votre cabinet ou entreprise, et ne font rien directement avec votre courriel, ce qui fait que vous ne voyez pas ce qui se passe », explique Elhadji Niang. Par contre, les systèmes auxquels vous avez accès reconnaissent votre compte comme utilisateur. Les fraudeurs peuvent alors poser des actions pour élever leurs privilèges d’accès afin de réaliser des actions malveillantes comme prendre le contrôle d’un serveur. C’est une tactique simple, efficace et très dommageable. »
Avec un peu de prévention cependant, on peut grandement diminuer les risques. Il faut se renseigner, développer les bons réflexes et savoir à quelle porte frapper pour mieux connaître les possibilités d’intrusion malveillante. L’humain est le maillon faible de la chaîne. Il faut donc devenir davantage conscients des risques encourus et prendre des mesures raisonnables pour les réduire.
Qu’est-ce qu’une mesure raisonnable?
La première mesure à mettre en place consiste à protéger les accès à ses ordinateurs, tablettes et téléphones avec un mot de passe sécuritaire. On a tous tendance à créer des mots de passe faciles à retenir. Malheureusement, lorsqu’on peut se souvenir aisément d’un mot de passe, les fraudeurs, qui sont habitués à en décoder de toutes sortes, peuvent le mettre à jour avec tout autant de facilité. Pour un mot de passe plus efficace, il est hautement recommandé d’utiliser un minimum de huit caractères contenant des lettres, au moins une majuscule, des chiffres et au moins un caractère spécial.
On ne doit pas laisser traîner son ordinateur ou sa clé USB partout comme par exemple, au restaurant, dans l’auto, etc. Il faut prendre le temps de définir un mot de passe complexe pour les documents qui sont conservés sur une clé USB ou sur un disque dur externe. Un mot de passe doit par ailleurs être nécessaire lorsqu’on quitte son bureau, même pour une courte réunion. Et, idéalement, il ne faut pas utiliser les mêmes outils informatiques pour le travail et pour les activités de la vie personnelle.
Ce sont des petites choses et des habitudes faciles à mettre en place ou à adopter. Il suffit d’acquérir les bons réflexes de base.
Les outils à notre disposition
Sur le site Web du Barreau du Québec, une section propose aux avocats des outils de type « cybersécurité 101 », afin de savoir ce qu’il convient de faire dans le cadre du travail.
On peut également trouver une mine de renseignements et de bonnes pratiques sur les sites d’organismes gouvernementaux :
- Commission d’accès à l’information
Savez-vous identifier les menaces qui guettent vos renseignements personnels?
Incident de sécurité impliquant des renseignements personnels
Ressources utiles - Centre Canadien de la cybersécurité
Publications - Gouvernement du Canada
Pensez cybersécurité
En conclusion
Me Niang assure qu’il est possible de devenir un usager plus sécuritaire avec les outils informatiques et que c’est un but facilement accessible. « Le premier pas à franchir est de devenir conscient du danger qui nous guette tous, petits ou grands cabinets ou travailleurs autonomes. Il ne faut pas avoir peur d’utiliser les technologies ni de se renseigner pour le faire de façon sécuritaire, On a tout à y gagner, car les technologies sont là pour rester et les fraudeurs deviendront de plus en plus sophistiqués. »
Il existe plusieurs mesures ayant comme objectif d’atténuer et de gérer les risques reliés aux technologies de l’information. Comme on protège nos biens contre l’incendie et le vol et comme on protège notre responsabilité civile à l’égard de tiers, il est aussi essentiel de souscrire à une police cyberrisques.