Des stats inquiétantes quant aux attitudes en matière de données et de cybersécurité

Malgré un nombre incessant d’intrusions informatiques et d’incidents de confidentialité (pour utiliser le vocable de la loi québécoise), l’employé canadien moyen demeure malheureusement peu enclin à trop s’en préoccuper. C’est du moins ce que je constate en pratique et en lisant des articles tels que celui-ci, paru plus tôt cette semaine.

L’étude récente dont parle l’article en question, mené auprès de Canadiens, révèle que plus du tiers des employés interrogés se disent peu ou pas inquiétés par les vols de données que pourrait subir l’organisation pour laquelle chacun d’eux travaille.  Pire encore, un employé sur cinq serait convaincu ne pas être susceptible d’être même la cible à de cybercriminels pendant qu’il vaque à ses occupations professionnelles. Oh boy.

Au Québec (non ce n’est guère mieux!), plus du ¾ des employés interrogés ne comprennent pas trop pourquoi ils devraient se préoccuper de protection des données chez leur employeur, la plupart présumant qu’il s’agit là d’une affaire dont s’occupe le service des TI ou les affaires juridiques, sans que cela s’avère pertinent pour l’employé moyen. En fait, la même proportion de répondants québécois affirment même qu’ils n’ont reçu AUCUNE formation en matière de cybersécurité de la part de leur employeur : aucune, zip, zippo, nada. Et après cela, on se demande pourquoi la question de l’importance à accorder à la protection des données pose problème!

Avec l’arrivée de la nouvelle version de la loi québécoise en matière de protection des renseignements personnels, un changement de culture s’impose, incluant chez nos PME. Comme c’est souvent le cas, notre petite juridiction demeure perpétuellement à la remorque de juridictions comme l’Europe ou les États-Unis, la protection des données n’y faisant pas exception -semble-t-il. Remarquez bien, dans la mesure où même les dirigeants de la PME moyenne québécoise ne voient pas la pertinence de se compliquer la vie en se préoccupant de questions liées aux renseignements personnels, il s’avère peu surprenant que les employés s’avèrent aussi si peu enclins à vouloir y réfléchir ou s’en préoccuper. Les Vietnamiens ont une bonne expression qui s’applique ici (je paraphrase): une maison, ça coule (fuit) en commençant par le toit. Pensez-y!

Codes 2FA par texto: l’illusion de la sécurité renforcée?

Bien que la technologie d’authentification à deux facteurs («2FA», dans le jargon) s’avère une excellente façon de blinder et sécuriser nos comptes d’accès à des applis et des services en ligne, la réalité demeure que la chaine n’est aussi solide que son maillon le plus faible. Dans le cas de 2FA, un article récent trouvé sur TechRepulic soulignait qu’une pratique laxiste de plusieurs organisations (dont des banques!) nous donne parfois l’illusion de sécurité en configurant mal ce dispositif.

Le problème dont on parle ici c’est le fait que certaines entreprises permettent aux usagers de recevoir leurs codes 2FA par textos (SMS), par opposition à les recevoir directement par l’entremise d’utilitaires logiciels de génération de code 2FA, tel Google Authentificator. En pratique, la vaste majorité des cas où une intrusion se produit (malgré l’activation et l’utilisation de 2FA sur un compte visé), c’est parce qu’on permettait la communication des codes 2FA par SMS. L’inverse se produit, mais cela demeure très marginal.

Pour ceux et celles qui ne le font pas encore, sachez que tous vos comptes qui le permettent (encore plus au travail) devraient être configurés par vous afin d’utiliser une seconde méthode d’authentification, par un dispositif de style 2FA. Dans le monde d’aujourd’hui, ne pas le faire s’avère ni plus ni moins qu’une faute, dont le coup pourrait être l’exposition de vos données ou de celles de vos clients en cas de hack (intrusion informatique, etc.).

En fait, tous les experts en cybersécurité s’entendent pour dire que permettre la transmission de codes 2FA par SMS rend ce genre de système beaucoup plus faible, au point où on recommande dorénavant de complètement retirer cette fonctionnalité des systèmes d’authentification. Dans la mesure où la législation requiert dorénavant se déployer des moyens raisonnables afin de sécurisé les données qu’on détient pour/sur autrui, on arrive rapidement à un point où utiliser une appli ou un service transmettant des codes 2FA par texto pourrait aussi être vu comme de la négligence. Oui, vraiment.

Le hic de ce côté, c’est que nombre d’entreprise, continuent encore de configurer leurs systèmes, pour permettre aux utilisateurs qui le désirent, d’éviter devoir utiliser une application telle Google Authentificator, en se tournant plutôt vers des textos par l’entremise desquels les codes peuvent leur être transmis. En le permettant, ces organisations bernent en quelque sorte leurs usagers, en leur permettant de croire que leur compte est blindé.

Et vous, vos applis et services en ligne permettent-ils encore de vous envoyer vos code 2FA par textos? Si oui, vos comptes en question ne sont pas aussi sécures que vous pouviez le croire -désolé. Si c’est crucial pour votre organisation ou implique l’accès aux données d’autrui, vous voulez peut-être reconsidérer l’utilisation des applis ou des services en question. Alternativement, bon à savoir que plusieurs applis/services permettent dorénavant de désactiver cette combinaison 2FA/SMS, ce que tout usager soucieux de voir à la sécurité de ses données devrait définitivement faire.

Le Canada entend blinder ses entreprises de compétence fédérale, dont en télécommunications

Le Canada est depuis peu à étudier un nouveau projet de loi visant à renforcer la cybersécurité des entreprises dont les activités sont régies par la législation fédérale, telle les sociétés de télécom, les banques, etc.

Avec le Projet de loi C-26, le Canada se doterait d’une première loi touchant la cybersécurité des organisations et dont le focus n’a rien à faire avec le fait de protéger des renseignements personnels. Cette fois, le but de la nouvelle loi serait de mieux protéger les cyber-systèmes de télécommunication au Canada et, plus généralement, les systèmes utilisés par des organisations de compétence fédérale «essentiels» pour la sécurité nationale ou la sécurité publique, tels :

  • des sociétés de transport interprovinciales, dont aériennes ou navales;
  • des entreprises de télécommunications (dont les FAI, par exemple);
  • des entreprises qui s’occupent de certaines formes d’énergies ou leur transport;
  • des institutions financières et celles touchant le système financier, etc.

Une fois cette nouvelle loi adoptée, les organisations visées se verront imposées des obligations relativement strictes en matière de cybersécurité, peu importe qu’elles détiennent ou gèrent des renseignements personnels. Le gouvernement entend en effet de doter de pouvoirs afin d’être désormais en mesure de, par exemple :

  • ordonner à certaines entreprises visées de mieux sécuriser leurs systèmes, de façon spécifique;
  • décréter que certains services ou systèmes sont d’une «importance critique» pour la sécurité nationale ou la sécurité publique;
  • forcer les entreprises visées à mettre en œuvre des programmes de cybersécurité, à se conformer aux directives de cybersécurité et, plus intéressant encore, à signaler les incidents de cybersécurité qui surviendrait chez eux à divers organismes fédéraux; etc.

Le projet de loi C-26 en est pour l’instant au stade de sa première lecture.