Cybersécurité 101 pour votre organisation: faire preuve de gros bon sens peut faire toute la différence

Le blogue Slaw publiait hier matin un bon article fournissant des conseils de base en matière de cybersécurité et s’adressant particulièrement aux firmes de professionnels quant à l’importance de la formation du personnel. On penserait que le fait d’avoir une profession fondée sur le secret professionnel est susceptible de faire des avocats des fans de cybersécurité mais… non. Dans mon expérience, les juristes sont souvent les derniers à vouloir entendre parler de sécurité informatique -comme l’associé qui, un jour, m’a contacté pour de l’aide après avoir inséré une clé USB (infectée par un virus) dans l’ordinateur, tout contrarié par le fait que l’anti-virus bloquait l’accès à ce périphérique.

Je me permets donc de partager avec vous ce matin certains conseils de base en matière de cybersécurité, étant entendu que je crois qu’ils peuvent bénéficier à toutes les organisations. Pensez-y comme des applications du gros bon sens à l’ère numérique:

  • Posez-vous la question quant à la nature de vos données et pourquoi elles pourraient intéresser un tiers et/ou nuire à votre organisation si elle était volées ou verrouillées à votre insu;
  • Faites un inventaire de tout votre matériel informatique, incluant tout ce qui se connecte à vos appareils et votre réseau et avisez votre personnel du risque que vous fait courir chaque nouveau branchement (incluant même simplement brancher une clé USB infectée!);
  • Réalisez que tout ce qui vous branchez à Internet s’avère susceptible d’être compromis, incluant particulièrement tout appareil qui n’est pas pleinement à jour (incluant les mises à jour de toutes ses composantes logicielles et matérielles) – assurez-vous que les mises à jour soit effectuées régulièrement de TOUT votre matériel (en débutant par votre routeur et le système d’exploitation de vos ordinateurs/serveurs);
  • Gérez adéquatement comment votre personnel se branche à distance et envisagez le risque que l’ouverture de cette porte fait courir à l’organisation, dont par exemple quand votre personnel utilise son propre matériel potentiellement infecté/compromis;
  • Mettez fin à la pratique de vous fier uniquement à des mots de passe dont l’usager est en mesure de se souvenir et utilisez plutôt un bon gestionnaire de mots de passe;
  • Faites usage d’authentification à deux facteurs (2FA) quand c’est possible -imposez à vos usagers de l’utilisez avec toutes les applications et tous les services le permettant;
  • Prenez au sérieux la nécessité de former votre personnel quant à la cybersécurité et faites-le réellement périodiquement, au moins une fois l’an pour chaque individu (la stupidité humaine est a l’origine de beaucoup d’incidents de sécurité), en mettant notamment l’emphase sur les classiques de la cybersécurité, dont :
    • Le problème inhérent des mots de passe piètres et/ou réutilisés;
    • Le danger qu’implique le fait de naviguer vers un site piégé ou même de simplement de cliquer sur un lien contenu dans un courriel piégé;
    • Les autres dangers associés au courriel, dont le danger des pièces jointes (combien de fois ai-je eu un employé ou un associé me dire qu’il venait d’activer un fichier piégé?);
    • La pratique du «social engineering» et son rôle dans plusieurs attaques effectuées, en contournant les dispositifs de sécurité parce qu’un humain a été berné par un autre;
  • Sachez d’avance comment vous agirez (l’organisation) s’il arrive un incident de sécurité, incluant qui vous devrez contacter, comment votre personnel devra agir, etc.;
  • N’assumez pas que votre organisation ne vaut pas la peine d’être ciblée – nous sommes tous des cibles potentielles, souvent  même sans que le(s) malfrat(s) n’ait voulu nous cibler spécifiquement.

D’ailleurs, à ce sujet, avec l’adoption récente du projet de loi 64 par le Québec, je vous dirais qu’il n’est pas trop tôt pour commencer à prendre la cybersécurité au sérieux!

Le Québec adopte sa nouvelle loi quant à la protection des données personnelles

Eh bien, notre législateur provincial n’a effectivement pas tardé à adopté sa version révisée du Projet de loi 64, alors que la nouvelle loi en résultant était finalement adoptée la semaine dernière. La loi refondue visant à protéger les renseignements personnels au Québec est ainsi publiée en version finale. C’est donc maintenant fait, le Québec s’est mis à la page pour ce qui est de ses propres règles (dont sa Loi sur la protection des renseignements personnels dans le secteur privé) visant à renforcer la protection des données que manipulent les entreprises à l’intérieur de la province.

Comme le mentionnaient récemment les médias, le Législateur espère ainsi débarrasser le Québec de sa «culture de négligence» désinvolte par rapport aux pratiques d’entreprise en matière de renseignements personnels. Avec une loi datant de la préhistoire des données, le Québec faisait jusqu’ici figure de parent pauvre de la protection des données, la plupart des entreprises préférant ne pas entendre parler de ce sujet, fort de l’impression (réelle!) que la loi québécoise n’avait que très peu de chances de mener à de véritables sanctions, même si on finissait par se faire prendre les doigts dans le piège à souris.

La nouvelle loi comporte des dispositions modernisées inspirées du règlement européen (le fameux  Règlement général sur la protection des données, ou «RGPD»), assorties de réelles sanctions pour les entreprises jugées délinquantes. Avec des amendes éventuelles pouvait s’élevées à des millions de dollars, on croit que la loi québécoise a ce dont elle a besoin pour FINALEMENT attirer l’attention des dirigeants d’entreprises, incluant ceux de simples PME, jugeant souvent jusqu’ici ne pas réellement avoir à se préoccuper de ce genre de choses.

Eh oui, bien qu’on le sache depuis longtemps (en principe), toute organisation qui collecte, utilise, partage ou communique des données à caractère personnel de tiers DOIT se conformer aux règles en matière de protection des renseignements visés. La négligence (ou l’aveuglement volontaire) quant à ces règles pourra désormais coûter cher aux organisations délinquantes, bien que la Commission d’accès à l’information (la «CAI»), affirme qu’elle « prendra en compte la capacité de payer des entreprises » en faisant appliquer cette loi.

La loi vient notamment aussi réaffirmer clairement qu’un consentement explicite, libre et éclairé s’avère nécessaire AVANT toute utilisation de données personnelles, à l’instar de ce qui se fait par exemple en Europe.

Malgré son adoption formelle par le Québec, la majorité des dispositions de la nouvelle loi n’entreront réellement en vigueur (dont ses amendes éventuelles) que dans deux (2) ans, le 22 septembre 2023.

Par contre, un petit nombre de dispositions entreront, elles, en vigueur dès septembre 2022, dont les celles qui prévoient l’obligation pour les entreprises d’aviser les victimes (et la CAI) des incidents tels de piratage informatique et qui auraient exposés leurs données à des fuites. En vertu de la nouvelle loi, en effet, toutes les organisations ont l’obligation de déployer des mesures de sécurité appropriés afin de protéger le genre de renseignements personnels qu’elles détiennent quant à autrui.

D’ici là, la CAI et nos entreprises ont pas mal de devoirs à faire pour se préparer à cette nouvelle réalité.

Des millions en récompense pour tenter d’endiguer le problème des rançongiciels

Les États-Unis offrent depuis peu une récompense de millions de dollars, pour tout renseignement pouvant mener à l’identification, l’arrestation ou la condamnation des cyberpirates responsables d’attaques de rançongiciels récentes.

Nos voisins du sud se rendent en effet récemment à l’évidence que le gouvernement s’avère à lui seul bien incapable de protéger l’infrastructure américaine contre les attaques de type rançongiciel (ou «ransomware»). Compte tenu de ce qui devient récemment une épidémie (une pandémie, même), le gouvernement cherche donc de nouvelles façons de mieux protéger les citoyens et les entreprises, particulièrement contre les gestes et les attaques de ce type qui sont initiées (directement ou indirectement) par des gouvernements étrangers, tels ceux de la Chine, de la Russie ou de la Corée du nord. Pour ce faire, comme certains le proposait depuis un moment (nous en parlions il y a quelques semaines), le gouvernement espère maintenant pouvoir compter sur le concept des chasseurs de prime, en offrant désormais des récompenses pour les cyber-experts et cyber-enquêteurs qui fourniraient des renseignements menant à la capture des pirates informatiques responsables de certaines attaques récentes particulièrement efficaces.

Selon plusieurs, l’offre de telles récompenses s’avère un indicateur clair à l’effet que l’administration Biden entend bien agir pour tenter d’endiguer un problème devenu critique et auquel font désormais face des individus et des organisations de toutes sortes. En plus de telles récompenses, les États-Unis entendent aussi renforcer leurs cyberdéfenses, continuer à resserrer les contrôles du système bancaire et financier (en rendant plus difficile d’encaisser de la cryptomonnaie payée en rançon), en plus d’améliorer la collaboration entre les divers pays affectés ou impliqués.

Bien que le concept d’une affiche du genre «REWARD» fasse un peu «Wild West», il faut bien avouer que les attaques récentes de type «ransomware» nous donne à tous une impression de vivre dans un territoire (numérique) où la loi semble ne pas encore réellement s’appliquer. Ce faisant, peut-on blâmer le gouvernement américain de vouloir revenir aux récompenses afin de motiver le privé et les citoyens à s’en mêler?