Archives de catégorie : Rançongiciels

Des stats inquiétantes quant aux attitudes en matière de données et de cybersécurité

Publié le par

Malgré un nombre incessant d’intrusions informatiques et d’incidents de confidentialité (pour utiliser le vocable de la loi québécoise), l’employé canadien moyen demeure malheureusement peu enclin à trop s’en préoccuper. C’est du moins ce que je constate en pratique et en lisant des articles tels que celui-ci, paru plus tôt cette semaine.

L’étude récente dont parle l’article en question, mené auprès de Canadiens, révèle que plus du tiers des employés interrogés se disent peu ou pas inquiétés par les vols de données que pourrait subir l’organisation pour laquelle chacun d’eux travaille.  Pire encore, un employé sur cinq serait convaincu ne pas être susceptible d’être même la cible à de cybercriminels pendant qu’il vaque à ses occupations professionnelles. Oh boy.

Au Québec (non ce n’est guère mieux!), plus du ¾ des employés interrogés ne comprennent pas trop pourquoi ils devraient se préoccuper de protection des données chez leur employeur, la plupart présumant qu’il s’agit là d’une affaire dont s’occupe le service des TI ou les affaires juridiques, sans que cela s’avère pertinent pour l’employé moyen. En fait, la même proportion de répondants québécois affirment même qu’ils n’ont reçu AUCUNE formation en matière de cybersécurité de la part de leur employeur : aucune, zip, zippo, nada. Et après cela, on se demande pourquoi la question de l’importance à accorder à la protection des données pose problème!

Avec l’arrivée de la nouvelle version de la loi québécoise en matière de protection des renseignements personnels, un changement de culture s’impose, incluant chez nos PME. Comme c’est souvent le cas, notre petite juridiction demeure perpétuellement à la remorque de juridictions comme l’Europe ou les États-Unis, la protection des données n’y faisant pas exception -semble-t-il. Remarquez bien, dans la mesure où même les dirigeants de la PME moyenne québécoise ne voient pas la pertinence de se compliquer la vie en se préoccupant de questions liées aux renseignements personnels, il s’avère peu surprenant que les employés s’avèrent aussi si peu enclins à vouloir y réfléchir ou s’en préoccuper. Les Vietnamiens ont une bonne expression qui s’applique ici (je paraphrase): une maison, ça coule (fuit) en commençant par le toit. Pensez-y!

Le problème continu des rançongiciels: de pire en pire

Publié le par

J’assistais cette semaine à MAPLESEC, une conférence organisée par IT World Canada afin de parler de la cybersécurité au Canada, sur quelques jours. Super intéressant!

À ce sujet, on  apprenait cette semaine que dans la dernière année, la majorité des entreprises canadiennes qui ont été victimes d’une cyberattaque par l’entremise d’un rançongiciel («ransomware», en anglais) admettent avoir payé la rançon. Comme on peut l’imaginer aisément, cette tendance de payer les malfrats pour récupérer nos données et/ou empêcher leur dissémination s’avère très problématique. Si les victimes paient généralement, les cybercriminels sont incités par la loi du marché poursuivre leurs activités liés aux rançongiciels – c’est tout simplement trop tentant.

Un rapport récent de l’entreprise de cybersécurité Sophos révèle que près du tiers des sociétés interrogées auraient été victime d’une attaque de ce type au cours de la dernière année.

Avec des stats pareilles, pas étonnant qu’un expert en assurance entendu cette semaine à MAPLESEC nous disait que les assureurs sont actuellement en hémorragie à cause des coûts associés aux réclamations attribuables aux rançongiciels. Semble que le coût des primes d’assurance pour assurer ce genre de risque exploseront, afin de permettre aux assureurs de demeurer rentables. Le conseil de l’expert à ce sujet d’ailleurs, était de vous munir de la meilleur couverture d’assurance que vous pouvez vous payer, dès maintenant. N’attendez pas!

Pas très étonnant non-plus, dans un tel contexte, que certaines juridictions, dont les États-Unis, contemplent adopter des lois qui règlementerait le paiement des rançons liées à ce genre d’attaque. Le projet de loi américain déposé récemment (le Ransom Disclosure Act), par exemple, exigerait que les entreprises qui paient de telles rançons en divulguent les détails dans les 48 heures au Department of Homeland Security. On est pas à interdire carrément te tels paiements, mais c’est clair qu’on commence collectivement à y penser, incapable d’endiguer ce déferlement de cyberattaques du genre.

Pas de doute, ce problème continu de nous confronter collectivement avec la réalisation que la négligence collective par rapport à la cybersécurité nous a mené dans un cul-de-sac, dont il faudra maintenant essayer de s’extirper en améliorant considérablement comment on gère tous notre cybersécurité.

Cybersécurité 101 pour votre organisation: faire preuve de gros bon sens peut faire toute la différence

Publié le par

Le blogue Slaw publiait hier matin un bon article fournissant des conseils de base en matière de cybersécurité et s’adressant particulièrement aux firmes de professionnels quant à l’importance de la formation du personnel. On penserait que le fait d’avoir une profession fondée sur le secret professionnel est susceptible de faire des avocats des fans de cybersécurité mais… non. Dans mon expérience, les juristes sont souvent les derniers à vouloir entendre parler de sécurité informatique -comme l’associé qui, un jour, m’a contacté pour de l’aide après avoir inséré une clé USB (infectée par un virus) dans l’ordinateur, tout contrarié par le fait que l’anti-virus bloquait l’accès à ce périphérique.

Je me permets donc de partager avec vous ce matin certains conseils de base en matière de cybersécurité, étant entendu que je crois qu’ils peuvent bénéficier à toutes les organisations. Pensez-y comme des applications du gros bon sens à l’ère numérique:

  • Posez-vous la question quant à la nature de vos données et pourquoi elles pourraient intéresser un tiers et/ou nuire à votre organisation si elle était volées ou verrouillées à votre insu;
  • Faites un inventaire de tout votre matériel informatique, incluant tout ce qui se connecte à vos appareils et votre réseau et avisez votre personnel du risque que vous fait courir chaque nouveau branchement (incluant même simplement brancher une clé USB infectée!);
  • Réalisez que tout ce qui vous branchez à Internet s’avère susceptible d’être compromis, incluant particulièrement tout appareil qui n’est pas pleinement à jour (incluant les mises à jour de toutes ses composantes logicielles et matérielles) – assurez-vous que les mises à jour soit effectuées régulièrement de TOUT votre matériel (en débutant par votre routeur et le système d’exploitation de vos ordinateurs/serveurs);
  • Gérez adéquatement comment votre personnel se branche à distance et envisagez le risque que l’ouverture de cette porte fait courir à l’organisation, dont par exemple quand votre personnel utilise son propre matériel potentiellement infecté/compromis;
  • Mettez fin à la pratique de vous fier uniquement à des mots de passe dont l’usager est en mesure de se souvenir et utilisez plutôt un bon gestionnaire de mots de passe;
  • Faites usage d’authentification à deux facteurs (2FA) quand c’est possible -imposez à vos usagers de l’utilisez avec toutes les applications et tous les services le permettant;
  • Prenez au sérieux la nécessité de former votre personnel quant à la cybersécurité et faites-le réellement périodiquement, au moins une fois l’an pour chaque individu (la stupidité humaine est a l’origine de beaucoup d’incidents de sécurité), en mettant notamment l’emphase sur les classiques de la cybersécurité, dont :
    • Le problème inhérent des mots de passe piètres et/ou réutilisés;
    • Le danger qu’implique le fait de naviguer vers un site piégé ou même de simplement de cliquer sur un lien contenu dans un courriel piégé;
    • Les autres dangers associés au courriel, dont le danger des pièces jointes (combien de fois ai-je eu un employé ou un associé me dire qu’il venait d’activer un fichier piégé?);
    • La pratique du «social engineering» et son rôle dans plusieurs attaques effectuées, en contournant les dispositifs de sécurité parce qu’un humain a été berné par un autre;
  • Sachez d’avance comment vous agirez (l’organisation) s’il arrive un incident de sécurité, incluant qui vous devrez contacter, comment votre personnel devra agir, etc.;
  • N’assumez pas que votre organisation ne vaut pas la peine d’être ciblée – nous sommes tous des cibles potentielles, souvent  même sans que le(s) malfrat(s) n’ait voulu nous cibler spécifiquement.

D’ailleurs, à ce sujet, avec l’adoption récente du projet de loi 64 par le Québec, je vous dirais qu’il n’est pas trop tôt pour commencer à prendre la cybersécurité au sérieux!