Cybersécurité 101 pour votre organisation: faire preuve de gros bon sens peut faire toute la différence

Le blogue Slaw publiait hier matin un bon article fournissant des conseils de base en matière de cybersécurité et s’adressant particulièrement aux firmes de professionnels quant à l’importance de la formation du personnel. On penserait que le fait d’avoir une profession fondée sur le secret professionnel est susceptible de faire des avocats des fans de cybersécurité mais… non. Dans mon expérience, les juristes sont souvent les derniers à vouloir entendre parler de sécurité informatique -comme l’associé qui, un jour, m’a contacté pour de l’aide après avoir inséré une clé USB (infectée par un virus) dans l’ordinateur, tout contrarié par le fait que l’anti-virus bloquait l’accès à ce périphérique.

Je me permets donc de partager avec vous ce matin certains conseils de base en matière de cybersécurité, étant entendu que je crois qu’ils peuvent bénéficier à toutes les organisations. Pensez-y comme des applications du gros bon sens à l’ère numérique:

  • Posez-vous la question quant à la nature de vos données et pourquoi elles pourraient intéresser un tiers et/ou nuire à votre organisation si elle était volées ou verrouillées à votre insu;
  • Faites un inventaire de tout votre matériel informatique, incluant tout ce qui se connecte à vos appareils et votre réseau et avisez votre personnel du risque que vous fait courir chaque nouveau branchement (incluant même simplement brancher une clé USB infectée!);
  • Réalisez que tout ce qui vous branchez à Internet s’avère susceptible d’être compromis, incluant particulièrement tout appareil qui n’est pas pleinement à jour (incluant les mises à jour de toutes ses composantes logicielles et matérielles) – assurez-vous que les mises à jour soit effectuées régulièrement de TOUT votre matériel (en débutant par votre routeur et le système d’exploitation de vos ordinateurs/serveurs);
  • Gérez adéquatement comment votre personnel se branche à distance et envisagez le risque que l’ouverture de cette porte fait courir à l’organisation, dont par exemple quand votre personnel utilise son propre matériel potentiellement infecté/compromis;
  • Mettez fin à la pratique de vous fier uniquement à des mots de passe dont l’usager est en mesure de se souvenir et utilisez plutôt un bon gestionnaire de mots de passe;
  • Faites usage d’authentification à deux facteurs (2FA) quand c’est possible -imposez à vos usagers de l’utilisez avec toutes les applications et tous les services le permettant;
  • Prenez au sérieux la nécessité de former votre personnel quant à la cybersécurité et faites-le réellement périodiquement, au moins une fois l’an pour chaque individu (la stupidité humaine est a l’origine de beaucoup d’incidents de sécurité), en mettant notamment l’emphase sur les classiques de la cybersécurité, dont :
    • Le problème inhérent des mots de passe piètres et/ou réutilisés;
    • Le danger qu’implique le fait de naviguer vers un site piégé ou même de simplement de cliquer sur un lien contenu dans un courriel piégé;
    • Les autres dangers associés au courriel, dont le danger des pièces jointes (combien de fois ai-je eu un employé ou un associé me dire qu’il venait d’activer un fichier piégé?);
    • La pratique du «social engineering» et son rôle dans plusieurs attaques effectuées, en contournant les dispositifs de sécurité parce qu’un humain a été berné par un autre;
  • Sachez d’avance comment vous agirez (l’organisation) s’il arrive un incident de sécurité, incluant qui vous devrez contacter, comment votre personnel devra agir, etc.;
  • N’assumez pas que votre organisation ne vaut pas la peine d’être ciblée – nous sommes tous des cibles potentielles, souvent  même sans que le(s) malfrat(s) n’ait voulu nous cibler spécifiquement.

D’ailleurs, à ce sujet, avec l’adoption récente du projet de loi 64 par le Québec, je vous dirais qu’il n’est pas trop tôt pour commencer à prendre la cybersécurité au sérieux!

Des licences de logiciels libres Made in Québec – en français bien entendu

J’apprenais cette semaine en effectuant du travail relatif à des logiciels libres et ouverts («open source») qu’il y a quelques années de cela, le Québec a produit trois modèles de licences adaptées à ses besoins (notamment linguistiques), auxquels fait désormais référence le site officiel du mouvement Open Source. Les licences en question sont les suivantes, auxquelles renvoie la liste officielle sur opensource.org :

Par contre, si vous regardez le texte sur le site opensource.org, la présentation de ces licences a été déformatée, si bien qu’on voit la globalité du texte de chaque licence en un gros bloc de texte, sans titres, ni sous-titres, ni alinéas. En gros, c’est illisible. Si vous êtes curieux au sujet de ces licences ou que vous devez y référer, je vous recommande plutôt de consulter les textes originaux préparés par le Centre de services partagés du Québec (lorsqu’on a libéré du code source pour un projet du gouvernement), que vous pouvez trouver sur le site Forge gouvernementale.

Les trois licences libres en question sont décrites comme suit par leurs créateurs (sur le site Forge gouvernementale) :

Pour s’assurer de couvrir les principaux scénarios du développement de logiciel libre au gouvernement du Québec, la Licence Libre du Québec (LiLiQ) a été déclinée en trois moutures qui se distinguent par leur niveau de réciprocité.

a) La première, la LiLiQ-P est permissive et ne comporte aucune obligation de réciprocité. Il est donc possible pour un licencié de modifier et de distribuer un logiciel sous la LiLiQ-P, sans que le licencié n’ait l’obligation d’en dévoiler le code source ou de conserver le caractère libre du logiciel. Licence comparable: Apache.

b) Les deux autres versions de la licence, soient la LiLiQ-R (réciprocité) et la LiLiQ-R+ (réciprocité forte) visent à préserver, à différents niveaux, le caractère libre des logiciels y étant assujettis. Ainsi, toute personne qui modifie et distribue un tel logiciel est tenue de le faire sous les termes de la LiLiQ et d’en permettre l’accès au code source. Licences comparables: MPL, LGPL pour la LiLiQ-R et GPL pour la LiLiQ-R+.

Contrairement aux licences habituelles de ce type, le Centre de services partagés du Québec a évidemment produit ces document en français, ce qui contraste avec la forme habituelle. Côté contenu, ces licences s’avèrent évidemment très permissives, permettant notamment de reproduire le code en tout en ou en partie, de publier et de présenter le résultat en public, en plus de pouvoir évidemment aisément redistribuer et sous-licencier le résultat.

Entre LiLiQ-R et LiLiQ-R+, la différence semble résider dans leurs niveaux de réciprocité, tout dépendant si on vise à préserver le caractère libre de tout code modifié ou, carrément, de tout logiciel dérivé. On notera aussi que ces deux licences (LiLiQ-R et LiLiQ-R+) comprennent une clause de «compatibilité» permettant aux licenciés de combiner du code couvert à du code assujetti à d’autres licences de type libre avec réciprocité, avec un minimum de restrictions. Ces licences favorisent donc la combinaison du code LiLiQ-R avec du code distribué sous d’autres licences libres compatibles et approuvées par la Free Software Foundation ou l’Open Source Initiative, y compris celles d’une liste de licences énumérées dans la licence (par ex. la GNU GPL, la GNU LGPL).

Le gouvernement canadien entendrait régir, par l’entremise du CRTC, les contenus placés en ligne, incluant l’UGC et les applis

Comme on s’en souviendra, depuis l’automne dernier, le gouvernement fédéral est à tenter de faire adopter son projet de loi C-10, lequel vise à modifier la Loi sur la radiodiffusion (inter alia), afin de viser les entreprises en ligne, incluant afin de permettre au gouvernement de taxer les services de diffusion en continu. Or, on apprenait récemment que le gouvernement aurait aussi l’intention de proposer des amendements législatifs visant à régir le contenu de ce qui est mis en ligne par les usagers (le «user-generated content», ou «UGC») et même le contenu des applis elles-mêmes.

Oui, le gouvernement libéral serait à tenter de modifier la loi canadienne afin de conférer à son chien de garde, le CRTC, le pouvoir de se prononcer quant aux contenus qui s’avèrent acceptables en ligne, incluant par rapport à ce qui est placé dans du contenu généré par des internautes, des jeux d’ordi et des applis en général. C’est du moins ce que voit poindre le juriste Michael Geist, basé sur le commentaire d’un député ayant (par erreur) commenté des amendements qui ne sont pas encore formellement proposés. Selon les propos du député en question, le gouvernement voudrait bel et bien ajouter le contenu des applis à ce que peut régir le CRTC — ce serait bien réel.

D’un projet de loi initialement présenté comme simplement destiné à permettre de taxer les Netflix de ce monde, à cause du mécanisme utilisé (la diffusion en continu), on est passé à un projet de loi visant aussi certains contenus, pour sembler nous diriger allègrement vers un projet de loi dont le résultat serait de régir carrément le matériel placé en ligne, y compris les applis, les jeux d’ordi et les éléments que créent et mettent en ligne des individus (des billets de blogue, des balados, etc.).

Y a-t-il seulement moi qui décèle une légère dérive dans ce qui est en train de se passer côté contrôle de l’Internet par le grand garnement fédéral? Hmmm. À suivre —malheureusement.