Archives de catégorie : Technologies

Cybersécurité 101 pour votre organisation: faire preuve de gros bon sens peut faire toute la différence

Publié le par

Le blogue Slaw publiait hier matin un bon article fournissant des conseils de base en matière de cybersécurité et s’adressant particulièrement aux firmes de professionnels quant à l’importance de la formation du personnel. On penserait que le fait d’avoir une profession fondée sur le secret professionnel est susceptible de faire des avocats des fans de cybersécurité mais… non. Dans mon expérience, les juristes sont souvent les derniers à vouloir entendre parler de sécurité informatique -comme l’associé qui, un jour, m’a contacté pour de l’aide après avoir inséré une clé USB (infectée par un virus) dans l’ordinateur, tout contrarié par le fait que l’anti-virus bloquait l’accès à ce périphérique.

Je me permets donc de partager avec vous ce matin certains conseils de base en matière de cybersécurité, étant entendu que je crois qu’ils peuvent bénéficier à toutes les organisations. Pensez-y comme des applications du gros bon sens à l’ère numérique:

  • Posez-vous la question quant à la nature de vos données et pourquoi elles pourraient intéresser un tiers et/ou nuire à votre organisation si elle était volées ou verrouillées à votre insu;
  • Faites un inventaire de tout votre matériel informatique, incluant tout ce qui se connecte à vos appareils et votre réseau et avisez votre personnel du risque que vous fait courir chaque nouveau branchement (incluant même simplement brancher une clé USB infectée!);
  • Réalisez que tout ce qui vous branchez à Internet s’avère susceptible d’être compromis, incluant particulièrement tout appareil qui n’est pas pleinement à jour (incluant les mises à jour de toutes ses composantes logicielles et matérielles) – assurez-vous que les mises à jour soit effectuées régulièrement de TOUT votre matériel (en débutant par votre routeur et le système d’exploitation de vos ordinateurs/serveurs);
  • Gérez adéquatement comment votre personnel se branche à distance et envisagez le risque que l’ouverture de cette porte fait courir à l’organisation, dont par exemple quand votre personnel utilise son propre matériel potentiellement infecté/compromis;
  • Mettez fin à la pratique de vous fier uniquement à des mots de passe dont l’usager est en mesure de se souvenir et utilisez plutôt un bon gestionnaire de mots de passe;
  • Faites usage d’authentification à deux facteurs (2FA) quand c’est possible -imposez à vos usagers de l’utilisez avec toutes les applications et tous les services le permettant;
  • Prenez au sérieux la nécessité de former votre personnel quant à la cybersécurité et faites-le réellement périodiquement, au moins une fois l’an pour chaque individu (la stupidité humaine est a l’origine de beaucoup d’incidents de sécurité), en mettant notamment l’emphase sur les classiques de la cybersécurité, dont :
    • Le problème inhérent des mots de passe piètres et/ou réutilisés;
    • Le danger qu’implique le fait de naviguer vers un site piégé ou même de simplement de cliquer sur un lien contenu dans un courriel piégé;
    • Les autres dangers associés au courriel, dont le danger des pièces jointes (combien de fois ai-je eu un employé ou un associé me dire qu’il venait d’activer un fichier piégé?);
    • La pratique du «social engineering» et son rôle dans plusieurs attaques effectuées, en contournant les dispositifs de sécurité parce qu’un humain a été berné par un autre;
  • Sachez d’avance comment vous agirez (l’organisation) s’il arrive un incident de sécurité, incluant qui vous devrez contacter, comment votre personnel devra agir, etc.;
  • N’assumez pas que votre organisation ne vaut pas la peine d’être ciblée – nous sommes tous des cibles potentielles, souvent  même sans que le(s) malfrat(s) n’ait voulu nous cibler spécifiquement.

D’ailleurs, à ce sujet, avec l’adoption récente du projet de loi 64 par le Québec, je vous dirais qu’il n’est pas trop tôt pour commencer à prendre la cybersécurité au sérieux!

Top 10 des moyens d’optimiser votre utilisation du courriel

Publié le par

Je tombais ce matin sur un bon billet et dont le titre est 40 One-Sentence Email Tips (40 conseil quant au courriel) qui frappe très près de la cible, selon moi. Autant pour votre bénéfice que le mien, je me permets donc de débuter ma journée en distillant ces conseils en y mêlant des miens, basé sur mon expérience à lire et écrire des courriels depuis 20 ans -depuis le temps des BBS, en fait. Appelons ça de la sagesse numérique, si vous voulez.

Je lisais quelque part récemment  qu’on estime à plus de deux heures le temps qu’un employé d’organisation typique passe désormais à gérer ses courriels, chaque jour! Malheureusement, ce n’est pas parce qu’on y passe autant de temps que l’usager moyen comprend comment le faire correctement ou de façon optimale, oh que non.

Voici donc ma propre version de réflexions quant à la façon  d’utiliser intelligemment le courriel, dont question d’améliorer votre productivité:

  1. Pour réduire le temps que vous dévouez à gérer des courriels, envoyez-en moins -vous en recevez moins;
  2. Réfléchissez avant de consentir à ce qu’une organisation vous place sur sa liste d’envoi (d’infolettres, par ex.): chaque courriel reçu siphonne potentiellement votre énergie (votre attention) et du temps;
  3. Connaissez, entrainez et utilisez intelligemment votre appli de courriel : en 2021, gaspiller son temps à manuellement classer, étiqueter et/ou supprimer des courriel est totalement injustifiable;
  4. Attention au piège que représente le fait de répondre trop rapidement ou en tout temps aux courriels que vous recevez (par ex. instantanément ou à 21:00+): chaque réponse du genre entraine votre interlocuteur à s’attendre au même traitement de ses courriels à l’avenir, c’est une simple question de conditionnement;
  5. Commencez toute nouvelle communication en déterminant si le courriel est un mode approprié pour cet échange spécifique -un texto, une visio ou un appel serait-il plus efficace?: tous les échanges ne se prêtent pas nécessairement bien à un échange par courriels;
  6. Si le courriel s’avère effectivement approprié, choisissez minutieusement le(s) destinataire(s) : évitez de placer en C.C. (copie conforme) un grand nombre de destinataires superflus, sans y réfléchir, afin d’éviter de gaspiller leur temps -c’est un manque de respect!);
  7. Intitulez vos courriels avec un sujet décrivant réellement son contenu («dhu» me direz-vous?), mais vous seriez surpris du nombre de courriels reçu arborant des titres tels «message»);
  8. Débutez vos courriels par une phrase de contexte et un énoncé du but de votre courriel, c’est la phrase clé du courriel : quel est l’action, la réponse ou l’information que vous désirez obtenir?
  9. Dans le corps de vos courriels, soyez bref, autant dans vos phrases que dans vos paragraphes, en évitant les courriels trop longs (au besoin, placez les détails dans une pièce jointe);
  10. Facilitez/accélérez la compréhension du destinataire en utilisant amplement d’espaces, de listes de points identifiés par des puces («bullets») en retrait, etc.: votre lecteur espère probablement traiter votre courriel en 30 secondes ou  moins.

Bien que le courriel s’avère un moyen de communication extraordinaire, bon nombre d’usagers continuent de mal l’employer. Je pense que nous bénéficierions tous de réfléchir un peu plus à ce genre de considérations.

La Cour d’appel invalide la tentative du Québec de bloquer les casinos virtuels autres que le sien

Publié le par

La Cour d’appel  (la «C.A.») nous donnait récemment une décision touchant le blocage obligatoire de sites Web par les fournisseurs d’accès/services Internet (les «FAI» ou «FSI») québécois, dans Procureur général du Québec c. Association canadienne des télécommunications sans fil (2021 QCCA 730).

En 2015, constatant que de nombreux Québécois s’adonnaient à des jeux de hasard en ligne, par l’entremise de divers sites habituellement étrangers, le législateur québécois amende la Loi sur la protection du consommateur (la «LPC»), en y insérant des dispositions (dont l’art. 260.35) visant à faire bloquer la plupart des casinos étrangers sur l’Internet québécois. Ces amendements relatifs aux « jeux d’argent en ligne » obligent les FSI et les fournisseurs de services cellulaires exploités au Québec à bloquer les casinos virtuels qu’identifiera, de temps à autre, la Régie des alcools, des courses et des jeux.

D’ailleurs, en plus de s’appliquer aux FSI situés au Québec, l’amendement visait aussi les entreprises de télécommunication offrant des connexions cellulaires (par exemple de données) à leurs clients, dans le but d’éviter que des Québécois puissent facilement contourner le blocage en accédant à un casino virtuel bloqué par l’entremise de leur appareil mobile connecté à Internet par un réseau sans fil.

Par sa décision du mois dernier, la C.A. invalide la disposition en question, la déclarant inconstitutionnelle. Bien que le but déclaré de cette disposition de la loi québécoise (adoptée en 2015) était de protéger la tranche des consommateurs pouvant avoir ou développer des problèmes de dépendance aux jeux de hasard, le réalité semble avoir été toute autre.

En effet, selon l’analyse de la C.A. à ce sujet, il semble clair du contexte d’adoption des dispositions en question qu’elles ne visaient pas en réalité la protection des consommateurs, mais plutôt la protection des revenus potentiels du bras de Loto-Québec s’occupant de jeux de hasard offerts en ligne, en agissant au passage sur un sujet intimement lié aux télécommunications. En réalité, l’idée derrière cet amendement de la LPC était clairement d’empêcher tous les Québécois d’accéder à la plupart des casinos virtuels, autres que le casino virtuel http://www.espacejeux.comEspace Jeux») exploité par Loto-Québec, dans le but de protéger ses revenus et, incidemment, ses revenus. La preuve se rapportant au dossier comprenait celles des rapports, des travaux et des débats à l’Assemblée nationale (au moment de considérer le projet de loi proposant l’amendement).

Tout comme on l’avait fait pour ce qui est de la gestion des outils liés aux signaux téléphoniques ou de câblodistribution (par exemple), il paraît logique de faire de même pour ce qui est de gérer les connexions Internet. Oui, la C.A. le confirme donc sans problème, les activités touchant les données qui transitent par Internet impliquent donc bien une compétence fédérale, à savoir les télécommunications, pas de doute.

La C.A. conclut donc que l’amendement représentait bien un exercice illégal du pouvoir législatif provincial, lequel avait empiété sur la compétence législative fédérale en matière de télécommunications.