Cybersécurité 101 pour votre organisation: faire preuve de gros bon sens peut faire toute la différence

Le blogue Slaw publiait hier matin un bon article fournissant des conseils de base en matière de cybersécurité et s’adressant particulièrement aux firmes de professionnels quant à l’importance de la formation du personnel. On penserait que le fait d’avoir une profession fondée sur le secret professionnel est susceptible de faire des avocats des fans de cybersécurité mais… non. Dans mon expérience, les juristes sont souvent les derniers à vouloir entendre parler de sécurité informatique -comme l’associé qui, un jour, m’a contacté pour de l’aide après avoir inséré une clé USB (infectée par un virus) dans l’ordinateur, tout contrarié par le fait que l’anti-virus bloquait l’accès à ce périphérique.

Je me permets donc de partager avec vous ce matin certains conseils de base en matière de cybersécurité, étant entendu que je crois qu’ils peuvent bénéficier à toutes les organisations. Pensez-y comme des applications du gros bon sens à l’ère numérique:

  • Posez-vous la question quant à la nature de vos données et pourquoi elles pourraient intéresser un tiers et/ou nuire à votre organisation si elle était volées ou verrouillées à votre insu;
  • Faites un inventaire de tout votre matériel informatique, incluant tout ce qui se connecte à vos appareils et votre réseau et avisez votre personnel du risque que vous fait courir chaque nouveau branchement (incluant même simplement brancher une clé USB infectée!);
  • Réalisez que tout ce qui vous branchez à Internet s’avère susceptible d’être compromis, incluant particulièrement tout appareil qui n’est pas pleinement à jour (incluant les mises à jour de toutes ses composantes logicielles et matérielles) – assurez-vous que les mises à jour soit effectuées régulièrement de TOUT votre matériel (en débutant par votre routeur et le système d’exploitation de vos ordinateurs/serveurs);
  • Gérez adéquatement comment votre personnel se branche à distance et envisagez le risque que l’ouverture de cette porte fait courir à l’organisation, dont par exemple quand votre personnel utilise son propre matériel potentiellement infecté/compromis;
  • Mettez fin à la pratique de vous fier uniquement à des mots de passe dont l’usager est en mesure de se souvenir et utilisez plutôt un bon gestionnaire de mots de passe;
  • Faites usage d’authentification à deux facteurs (2FA) quand c’est possible -imposez à vos usagers de l’utilisez avec toutes les applications et tous les services le permettant;
  • Prenez au sérieux la nécessité de former votre personnel quant à la cybersécurité et faites-le réellement périodiquement, au moins une fois l’an pour chaque individu (la stupidité humaine est a l’origine de beaucoup d’incidents de sécurité), en mettant notamment l’emphase sur les classiques de la cybersécurité, dont :
    • Le problème inhérent des mots de passe piètres et/ou réutilisés;
    • Le danger qu’implique le fait de naviguer vers un site piégé ou même de simplement de cliquer sur un lien contenu dans un courriel piégé;
    • Les autres dangers associés au courriel, dont le danger des pièces jointes (combien de fois ai-je eu un employé ou un associé me dire qu’il venait d’activer un fichier piégé?);
    • La pratique du «social engineering» et son rôle dans plusieurs attaques effectuées, en contournant les dispositifs de sécurité parce qu’un humain a été berné par un autre;
  • Sachez d’avance comment vous agirez (l’organisation) s’il arrive un incident de sécurité, incluant qui vous devrez contacter, comment votre personnel devra agir, etc.;
  • N’assumez pas que votre organisation ne vaut pas la peine d’être ciblée – nous sommes tous des cibles potentielles, souvent  même sans que le(s) malfrat(s) n’ait voulu nous cibler spécifiquement.

D’ailleurs, à ce sujet, avec l’adoption récente du projet de loi 64 par le Québec, je vous dirais qu’il n’est pas trop tôt pour commencer à prendre la cybersécurité au sérieux!

Pénalité de 75 000 $ à un Canadien expéditeur de pourriels

Le CRTC annonçait hier son imposition d’une pénalité de 75 000 $ à un individu qui a enfreint la Loi canadienne anti-pourriel (la «LCAP», ou «CASL» de son acronyme en anglais) en expédiant des centaines de milliers de pourriels.

Scott William Brewer écope ainsi de la pénalité la plus élevée à être imposée jusqu’à présent en vertu de la LCAP, pour avoir inondé des Canadiens de courriels de nature commerciale expédiés sans consentement préalable.

L’explication de cette amende découle du fait que, de 2015 à 2018, le contrevenant aurait expédié plus de 670 000 pourriels axés sur le marketing Web et la promotion de casinos en ligne. Le modus operandi de Brewer était d’ailleurs centré sur les envois de pourriels selon une technique dite de type «hailstorm», à savoir une tempête de pourriels de courte durée, profitant du fait que les filtres antipourriel n’ont pas alors encore été mis à jour pour contrecarrer ces messages précis. Quelques heures ou quelques jours plus tard, les pourriels seront bloqués, mais en attendant, les polluposteurs parviennent à atteindre suffisamment de cibles pour que l’exercice soit viable et génère des profits aux dépens des internautes.

On peut lire le procès-verbal de violation ici. M. Brewer pourrait en principe maintenant interjeter appel auprès de la Cour d’appel fédérale.

Bien que la LCAP existe depuis plusieurs années, force nous est de constater que des personnes peu scrupuleuses considèrent encore que l’expédition de pourriels à partir du Canada reste assez lucrative pour en valoir la peine.

Eh oui, la LCAP prohibant les pourriels au Canada s’avère bien constitutionnelle

La Cour suprême du Canada refusait officiellement cette semaine de réexaminer la décision de 2020 de la Cour d’appel fédérale (la «CAF») au sujet de la validité constitutionnelle de la loi canadienne anti-pourriel (surnommée la «LCAP», ou «CASL» en anglais). Ce faisant, la décision de la CAF se voit confirmée, à savoir que la loi en question n’excédait pas les compétences du gouvernement fédéral et s’avère donc bien valable, juridiquement.

Après s’être fait pincée pour violation de la LCAP, la société CompuFinder en avait appelé d’une décision du CRTC appliquant la loi en question, en réfutant du revers de la main la prétention de la défenderesse à l’effet que la loi visée s’avérait invalide. Plusieurs appels plus tard, nous avons désormais la confirmation que la LCAP se voulait un exercice valable des pouvoirs du Législateur fédéral canadien, en matière de commerce. Eh oui, la LCAP est bien là pour rester -désolé polluposteurs de tous acabits!

Comme on s’en souviendra, la LCAP interdit généralement à toute entreprise d’expédier des messages électroniques (tels des courriels ou des textos) à des destinataires n’y ayant pas consentit. Cette loi interdit aussi d’installer des composantes logicielles néfastes sur les appareils de tiers.

Je vous dirais que, bien que le refus de la Cour suprême d’intervenir ne s’avère pas une énorme surprise, au moins le spectre d’une invalidation de cette loi a désormais été écarté. Pas une mauvaise chose!