Imprimer
Partage :

La cybersécurité, c’est l’affaire de tous

Quand on parle de cybersécurité, la première chose qui vient à l’esprit est la sécurité des données informatiques. Mais la sécurité de l’information n’est pas uniquement un problème de TI. Circuit s’est entretenu avec Lise Lapointe, présidente et directrice générale de l’entreprise montréalaise Terranova Worldwide Corporation, spécialisée en sensibilisation à la sécurité de l’information, afin d’en savoir plus sur les risques auxquels nous faisons face quotidiennement.

Propos recueillis par Maria Ortiz Takacs, traductrice agréée
 

Circuit : Qu'est-ce que la sécurité de l'information?

Lise Lapointe : La sécurité de l’information vise à contrecarrer tous les moyens que peuvent prendre les criminels pour s’approprier des renseignements et les vendre ou pour voler l’identité d’une personne. Les entreprises doivent en faire une priorité afin de prévenir les attaques. Elles doivent donc s’assurer que leurs employés protègent les données et connaissent les bonnes pratiques pour ce faire.

C. : Pourquoi se concentrer sur les utilisateurs et non sur l’aspect technique de la sécurité?

L. L. : Bien qu’il soit beaucoup plus facile qu’auparavant de mettre en place des mesures de sécurité sur le plan technologique, cela est loin d’être suffisant. Les utilisateurs demeurent le maillon faible de la chaîne. Il est donc essentiel de se concentrer sur leurs comportements pour prévenir les attaques. Pour sensibiliser les employés, il faut établir un plan sur plusieurs années – le simple fait de leur présenter une vidéo, par exemple, ne changera rien. La fréquence des formations et des interventions, de même que la mesure des résultats sont des facteurs déterminants pour ancrer les bonnes pratiques, car les employés constituent la meilleure défense contre les cyberattaques.

C. : Quelles techniques les cybercriminels utilisent-ils le plus souvent?

L. L. : En ce moment, ce sont des techniques d’ingénierie sociale qui sont les plus utilisées, comme l’hameçonnage, soit la fraude par courriel, mais il y a aussi les fraudes par téléphone et par message texte. Les criminels usent de plus en plus de créativité dans leurs façons de faire. On rapporte des cas où des employés ont versé de l’argent dans un compte frauduleux après avoir reçu un courriel provenant supposément du directeur financier, alors qu’en réalité il avait été envoyé par des criminels.

C. : Comment l’entreprise peut-elle classifier l’information pour sensibiliser ses employés à l’importance des données?

L. L. : Tout dépend de sa taille. Les grandes entreprises peuvent utiliser des termes comme « confidentiel », « secret », « interne » ou « public ». De leur côté, les PME peuvent trouver le moyen qui leur convient le mieux pour que seuls les employés qui ont besoin de connaître l’information y aient accès.

C. : Les entreprises doivent-elle établir une politique en matière de sécurité de l’information?

L. L. : Oui, les grandes entreprises ont toutes une politique en matière de sécurité de l’information. Pour leur part, les PME devraient en avoir une, même si elle n’est pas aussi complète que celle d’une grande entreprise. Et peu importe la taille de l’organisation, des règlements doivent accompagner cette politique afin que les employés comprennent bien ce qu’ils doivent faire.

C. : Est-il nécessaire d’exiger des employés qu’ils lisent, comprennent et acceptent la politique de sécurité de l’entreprise?

L. L. : Beaucoup d’entreprises n’exigent pas que leurs employés signent la politique, mais elles l’incluent dans le manuel remis aux employés au moment de leur embauche. Toutefois, dans certaines organisations, la signature est obligatoire.

C. : Existe-t-il d’autres moyens pour sensibiliser les employés?

L. L. : On sait que seuls trois ou quatre comportements peuvent être changés par année et que pour sensibiliser les gens, le message doit être répété souvent et de façon différente. Donc, un cours en ligne peut être le cœur de la campagne, mais il faut renforcer le message à l’interne avec des affiches, des bannières et des vidéos tout au long de l’année. Et il est essentiel de mesurer l’atteinte des objectifs. Sans objectifs précis et sans mesure des résultats à la fin de la campagne, celle-ci ne sert à rien. Il faut l’envisager comme un plan de communication.

C. : Est-ce que les petites entreprises et les personnes sont aussi exposées au risque que les grandes entreprises?

L. L. : Les petites entreprises sont des cibles plus faciles que les grandes entreprises qui ont les ressources technologiques pour se protéger. Une cyberattaque peut même aller jusqu’à provoquer la fermeture d’une petite entreprise.

C. : Qu’en est-il des téléphones intelligents et des tablettes?

L. L. : Ces appareils sont très exposés au risque. Sur un téléphone, l’information est moins facilement visible; il est donc plus difficile de vérifier la source de ce qu’on reçoit. Il faut par conséquent être encore plus vigilant lors de l’utilisation d’un téléphone ou d’une tablette.

C. : Quelles mesures peut-on prendre à la maison afin d’éviter d’être victime des criminels?

L. L. : Les adultes doivent protéger les enfants et les grands-parents parce que ce sont souvent eux les plus vulnérables. Au bureau, on sait un peu mieux comment se protéger mais à la maison, les personnes âgées sont très souvent visées par les arnaques téléphoniques et les enfants sont des cibles de choix en ligne.

C. : Y a-t-il des périodes dans l’année où les risques sont plus élevés?

L. L. : Chaque fois qu’on reçoit un courriel, il faut se poser des questions. Cependant, les risques sont plus grands pendant le temps des fêtes et la période de déclaration de revenus, car nous sommes très sollicités et les criminels exercent une pression pour nous faire réagir sans trop penser. Lorsqu’on reçoit un appel téléphonique ou un courriel, il est important de se poser la question suivante : « Est-ce que l’entreprise avec laquelle je fais affaire communiquerait avec moi de cette façon? » Il est fortement conseillé de vérifier la source en disant à la personne que nous allons la rappeler et ne pas se fier au numéro qu’elle nous donne; il faut plutôt le chercher soi-même. Il est crucial de ne jamais donner de renseignements par téléphone ou par courriel.


Partage :