Le blogue Slaw publiait récemment un bon article fournissant des conseils de base en matière de cybersécurité et traitant de l’importance de la formation du personnel à l’intention particulièrement des firmes de professionnels. On penserait que le fait d’avoir une profession fondée sur le secret professionnel est susceptible de faire des avocats des adeptes de la cybersécurité mais… non. Selon mon expérience, les juristes sont souvent les derniers à vouloir entendre parler de sécurité informatique – comme l’associé qui, un jour, m’a contacté pour de l’aide, après avoir inséré une clé USB (infectée par un virus) dans son ordinateur, tout contrarié du fait que l’antivirus lui bloquait l’accès à ce périphérique.
Je me permets donc de reprendre les grandes lignes du billet en question, en y ajoutant mes propres conseils, étant entendu que je crois qu’ils peuvent bénéficier à toutes les organisations. Voyez-les comme des applications du gros bon sens à l’ère numérique :
- Demandez-vous quelle est la nature de vos données et pourquoi elles pourraient intéresser un tiers ou nuire à votre organisation si elles étaient volées ou verrouillées à votre insu ;
- Faites un inventaire de tout ce qui se connecte à vos appareils et à votre réseau et avisez votre personnel du risque que vous fait courir chaque nouveau branchement (y compris le fait de simplement brancher une clé USB infectée) ;
- Réalisez que tout ce qui vous branchez à Internet est susceptible d’être compromis, en particulier tout appareil qui n’est pas pleinement à jour (notamment les mises à jour de toutes ses composantes logicielles et matérielles) – assurez-vous que les mises à jour de TOUT votre matériel sont effectuées régulièrement (en commençant par votre routeur et le système d’exploitation de vos ordinateurs/serveurs) ;
- Gérez adéquatement comment votre personnel se branche à distance et envisagez le risque que l’ouverture de cette porte fait courir à l’organisation, par exemple quand votre personnel utilise son propre matériel potentiellement infecté/compromis ;
- Mettez fin à la pratique de vous fier uniquement à des mots de passe que l’utilisateur est en mesure de se rappeler et utilisez plutôt un bon gestionnaire de mots de passe ;
- Recourez d’authentification à deux facteurs (2FA) quand c’est possible – imposez à vos utilisateurs de l’utiliser avec toutes les applications et tous les services le permettant ;
- Prenez au sérieux la nécessité de former votre personnel sur la cybersécurité et faites-le réellement périodiquement, au moins une fois l’an pour chaque individu (la stupidité humaine est à l’origine de beaucoup d’incidents de sécurité), en mettant notamment l’accent sur les classiques de la cybersécurité, dont :
- le problème inhérent des mots de passe piètres ou réutilisés ;
- le danger qu’implique le fait de naviguer sur un site piégé ou même de simplement de cliquer sur un lien contenu dans un courriel piégé ;
- les autres dangers associés au courriel, dont celui des pièces jointes (combien de fois ai-je entendu un employé ou un associé me dire qu’il venait d’activer un fichier piégé ?) ;
- la pratique du « social engineering », qui consiste à contourner les dispositifs de sécurité parce qu’un humain a été berné par un autre, et son rôle dans plusieurs attaques effectuées ;
- Sachez d’avance comment vous (l’organisation) agirez s’il arrive un incident de sécurité, notamment qui vous devrez contacter, comment votre personnel devra agir, etc. ;
- Ne tenez pas pour acquis que votre organisation ne vaut pas la peine d’être ciblée – nous sommes tous des cibles potentielles, souvent même sans que le ou les malfrats aient voulu nous cibler précisément.
D’ailleurs, à ce sujet, avec l’adoption récente du projet de loi 64 par le Québec, je vous dirais qu’il n’est pas trop tôt pour commencer à prendre la cybersécurité au sérieux !