Aller au contenu

Articles lundi 16 mai 2022

La cybersécurité : essentielle et accessible

Par Marie-Hélène Paradis

Partagez

Les technologies sont au cœur de nos vies professionnelle et personnelle et accompagnent nos actions au quotidien. S’il est impensable de remettre en question leur utilisation, il est désormais crucial de savoir les utiliser de façon sécuritaire.

Le Code de déontologie des avocats mentionne l’obligation, pour les avocats, de se maintenir à jour quant aux technologies de l’information. Cela signifie qu’il faut non seulement bien connaître les moyens technologiques qu’on utilise au travail, mais également être vigilants en ce qui concerne la sécurité informatique. Selon Me Elhadji Niang, avocat expert en cybersécurité chez Bouchard avocats, « plusieurs collègues sont intimidés par le vocabulaire et les différentes techniques utilisées, mais ce n’est pas compliqué. Il y a simplement des comportements de base à adopter pour y arriver. »

Quel type d’incidents faut-il craindre?

Parmi les situations ou les incidents à l’origine de nombreux problèmes de cybersécurité, on retrouve le plus souvent : la perte ou le vol d’une clé USB contenant des dossiers de clients, les ordinateurs laissés sur le siège d’une voiture garée ou sur une banquette de restaurant, les virus informatiques, les tentatives d’hameçonnage, les liens malicieux sur lesquels on clique imprudemment. On pense souvent que ça n’arrive qu’aux autres. Pourtant, personne n’est à l’abri d’un accident ou d’une circonstance faisant de nous la victime d’un problème de cybersécurité aux conséquences graves.

En France, on se souvient du cas très médiatisé du Tribunal de Paris qui a été la cible, à l’automne 2020, d’une intrusion frauduleuse massive. À l’origine de l’incident, un simple courriel d’avocat compromis. L’attaquant a ainsi eu accès à l’ensemble des contacts de ce juriste et, partant d’un ancien message, il a envoyé un courriel à un juge qui a cliqué sur le lien frauduleux inséré dans le message. Résultat : les fraudeurs ont accédé à une information sensible et créé bien des problèmes de confidentialité. Tout cela à partir d’un simple courriel d’avocat compromis. Le département de la Justice de l’État de New York a lui aussi expérimenté des problèmes de cybersécurité, à la suite d’un piratage : même les plus gros ne sont pas à l’abri!

Toutefois, les pires histoires d’horreur en matière de sécurité informatique surviennent quand on mêle vie privée et vie professionnelle. Nombreux sont ceux, parmi nous, qui fréquentent des sites plus ou moins sécuritaires, téléchargent des utilitaires gratuits avec des publicités, utilisent des Google Drive et des Dropbox gratuits ou dont les enfants utilisent les tablettes ou téléphones intelligents pour s’amuser avec des jeux vidéo. Hélas, ce sont autant de terreaux fertiles ou d’occasions parfaites pour les intrusions malveillantes.

Les pirates modernes

« L’objectif des pirates informatiques n’est pas de rendre votre ordinateur inutilisable mais de l’utiliser comme instrument pour faire de la « business ». Ils veulent utiliser votre appareil pour faire des publicités de masse, des attaques informatiques sans qu’on s’en rende compte. Et, oui, ils peuvent aussi chiffrer l’information à la suite d’un accès frauduleux et faire une attaque par rançongiciel, comme on a pu voir à la Société des transports de Montréal, chez Canac ou au CEGEP de St-Félicien. Mais ce qu’ils veulent avant tout c’est de l’argent. Ils recherchent des entreprises ou des personnes peu familières avec la technologie pour intégrer leur ordinateur à un réseau de machines zombies sous le contrôle d’un ou de plusieurs cybercriminels qui peuvent en faire ce qu’ils veulent », affirme Me Niang.

La prévention, nerf de la guerre

« Quand il y a intrusion dans nos systèmes, il est souvent trop tard. Les pirates font des mouvements latéraux; par exemple, ils partent de votre compte, au bureau ou à votre cabinet ou entreprise, et ne font rien directement avec votre courriel, ce qui fait que vous ne voyez pas ce qui se passe », explique Elhadji Niang. Par contre, les systèmes auxquels vous avez accès reconnaissent votre compte comme utilisateur. Les fraudeurs peuvent alors poser des actions pour élever leurs privilèges d’accès afin de réaliser des actions malveillantes comme prendre le contrôle d’un serveur. C’est une tactique simple, efficace et très dommageable. »

Avec un peu de prévention cependant, on peut grandement diminuer les risques. Il faut se renseigner, développer les bons réflexes et savoir à quelle porte frapper pour mieux connaître les possibilités d’intrusion malveillante. L’humain est le maillon faible de la chaîne. Il faut donc devenir davantage conscients des risques encourus et prendre des mesures raisonnables pour les réduire.

Qu’est-ce qu’une mesure raisonnable?

Les outils à notre disposition

En conclusion

Me Niang assure qu’il est possible de devenir un usager plus sécuritaire avec les outils informatiques et que c’est un but facilement accessible. « Le premier pas à franchir est de devenir conscient du danger qui nous guette tous, petits ou grands cabinets ou travailleurs autonomes. Il ne faut pas avoir peur d’utiliser les technologies ni de se renseigner pour le faire de façon sécuritaire, On a tout à y gagner, car les technologies sont là pour rester et les fraudeurs deviendront de plus en plus sophistiqués. »

Il existe plusieurs mesures ayant comme objectif d’atténuer et de gérer les risques reliés aux technologies de l’information. Comme on protège nos biens contre l’incendie et le vol et comme on protège notre responsabilité civile à l’égard de tiers, il est aussi essentiel de souscrire à une police cyberrisques.

Partagez