Passer au contenu principal

Vous faites du télétravail? Suivez ces pratiques exemplaires en matière de cybersécurité.

Dès le début de la pandémie, le passage au travail à distance à l’échelle mondiale a poussé les organisations à mettre en place des solutions de travail à domicile pour éviter d’interrompre leurs activités. Si les choses ont déjà bien évolué depuis cette époque, et que nous avons adopté un mode du travail hybride, les travailleurs à distance doivent tout de même composer avec de nombreuses lacunes en matière de sécurité.

Les cybercriminels exploitent donc les vulnérabilités des ordinateurs portables, des appareils mobiles, de l’équipement des réseaux à domicile, des réseaux privés virtuels (RPV), et des applications infonuagiques. Ils ont également recours à des techniques de piratage psychologique pour inciter les employés à leur fournir mots de passe et renseignements de nature délicate.

Aujourd’hui, où que vous travailliez, il est plus important que jamais de rester vigilant et d’avoir le dessus sur ces cyberimposteurs.

2021-09-30-cyberWFH-main

La nature évolutive de la fraude en ligne

Le moment est venu de faire le point sur vos propres pratiques en matière de cybersécurité afin de protéger toutes vos données, qu’elles soient personnelles ou professionnelles. Saviez-vous que, selon le Centre antifraude du Canada (CAFC), il y a eu 52 735 signalements de fraude canadiens du 1er janvier au 31 juillet 2022, représentant des pertes totalisant 284 millions de dollars?

Et ces cas ne sont que ceux qui ont été signalés.

Le CAFC estime que moins de 5 % des victimes de fraude font un signalement et que la majorité des arnaques d’hameçonnage visant à obtenir des renseignements personnels n’impliquent pas de pertes financières. En effet, une perte financière n’est pas la seule conséquence d’une violation de sécurité : en plus d’être moins productif, vous risquez de perdre votre propriété intellectuelle, de recevoir des amendes relatives à la conformité, d’entacher la réputation de votre entreprise et, ultimement, de perdre des clients.

Les pièges des cybercriminels

Les pandémies, les catastrophes naturelles et d’autres événements très médiatisés sont autant d’occasions pour les cybercriminels de s’attaquer aux technologies – et aux gens – vulnérables.

Au début de la pandémie, par exemple, les attaques d’hameçonnage et de piratage psychologique touchaient tout ce qui était lié à la pandémie : paiements de la PCU, achat d’équipement de protection individuelle ou disponibilité de vaccins pour la COVID-19.

Par ailleurs, l’évolution de ces attaques continue.

Vous pourriez, par exemple, recevoir une « alerte sur la sécurité » concernant une activité inhabituelle de l’un de vos comptes, ou un courriel affirmant que vous avez « raté » une réunion Zoom qui était à l’horaire. Selon le CAFC, si l’hameçonnage était l’incident de fraude le plus signalé en 2021, les escroqueries de stratagèmes de rencontre (qui exploitent la solitude et l’isolement des gens pendant la pandémie) ainsi que celles liées à l’investissement demeurent fréquentes.

Avec le temps, ces attaques sont de plus en plus sophistiquées, et souvent bien plus personnalisées. Les victimes sont poussées à cliquer sur des liens malveillants, à donner leur mot de passe ou à installer des logiciels non autorisés. Et c’est lorsqu’elles le font que les criminels peuvent accéder aux systèmes d’une entreprise, voler des données de nature délicate, extorquer une rançon ou même ajouter votre ordinateur à un réseau de zombies pour lancer des attaques malveillantes envers d’autres ordinateurs.

Menace croissante, les logiciels rançonneurs sont à l’origine de pertes de 4 milliards de dollars

Les logiciels rançonneurs demeurent très préoccupants dans le monde des cyberattaques. Le site McCarthy Tétrault Cyber/Data Group (en anglais) rapporte qu’ils auraient causé des pertes de 4 milliards de dollars (tant en rançons payées qu’en perte de productivité) en 2020 pour les organisations canadiennes. Ce marché étant très lucratif, les cybercriminels font évoluer leurs méthodes pour rendre ces logiciels encore plus insidieux.

Ils utilisent, par exemple, des méthodes telles que le double chiffrement (deux couches de chiffrement pour deux paiements distincts de rançons demandées par le logiciel) et le « cumul de rançons », où les organisations sont extorquées une première fois pour récupérer leurs données, puis une seconde pour s’assurer que le cybercriminel ne partage ou ne divulgue pas celles qui sont sensibles.

Et ces logiciels ne représentent qu’un type de logiciels malveillants; virus polymorphe (qui utilise le chiffrage pour se dissimuler), cheval de Troie (qui se cache dans des applications légitimes et lance des attaques ou fournit une porte dérobée aux pirates), ver informatique (qui se propage, surcharge les serveurs et provoque des attaques par déni de service) et logiciel espion (qui suit secrètement les activités et collecte de l’information sur les utilisateurs) sont d’autres exemples parmi plusieurs autres.

Pratique d’une bonne cyberhygiène

Le travail à domicile ou en mode hybride demeurant une réalité pour de nombreux Canadiens, il faut prendre le temps d’envisager des mesures de sécurité pour protéger vos données personnelles et professionnelles, en particulier si vous accédez aux applications et aux réseaux du travail à partir de votre domicile.

Voici des exemples de pratiques exemplaires à suivre et de pratiques à éviter :

À faire :

  • Familiarisez-vous avec les risques liés à votre travail et à votre secteur, en particulier si vous traitez des renseignements sensibles.
  • Ne faites confiance qu’aux sources médicales fiables pour l’information sur la santé et aux sources vérifiables s’il est question de renseignements professionnels.
  • Utilisez des mots de passe difficiles à deviner pour vos boîtes courriel, stockage infonuagique et réseaux d’entreprise (y compris les RPV), et utilisez des mots de passe différents pour vos différents comptes.
  • Changez le mot de passe par défaut de tous les appareils d’un réseau à domicile, y compris les routeurs et les points d’accès Wi-Fi, et mettez à jour le micrologiciel. Mieux encore, utilisez une authentification à deux facteurs ou à facteurs multiples.
  • Utilisez des méthodes sûres pour transmettre des documents, des feuilles de calcul, des présentations ou d’autres fichiers à vos collègues et partenaires commerciaux. Ne communiquez des renseignements à vos partenaires commerciaux extérieurs qu’à partir de votre courriel de travail.
  • Conservez votre ordinateur de travail et autres documents et fichiers liés au travail dans un endroit de la maison physiquement séparé de votre vie familiale.
  • N’utilisez votre ordinateur professionnel que pour le travail, et, dans la mesure du possible, n’utilisez pas vos appareils personnels pour le travail.

À ne pas faire :

  • Fournir des renseignements commerciaux, même s’ils semblent anodins, à des demandeurs si vous ne pouvez pas vérifier leur identité avec certitude, que ce soit par téléphone ou par courriel.
  • Prétexter la pandémie pour contourner les processus de travail habituels, comme l’autorisation des paiements.
  • Désactiver les logiciels de sécurité ou les mises à jour automatiques (mises à jour du système de sécurité ou d’exploitation) sur votre ordinateur professionnel.
  • Laisser traîner à la maison des documents liés au travail et autres dossiers comportant des renseignements de nature délicate.
  • Donner accès à votre ordinateur professionnel aux membres de votre famille ou à d’autres personnes.
  • Utiliser votre ordinateur professionnel à des fins personnelles.
  • Transférer des documents professionnels par courriel à votre compte courriel personnel.
  • Installer sur votre ordinateur professionnel des logiciels ou utiliser des services infonuagiques qui ne sont pas autorisés pour un usage professionnel par votre entreprise.

En plus de respecter les pratiques exemplaires, il est également important de s’assurer que votre entreprise ou votre équipe s’est dotée d’un plan d’intervention en cas d’incident relatif à une violation de sécurité qui porte tant sur la personne à contacter en cas d’incident et la manière d’isoler les appareils contaminés que sur la façon de restaurer les données à partir de la dernière sauvegarde. Mettez un signet à la page de ces renseignements, qu’ils se retrouvent dans votre intranet ou ailleurs, et, si un plan n’existe pas encore, proposez à la direction d’en faire un.

Il est impossible de garantir que vous ou votre équipe ne serez jamais victime d’une violation de sécurité, mais une bonne cyberhygiène peut vous rendre moins intéressant aux yeux des cybercriminels et atténuer tout dommage potentiel.

Communiquez avec votre courtier pour ajouter la cyberprotection de Wawanesa à votre police

Retour à la liste des blogues