La cybersécurité en 3 vulnérabilités

Pourquoi investir autant de ressources sur la cybersécurité?

Les fraudes informatiques font régulièrement les manchettes et les répercussions de celles-ci peuvent être très graves, autant pour les entreprises visées que pour leurs clients et partenaires. En 2011, le PlayStation Network (PSN) a été victime d’une des plus importantes fuites de données de l’histoire, avec les informations personnelles des 77 millions de membres du réseau divulguées publiquement et une panne de service qui durera près de deux semaines. Au Québec, l’année 2019 a significativement marqué les esprits avec le vol massif de données de millions de clients de la coopérative financière Desjardins.

Poursuites, recours collectifs, perte de confiance du public, versement d’indemnisations, amendes des autorités et enquêtes interminables sont autant de conséquences très coûteuses pour les entreprises. Une grande entreprise aura peut-être les moyens d’absorber les pertes et de reconstruire sa réputation. Une PME n’aura probablement pas cette chance et risque de tout y perdre. Mieux vaut investir en amont pour protéger les données confidentielles de votre entreprise!

Le mot de passe: talon d’Achille de la cybersécurité

Password, 123456, 123456789, guest, qwerty… Ce sont les 5 mots de passe les plus utilisés dans le monde en 2022 selon le classement de NordPass. Un logiciel de piratage prend moins de 10 secondes à les deviner.

SpyCloud dévoilait au début de l’année que 721 millions de mots de passe ont été publiés sur le dark web…juste en 2022! De plus, 72 % des utilisateurs dont le mot de passe a fuité l’utilisaient d’ailleurs toujours, laissant la voie libre aux cybercriminels pour potentiellement s’introduire dans l’infrastructure informatique de dizaines de milliers d’entreprises.

Il est régulièrement question de la fin de l’utilisation des mots de passe, jugés trop vulnérables au vol de données. En attendant que cela se concrétise, la meilleure façon de protéger l’accès à vos données est d’utiliser une combinaison de moyens:

• Complexité des mots de passe: exiger de vos employés des mots de passe complexes et uniques, comptant minimalement 12 caractères mélangeant majuscules, minuscules, chiffres et caractères spéciaux. Un tel mot de passe prend de plusieurs mois à plusieurs années à déchiffrer.
• Authentification à double facteur: l’utilisateur doit confirmer son identité à l’aide d’un code unique ou d’une action sur son téléphone personnel. La mesure est sécuritaire à condition que l’appareil soit lui-même protégé par mot de passe ou par verrouillage biométrique.
• Gestionnaire de mots de passe: le gestionnaire s’occupe de retenir et chiffrer des mots de passe très complexes qu’un utilisateur ne pourrait pas se rappeler…mais qui sont aussi pratiquement indéchiffrables. L’utilisateur n’a à créer et retenir qu’un seul mot de passe très fort pour protéger les autres mots de passe.
• Expiration des mots de passe: obliger la modification des mots de passe régulièrement. En cas de fuite, les pirates auront moins de chance d’avoir le temps d’utiliser les données.

De plus, il existe des services de surveillance du dark web, comme Firefox Monitor, permettant d’être alerté si vos données sont compromises dans une fuite de données. Le service Have I Been Pwned permet également de vérifier si un courriel ou un mot de passe a déjà fait partie d’une fuite de données. Le vôtre y est-il?

Le facteur humain en cybersécurité

À défaut de pouvoir faire céder la sécurité de vos systèmes, le cybercriminel essaiera tout simplement de la contourner pour accéder au maximum d’informations et de données en utilisant un maillon faible de la sécurité: l’humain. Verizon rapportait en 2022 que 82 % des fuites de données étaient dues au facteur humain. Nous sommes donc la source idéale de données, que nous les donnions volontairement ou involontairement.

Le pirate usera de plusieurs stratagèmes pour influencer une personne à poser une action qui lui permettra de s’introduire dans votre infrastructure informatique. C’est ce qu’on appelle le piratage psychologique (social engineering). La personne mal intentionnée jouera sur les émotions des gens pour réussir à obtenir les informations nécessaires:

• La peur: le pirate crée un scénario incitant l’usager à paniquer et agir sur le coup de l’émotion, sans trop réfléchir. Il essaiera, par exemple, de vous convaincre que votre ordinateur est infecté par un virus et que vous devez absolument installer un logiciel de nettoyage…qui est lui-même un logiciel malveillant qui ouvrira la porte aux intrusions.
• La confiance: le fraudeur incarne une source de confiance comme un fournisseur habituel ou une marque reconnue afin de soutirer des informations confidentielles à un usager sans qu’il ne se méfie. C’est ce qu’on appelle l’hameçonnage. Vous recevez un courriel vous disant que votre licence est expirée et que vous devez vous connecter pour la réactiver. Or, la page de connexion est fausse et ne servait qu’à récupérer votre nom d’utilisateur et votre mot de passe pour s’introduire sur votre compte.
• L’appât du gain: le pirate essaie d’inciter l’usager à donner ses informations en échange d’un prix alléchant qui est évidemment faux. Vous recevrez par exemple un message disant que vous avez été sélectionné pour recevoir 5 000 $ et que vous n’avez qu’à couvrir les frais de 125 $ pour le transfert ou pire, donner vos coordonnées bancaires.
• L’urgence: le pirate laisse croire à une situation pressante provenant d’une personne connue de la victime. C’est la tactique déployée lors d’une fraude du président. Une personne incarne faussement un membre de la direction de votre entreprise et vous demande de lui transférer des fonds en urgence ou de lui envoyer ses informations de connexion.
• L’altruisme: le fraudeur utilisera la volonté d’aider de la victime en créant un scénario où celle-ci se sent utile. Vous ouvrez la porte à l’aide de votre carte sécurisée et vous retenez la porte pour une personne qui se précipite derrière vous. Vous ne la reconnaissez pas, mais vous ne connaissez pas tous les employés… Or, cette personne était en fait un parfait inconnu qui voulait se brancher au réseau sur place pour contourner le pare-feu et accéder à l’infrastructure directement!

Il est donc très important de sensibiliser tous les employés aux risques qui les visent directement et dont ils sont responsables. Organiser des campagnes de fausses tentatives d’hameçonnage est une bonne façon de garder ses employés sur le qui-vive et de faire de la sensibilisation tout au long de l’année. Une formation annuelle sur la cybersécurité est également un excellent moyen de rafraîchir la mémoire de tous. Le site du Centre canadien pour la cybersécurité est une source d’information très utile sur le sujet, autant pour le grand public que les entreprises.

La cybersécurité et votre écosystème informatique

Notre travail, particulièrement dans le domaine du marketing numérique, dépend entièrement de nos ordinateurs, de nos applications, de notre réseau informatique et de plus en plus de l’infonuagique. Ensemble, ils forment un écosystème essentiel pour l’exploitation des entreprises. Il faut donc s’assurer que toutes les composantes soient sécurisées et ne permettent pas aux pirates de s’introduire. Le hic est que la sécurité d’une partie de votre écosystème informatique est complètement en dehors de votre contrôle!

• Gardez vos systèmes à jour: que ce soit les micrologiciels de vos composantes ou les logiciels que vos employés utilisent tous les jours, faites les mises à jour régulièrement. Celles-ci apportent une foule de correctifs améliorant la sécurité et la stabilité de votre système, le rendant moins vulnérable.
• Testez les nouveaux logiciels: assurez-vous que ceux-ci fonctionnent bien, sont stables, proviennent d’éditeurs de confiance et ne créent pas de brèche de sécurité dans votre écosystème avant d’en permettre l’installation par les usagers.
• Évaluez les nouveaux fournisseurs en infonuagique: comme ces logiciels ne seront pas hébergés sur vos propres serveurs, il est important de vous assurer que le fournisseur respecte minimalement les mêmes exigences de sécurité que vous, voire les dépasse. Vous êtes responsables des données confidentielles qui se retrouveront potentiellement sur leurs serveurs.
• Activez des logiciels de sécurité et pare-feu: les cybermenaces peuvent se retrouver n’importe où et il vaut mieux avoir des mécanismes automatisés pour détecter, contenir et éliminer celles-ci si une intrusion survient.
• Sauvegardez et chiffrez les données confidentielles: dans l’éventualité d’une perte ou d’une fuite de données, vous serez en mesure d’en récupérer la majorité et un voleur de données aura plus de difficulté à y accéder.
• Appliquez le principe de privilège minimal: tout utilisateur ne devrait avoir accès qu’aux données dont il a besoin pour effectuer son travail, ni plus, ni moins. Ce principe permet de limiter les dégâts en cas de brèche de sécurité et d’éviter d’exposer l’ensemble des données de l’entreprise.

En cybersécurité, mieux vaut prévenir que guérir!

Les cybermenaces sont nombreuses et de plus en plus raffinées, les rendant plus difficiles à identifier. Nous ne sommes plus à l’époque du prince Nigérien qui nous écrivait un courriel rempli de fautes pour nous donner 2 millions de dollars en échange de nos coordonnées bancaires. Les tentatives de fraude sont maintenant plus subtiles et mieux organisées. Il est capital d’investir en cybersécurité dès maintenant pour protéger les données confidentielles de notre entreprise et éviter que celles-ci tombent entre de mauvaises mains.

______
En tant que leader en marketing de performance, la cybersécurité est fondamentale chez Crakmedia. La formation de toute l’équipe est toujours au cœur de la stratégie sécurité. C’est grâce à la plateforme d’apprentissage performante et dynamique SAP Litmos que l’entreprise forme l’ensemble des employés en début d’année.