Quand le facteur humain est une menace à la cybersécurité

Comment s’assurer de la sécurité des sites de transactions? Comment savoir si derrière une signature se trouve la bonne personne? Les questions autour de la cybersécurité se multiplient alors que nous passons de plus en plus de temps en ligne. Comment apprendre à reconnaître les menaces?

Pour commencer, une connaissance de règles simples — choisir un mot de passe fort ou sauvegarder et chiffrer les données que l’on échange lors des périodes de télétravail — peut nous éloigner des menaces les plus grossières.

«Sinon, c’est comme ne pas fermer notre porte d’entrée quand nous partons en vacances. C’est plutôt immature et basé sur une méconnaissance des risques réels», rappelle Vincent Riou, directeur général de la première édition du Forum international de cybersécurité (FIC) d’Amérique du Nord, qui se déroulait à Montréal, les 1^er et 2 novembre.

Il importe donc de former ses employés aux cybermenaces et aux tactiques d’hameçonnage.

Les menaces se multiplient

La pandémie a montré que les petites comme les grandes entreprises n’étaient pas prêtes à affronter ces attaques.

«Cela fait 20 ans que nous répétons la même chose et c’est parfois décourageant. Les employeurs manquent un peu de rigueur, alors que les menaces sont très présentes et se multiplient», soulève Lise Lapointe, présidente directrice générale de Terranova Security.

La compagnie lavalloise est un chef de file mondial en matière de sensibilisation à la cybersécurité. Elle se spécialise depuis 20 ans dans la sensibilisation et la formation à la cybersécurité, en transformant les utilisateurs en «superhéros» susceptibles de mieux comprendre la confidentialité des données et les bonnes pratiques en matière de sécurité.

On lui doit plus de 1000 programmes de simulation d’hameçonnage, de formation et de sensibilisation à la cybersécurité, pour plus de six millions d’utilisateurs. Ce qui la distingue: une approche centrée sur les individus, inspirée de l’ouvrage The Human Fix to Human Risk.

Formation à la cybersécurité

Toute formation à la cybersécurité serait, pour Mme Lapointe, comme le port de la ceinture de sécurité. «C’est impossible de s’en passer alors que tout le monde échange des données et que les employés sont de plus en plus souvent en télétravail. Il faut avoir un plan, le cas échéant, et que tout le monde sache quoi faire.»

Les plus petites entreprises ont moins de ressources et donc, sont plus à risque, bien qu’elles échangent moins d’informations sensibles que les plus grandes.

Un employé bien formé bénéficie à son entourage — et ce, au-delà de l’entreprise. «S’il connaît la menace, il va sensibiliser ses enfants et sa famille, et les ainés sont particulièrement vulnérables et ciblés», note-t-elle encore.

Renforcer la règlementation et les responsabilités

Au Québec, la loi 25, adoptée le 22 septembre dernier, exige de chaque entreprise qu’elle renforce et sécurise ses systèmes informatiques et ses données commerciales avec des logiciels adéquats, mais aussi qu’elle mette en place des séances de perfectionnement de son personnel.

«Il faut reprendre l’avantage, car nous sommes dans une guerre électronique», rappelle Vincent Riou. Pour se défendre, il faut déployer des tactiques de déception, de leurre et de brouillage, à l’intention des hackeurs.

Du côté du fédéral, la prochaine loi C27 devrait bonifier aussi le paysage de la cybersécurité en mettant l’accent sur la protection de la vie privée, la constitution d’un Tribunal de la protection des renseignements personnels et des données et une règlementation des échanges et du commerce, internationaux et interprovinciaux.

Selon le directeur du FIC Amérique du Nord, le Canada et le Québec se placent bien, tant du côté de la collaboration des experts que du côté de la nomination d’un ministre québécois dédié à la cybersécurité et au numérique, Éric Caire.

«Le Québec a sans doute un petit syndrome de l’imposteur et manque un peu d’audace, mais il se place très bien, avec des travaux de recherche pointus et de très bon niveau», relève encore M Riou. Par exemple, le Groupe de recherche interdisciplinaire en cybersécurité (GRIC) de l’Université de Sherbrooke ou le Centre canadien pour la cybersécurité d’Ottawa.

La signature numérique, une question sensible

Comment s’assurer que la signature qui figure sur un document s’avère fiable et vérifiée? Au sein de nombreuses professions, telles que les ingénieurs ou les architectes, il importe de pouvoir raccorder avec assurance une identité professionnelle et une signature inscrite sur les actes et autres documents certifiés.

«Cela engage la responsabilité du professionnel. Il faut donc quelque chose de plus fort qu’une simple photo de la signature», soutient Alexandre Beaulieu, directeur de la gestion de produits chez Notarius.

La compagnie montréalaise offre des signatures numériques sécuritaires depuis 25 ans. C’est le partenaire technologique de compagnies et de 50 ordres professionnels canadiens dans leur passage au numérique, dont l’Ordre des ingénieurs du Québec et son pendant ontarien.

Toutes les signatures électroniques ne se valent toutefois pas sur le plan juridique. Ce qui les distingue repose sur l’usage: identification des signataires, mais également leur authentification ou l’intégrité du document signé.

Il faut savoir que la représentation visuelle de la signature ne constitue pas la vraie signature. «Il y a des parties technologiques, comme des éléments de chiffrement, qui vont constituer une empreinte unique du document. Cela change si l’on cherche à le modifier, et c’est détectable», explique M Beaulieu.

La cybersécurité: un défi permanent

Le plus important reste la validation de la signature par la personne, mais également par celui qui en prend connaissance. Certains mécanismes de vérification permettent à des compagnies, comme Notarius, d’être reconnues comme autorités de certification.

Il importe toutefois de protéger cette dernière avec le même soin que pour toutes les données personnelles sur Internet. Et cela passe par l’éducation et la sensibilisation.

«Ça reste un défi permanent, sans compter la libération de données personnelles pas toujours pertinentes avec des intermédiaires. Par exemple, si j’ai besoin de savoir si vous avez 18 ans, je n’ai pas forcément besoin de votre date de naissance», précise l’expert.

Et l’on n’a pas fini de se poser ce genre de questions, à l’heure où les signatures vocales gagnent en popularité…

Pour aller plus loin

Comment les signatures électroniques se différencient, par Notarius.

Articles sur des cas de fraudes professionnelles, sur le même site.

De la protection des données à la culture cyber, par Terranova Security.

Hub de cybersécurité pour accéder aux différentes trousses et BD s’adressant aux employés