Adopter une bonne hygiène numérique peut contrer les cyberattaques, estime Theo Zafirakos

Les cybermenaces vont évoluer, prévient le spécialiste, que ce soit dans nos vies personnelles ou professionnelles. Il faut donc y faire attention tant chez soi qu’au travail. Pour cela, il faut instaurer une culture de la cybersécurité, surtout dans un contexte de télétravail et de travail en mode hybride. « Les gens sont préoccupés personnellement par la sécurité et les équipes de TI par la sécurité de l’entreprise, mais, dans les faits, c’est la responsabilité de tous, illustre Theo Zafirakos. Il faut établir une culture de cybersécurité. » Et cela doit commencer avec le soutien de la direction de l’entreprise, la première étape étant de mettre en place un programme de sécurité. Il revient à l’entreprise d’allouer les ressources nécessaires et de mettre en place un programme de formation et de le proposer en continu.

« Il faut s’assurer d’avoir une équipe pour gérer ce programme et d’impliquer tous les niveaux de l’entreprise, les ressources humaines, les communications, le marketing et la haute direction, note le responsable de la sécurité des systèmes d’information de Terranova Security. Il faut avoir des stratégies spécifiques. Et ce ne sont pas toutes les industries qui ont la même capacité et le temps pour le faire. » Ainsi, un manufacturier ne va pas arrêter une chaîne de production en pleine journée pour parler de cybersécurité. Idem en éducation, où il faut donner le temps pour cette formation. Pourquoi pas un 15 minutes lors d’une journée pédagogique ? Les travailleurs ont un appétit pour faire de la sensibilisation, mais n’ont pas nécessairement le temps. Enfin, les gens doivent aussi en parler autour d’eux, avec leurs collègues, mais également avec leur famille et leurs amis.

Avec la COVID-19, on a observé une augmentation des cybermenaces, alors que les employés se retrouvaient en télétravail et qu’un certain niveau de sécurité s’est perdu. « Une autre difficulté du travail à distance était que les employés n’avaient pas un collègue à côté d’eux pour valider ou à qui poser des questions, souligne Theo Zafirakos. Il faut être davantage créatif, que ce soit par des webinaires ou des produits accessibles, et voir comment on envoie les informations aux employés à distance. Outre la sensibilisation et l’éducation des télétravailleurs, l’entreprise doit prendre le contrôle technique à distance et s’assurer que l’employé comprend bien les étapes pour l’envoi des données "sensibles". Cela peut passer par des gestes très simples, comme de ne pas télécharger sur l’ordinateur personnel des données de l’entreprise, comment mettre un mot de passe sur un wifi ou encore mettre une double authentification. »

Si l’on entend parler des cyberattaques sur les grandes entreprises comme Desjardins, on en sait moins sur celles contre des petites entreprises. « Le cybercrime est devenu très lucratif, note-t-il. Il va cibler toutes les organisations qui vont aider à atteindre ce but. Les rançongiciels peuvent affecter tout le réseau de l’entreprise, voire tous les postes. Il faut protéger nos propres données comme individus, mais aussi celles des autres à qui on a donné accès. Il faut éduquer les gens pour ne pas les contaminer. »

La nouvelle Loi 25 va forcer les entreprises à prendre très au sérieux la gestion des données qu’elles collectent, mais la majorité d’entre elles le font déjà, avance Theo Zafirakos. Par contre, cette loi va devenir difficile pour les petites entreprises, surtout celles qui fournissent des services à des clients plus importants qui sont également soumis à la loi. Le spécialiste conseille d’ailleurs d’apporter une attention particulière aux fournisseurs de services infonuagiques avec lesquels les entreprises font affaire. Certains offrent des forfaits qui incluent la sécurité.

La majorité des cyberattaques se déclenchent par courriel ou par site Web. Il reste important pour les employés de comprendre ce qu’est un nom de domaine officiel ou un nom de domaine malicieux. Souvent, on s’attarde au site Web, mais pas à l’adresse HTTPS, rappelle Theo Zafirakos. Il en va de même pour les courriels : il est important de vérifier l’adresse après le @. Il conseille d’adopter des mots de passe forts et de la reconnaissance des adresses de courriel et des sites Web, ces deux éléments représentant 95 % des attaques. Enfin, il faut protéger le poste de travail et les autres appareils mobiles avec des mises à jour. Le spécialiste conseille aussi de faire attention aux applications qui demandent trop d’accès, par exemple aux contacts. Finalement, conclut-il, nous avons le contrôle, c’est nous qui décidons de ce que nous faisons.