AAPPQ
20/01/2025
ENTREVUE AVEC RICHARD RUSSEL : Des conseils pratiques pour vous protéger
Les petites et moyennes entreprises (PME) du Québec sont des cibles de choix pour les cybercriminels, incluant les firmes d’architectes. Souvent perçues comme plus vulnérables en raison de leurs ressources limitées, les PME sont ainsi confrontées à des risques croissants en matière de cybersécurité. Dans un monde de plus en plus connecté, il est essentiel pour les entreprises de comprendre les menaces et d'adopter des mesures de protection efficaces. À travers cet entretien avec Richard Russel, professionnel en technologies de l'information, nous explorons les meilleures pratiques pour aider les PME à renforcer leur sécurité numérique et à mieux se préparer face aux cyberattaques.
A : Qu’est-ce qu’une cyberattaque et pourquoi les PME sont-elles particulièrement vulnérables ?
R : Une cyberattaque, c’est toute tentative d’accès illicite à des ressources informatiques. Cela peut provenir d’individus malveillants, d’organisations ou même de robots. Ces attaques peuvent viser des comptes bancaires, des courriels ou des serveurs d’entreprises. Les PME sont particulièrement vulnérables car elles manipulent souvent de l’argent et des contrats importants, mais elles n’ont pas toujours les mêmes mesures de sécurité que des institutions comme les banques. Elles peuvent être des cibles pour des escroqueries financières, ou pire, pour des rançongiciels, où les cybercriminels cryptent vos données et exigent une rançon pour les débloquer. Aujourd’hui, l’objectif des cybercriminels est pratiquement toujours monétaire.
A : Quelle est la menace la plus courante : les rançongiciels ou le vol de données pour les vendre sur le marché noir ?
R : Les deux sont effectivement courants, mais il faut savoir que le vol de données pour les revendre sur le Dark Web est extrêmement difficile à contrôler. Une fois que des informations sont volées et publiées sur le web clandestin, il est quasiment impossible de les récupérer. Une méthode particulièrement fréquente, c’est l’hameçonnage, où des courriels frauduleux, semblant venir d’un fournisseur ou d’un contact connu, sont envoyés. Ces arnaques s’appuient souvent sur des informations qu’on retrouve sur le Dark Web.
A : Quels sont les risques spécifiques dans le secteur de l’architecture ?
R : Les architectes, et plus généralement les professionnels, ont une responsabilité déontologique importante : celle de protéger les données confidentielles de leurs clients. Dans leur cas, la sécurité des informations est encore plus cruciale (à noter que la loi 25 encadre aussi la protection des renseignements personnels dans le secteur privé). Par exemple, des plans pour des hôpitaux ou des écoles, s’ils tombent entre de mauvaises mains, peuvent avoir de lourdes conséquences. Les architectes doivent être particulièrement vigilants pour garantir la sécurité des données gérées dans les firmes.
A : Quelles sont les principales menaces en cybersécurité et comment les pirates attaquent-ils généralement ?
R : Il y a plusieurs vecteurs d'entrée pour les cyberattaques, et en fait, c’est un vecteur qui change constamment. Les pirates sont très créatifs et trouvent sans cesse de nouvelles façons de contourner les protections mises en place. Un des moyens les plus problématiques dans le passé récent était l'envoi de liens par courriel. On a formé nos clients à ne jamais cliquer sur des liens venant de sources inconnues et de toujours vérifier l’adresse du lien avant de cliquer. En général, si le lien ne vient pas d’un site comme Microsoft.com, Dropbox.com ou Google.com, etc. c’est probablement une arnaque. Mais les arnaqueurs ont commencé à s'abonner à des comptes légitimes, comme Microsoft, pour envoyer des liens d’hameçonnage. Le lien peut sembler fiable, mais une fois que l’on clique, cela mène souvent à un fichier PDF qui contient un autre lien, peut-être légitime, comme Dropbox, mais dans lequel se cache un troisième lien malveillant. Ce qui est important, c’est d’être vigilant et de rester suspicieux de tout lien, même s’il semble provenir d’une source fiable.
A : Est-il dangereux d’ouvrir un courriel, ou peut-on le faire sans risque ?
R : En principe, ouvrir un courriel en soi n’est pas dangereux, mais il y a toujours des vulnérabilités. Les ordinateurs modernes ont des protections pour empêcher l'ouverture automatique des liens dans les courriels. Cependant, les pirates trouvent toujours des moyens d'exploiter des failles. C’est pour ça qu’il est essentiel de faire les mises à jour proposées par Microsoft, Apple, etc. car ces mises à jour corrigent les vulnérabilités que les pirates peuvent exploiter. La cybersécurité est une guerre continue où les hackers cherchent toujours à détourner les protections.
A : Comment une attaque par téléphone pourrait-elle se produire ?
R : Les attaques par téléphone peuvent prendre plusieurs formes. Par exemple, les arnaqueurs peuvent connaître votre nom et votre numéro de téléphone et se faire passer pour un contact ou un fournisseur. Ce genre d’attaque est moins fréquent dans des secteurs professionnels, mais cela pourrait arriver. Ce qui m’inquiète particulièrement aujourd’hui, c’est l’intelligence artificielle, qui permet de simuler la voix de quelqu’un. Si un arnaqueur parvient à capter un échantillon de la voix d’un de vos contacts, même si vous appelez pour vérifier une facture, ils peuvent simuler cette voix de façon assez réaliste. Pour l’instant, cela ne se fait pas en temps réel, mais avec les progrès technologiques, cela pourrait devenir une menace dans un futur proche. C’est une autre raison pour laquelle il faut toujours rester vigilant et prudent.
R : Quels sont les premiers gestes qu’une PME devrait adopter pour renforcer sa sécurité informatique ?
R : La priorité numéro un pour toute PME, c’est les sauvegardes, les backups. Les cybercriminels cryptent les données avec une clé quasi impossible à briser et exigent un paiement. Si vous avez des sauvegardes protégées, vous pouvez restaurer vos données sans payer. Mais attention, si la sauvegarde est en temps réel, elle pourrait aussi être écrasée par les données cryptées. Il est donc essentiel d’avoir une sauvegarde qui soit protégée contre cela, avec la possibilité de revenir à une version antérieure. Le mieux est de conserver les sauvegardes à la fois localement et en ligne, pour se protéger contre des événements comme un incendie ou un dégât d’eau. Avoir plusieurs versions (par exemple, une par jour) permet de récupérer facilement les données, même après une attaque.
A : Est-ce qu’il y a d’autres recommandations pour se préparer à l’éventualité d’une cyberattaque ?
R : Oui, il est crucial de s’assurer que tous les ordinateurs et serveurs de la firme sont bien sécurisés. Un VPN est utile, mais ce n’est pas une solution magique. Ce qui est essentiel, c’est de s’assurer qu’il n’y a pas de vecteur d’entrée pour les pirates, comme un pare-feu mal géré, des serveurs vulnérables, ou des programmes comme TeamViewer non sécurisés. Les antivirus doivent aussi être à jour sur tous les ordinateurs.
Le plus important, c’est la formation du personnel. Il est crucial de miser sur la vigilance et sur l’intelligence humaine. C’est ce qu’on appelle le pare-feu humain. Former le personnel à reconnaître les menaces et à être vigilant est essentiel. Les employés doivent toujours être vigilants face aux demandes suspectes, qu’elles viennent par courriel ou autres moyens. Il est important d'identifier les employés moins à l’aise avec les nouvelles technologies et de leur fournir une formation spécifique sur la cybersécurité. En complément, on peut leur confier des ordinateurs restreints (ne pouvant pas installer de logiciels externes) pour limiter les risques d'infection. Il faut aussi limiter les accès aux données sensibles pour éviter les erreurs humaines.
Cependant, il faut trouver un équilibre entre sécurité et productivité. Si la sécurité devient trop contraignante, cela peut nuire à l’efficacité des employés. Par exemple, un client avait mis en place des mesures de sécurité si strictes que chaque envoi de courriel nécessitait une autorisation, ce qui ralentissait énormément le travail. L’idéal est d’être suspicieux en cas de changements, comme un nouveau numéro de compte ou une nouvelle adresse courriel. Si un fournisseur vous demande de transférer de l’argent vers un nouveau compte, cela mérite une vérification.
A: Certaines entreprises envoient de faux courriels pour tester la vigilance de leurs employés. Est-ce une bonne pratique?
R : Oui, c’est une pratique courante. Microsoft propose un service appelé Attack Simulation Training, qui envoie des simulations d’hameçonnage aux employés pour identifier ceux qui sont vulnérables et qui ont besoin de renforcement. D’autres entreprises offrent des services similaires.
A : Peut-on faire confiance aux services de stockage comme Google Drive ou Microsoft pour la sauvegarde des données ?
R : Les services comme Microsoft et Amazon Web Services offrent une sécurité de haut niveau et investissent constamment pour protéger les données. Toutefois, leur taille en fait aussi des cibles attractives pour les cyberattaques. Bien que ces entreprises soient sécurisées, elles peuvent aussi être vulnérables à des attaques internes ou des erreurs humaines. L’un des problèmes majeurs avec les services de stockage est la perte de contrôle sur l’utilisation des données. Par exemple, chez Autodesk, une erreur dans la gestion des accès a entraîné la suppression irrémédiable de données. Microsoft a aussi connu des incidents où des erreurs qui ont conduit à la perte de données sans possibilité de récupération rapide. De plus, des pannes de serveurs peuvent survenir, et une journée sans accès à vos données peut coûter cher. Il est donc important de ne pas dépendre uniquement des services de stockage. Une autre sauvegarde locale et une gestion stricte des accès sont essentielles pour éviter des pertes imprévues.
A : Quelles sont les premières actions à prendre en cas d'attaque informatique ?
R : il y a 5 étapes importantes :
1. Couper l'accès à Internet et aux serveurs : La première chose à faire est de déconnecter les appareils infectés pour arrêter l'attaque en cours, comme dans le cas des rançongiciels. Cela permet de limiter les dégâts.
2. Scanner et identifier l'attaque : Ensuite, effectuez un scan pour comprendre la nature de l'attaque, identifier les machines infectées et déterminer le vecteur d'entrée. Cela permet de mieux comprendre les dommages.
3. Contrôler les comptes compromis : Si un compte a été piraté (par exemple, un compte courriel), changez immédiatement le mot de passe et déconnectez tous les appareils associés. Informez les personnes qui ont reçu des messages frauduleux.
4. Appeler un expert externe : Si vous faites affaire avec une entreprise externe responsable de votre informatique, appelez-les immédiatement après avoir débranché les systèmes pour limiter les risques et évaluer les dommages.
5. Évaluation des dommages : Comme après un incendie, évaluez les dommages spécifiques à chaque situation (données perdues, systèmes affectés) pour savoir quelles mesures prendre ensuite. Si des sauvegardes sont disponibles, elles faciliteront la récupération.
A : Le télétravail représente-t-il une vulnérabilité pour les PME ?
R : Oui, le télétravail peut introduire des risques, surtout lorsque les employés utilisent des ordinateurs personnels partagés par d’autres membres de la famille. Ces appareils peuvent être infectés par des virus et mettre en danger le réseau de l'entreprise. Une solution consiste à fournir un ordinateur dédié et sécurisé pour le travail à distance, ou s'assurer que les employés n'utilisent pas leurs appareils personnels pour des activités non liées au travail. Cela garantit que les ordinateurs personnels ne soient pas compromis par des téléchargements ou des infections qui pourraient affecter l'ensemble du réseau professionnel.
A : Y a-t-il une dernière chose à ajouter avant de terminer ?
R: Oui, il y a un élément important qu’on n’a pas mentionné : l’authentification à deux facteurs (2FA) ou multi facteur. C’est une méthode de sécurité où, en plus de votre mot de passe, vous devez entrer un code envoyé sur un autre appareil, comme votre téléphone. Cela ajoute une couche de protection supplémentaire. Bien que cela ne bloque pas à 100 % les risques, cela les réduit considérablement.
Cependant, il faut aussi veiller à la gestion des comptes. Par exemple, si vous utilisez la 2FA et que vous perdez l'accès à votre téléphone ou si un employé vend son téléphone sans retirer la 2FA, vous pouvez perdre l'accès à des comptes importants pendant un certain temps. Cela peut être problématique si personne d’autre n'a de droits d’administration sur le compte. Il est donc essentiel d'avoir un plan de secours en cas de perte d'accès, comme un deuxième administrateur.
En conclusion, pour renforcer la sécurité face aux cybermenaces, les PME doivent prioriser deux éléments essentiels soit la protection des données, en commençant par des sauvegardes régulières et sécurisées locales. Cela permet de garantir une récupération rapide des informations critiques en cas d’attaque, notamment par des rançongiciels. Mais au-delà des solutions techniques, la vigilance du personnel joue un rôle crucial. La formation continue des employés est primordiale pour leur apprendre à reconnaître les menaces et éviter les erreurs humaines, souvent responsables des failles de sécurité. En combinant une gestion rigoureuse des données et une formation adéquate et continue, les firmes peuvent considérablement réduire les risques de cyberattaques, protéger leurs ressources et préserver leur réputation.
De plus, afin d’accompagner ses membres dans à la gestion des incidents de confidentialité et ainsi respecter les dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP), l’AAPPQ offre gratuitement une Trousse sur la protection des renseignements personnels.
Un outil pertinent pour tous les propriétaires et gestionnaires d’entreprises ; exclusif aux membres de l’AAPPQ !
Pour recevoir le document, contactez votre Association.