Nous ne surprendrons personne en affirmant que notre culture est devenue tributaire des technologies. Qu’elles proviennent du secteur public ou privé, toutes les organisations s’en remettent, d’une façon ou d’une autre, à la technologie pour exercer leurs activités. La sécurité de l’information est désormais devenue une priorité.

Il est important de comprendre qu’on ne gère pas la cybersécurité de la même façon que la sécurité dite « traditionnelle ». Il ne suffit pas d’un simple gardien pour assurer la sécurité des systèmes informatiques; cette responsabilité relève de chaque membre de l’organisation. Cependant, ce sont les dirigeants qui doivent mettre l’accent sur l’importance de la cybersécurité auprès de leurs employés et élaborer une stratégie personnalisée en fonction des risques propres à leur organisation.

Quel volume d’information partagez-vous?

La sensibilisation constitue un moyen efficace en vue de prévenir les cyberattaques. Connaissez-vous les renseignements de votre organisation qui sont publiquement accessibles? Savez-vous comment ceux-ci peuvent la rendre vulnérable? Êtes-vous conscient de l’incidence que votre comportement peut avoir sur l’organisation dans son ensemble?

Voici un scénario qui pourrait survenir dans toute organisation. Une employée a recours aux médias sociaux pour promouvoir la participation de son organisation à une conférence. Le lendemain de l’événement, elle reçoit un courriel d’un individu qui affirme être journaliste pour un magazine prestigieux. Il prétend avoir assisté à la conférence, sans toutefois avoir été en mesure de discuter avec l’employée en raison d’un conflit d’horaire. Il lui demande de répondre à quelques questions, jointes à son courriel. L’employée n’a aucune raison de douter de la légitimité de sa requête. Elle ouvre donc la pièce jointe, répond aux questions et les lui retourne.

Cette situation semble banale. D’ailleurs, il se peut qu’elle le soit et qu’il s’agisse simplement d’une bonne occasion de promouvoir le travail de l’organisation. En revanche, il pourrait aussi s’agir d’hameçonnage ciblé, un type de cyberattaque que l’on dénombre de façon croissante. Ces cyberattaques misent sur des courriels soigneusement rédigés mettant à profit les renseignements personnels d’une personne, souvent colligés sur les médias sociaux et autres sites Web. L’objectif est de rendre la communication tout à fait crédible afin que la personne ciblée clique sur les liens ou les pièces jointes du courriel.

De telles attaques visent généralement à faire en sorte que le destinataire télécharge un logiciel malveillant, lequel peut avoir été conçu de façon à donner le contrôle de l’ordinateur de l’utilisateur au pirate informatique, lui permettant ainsi d’avoir accès à l’infrastructure informatique ou à l’information sensible de l’organisation stockée sur l’appareil. Le pirate peut également se servir d’un logiciel de rançon qui permet de chiffrer les fichiers de données de l’ordinateur afin de les rendre inutilisables, et ce, jusqu’au versement d’un montant en échange du déverrouillage des données. Ces deux types d’attaques sont observés tous les jours par les spécialistes de la sécurité.

table

Visionnez notre vidéo pour découvrir comment certaines cyberattaques ciblent des personnes.

Bien sûr, il ne s’agit pas d’empêcher les employés d’utiliser l’Internet ou la messagerie électronique. Nous ne suggérons pas de diminuer l’utilisation de la technologie. Cependant, cet exemple illustre ce qui peut advenir lorsque les employés ne sont pas informés des risques ni des précautions à prendre.

Vigilance et sensibilisation

Les hauts dirigeants doivent également faire de la cybersécurité une priorité. La participation de la direction est essentielle pour assurer une gestion rigoureuse de la cybersécurité. Les hauts dirigeants d’une organisation doivent communiquer l’importance de la sécurité et favoriser une culture de sensibilisation à la sécurité. Ils doivent attirer l’attention sur la nécessité d’être vigilant et de se tenir informé, et demander à leurs employés de réfléchir aux renseignements personnels qu’ils communiquent, c’est-à-dire à l’« empreinte numérique » que nous possédons tous désormais.

Les dirigeants doivent également favoriser un changement culturel et encourager les membres de leur organisation à réfléchir à la sécurité et aux risques, tout en les mettant en garde contre la complaisance et la certitude d’une sécurité complète. Ils doivent tenir compte du fait que les cyberattaques surviendront fréquemment et que certaines atteindront leurs cibles. La direction doit donc assurer la préparation et la réponse à ce type d’incidents, y compris en soutenant l’investissement pour la mise en place des mesures nécessaires à l’atténuation des risques de subir une attaque et des répercussions qui s’ensuivent. Considérant la quasi-certitude pour une organisation de subir une intrusion, ainsi que les coûts liés à la violation des données (estimés entre quatre et six millions $), de tels investissements sont un prix bien modeste à payer.

À propos de l’auteur

Picture of CGI’s Cybersecurity Practice

CGI’s Cybersecurity Practice

Chez CGI, la sécurité fait partie de tout ce que nous faisons. Notre offre complète de services comprend les services-conseils et la formation, l’intégration et la mise en œuvre ainsi que la gestion déléguée et les services de cyberassurance. ...

Ajouter un commentaire

Comment editor

  • No HTML tags allowed.
  • Lines and paragraphs break automatically.
Règle de modération du blog et conditions d'utilisation