Cybersécurité : adoptez les bons gestes
La majorité des cyberattaques commencent par le geste malencontreux d’un employé leurré. Adoptez les cinq gestes suivants pour avoir un comportement prudent et avisé qui aidera à protéger l’entreprise pour laquelle vous travaillez et les données confidentielles et personnelles que vous traitez.
La cybersécurité est une préoccupation quotidienne pour toutes les entreprises à travers le monde; comme mentionné dans un précédent article, cela devrait également être la responsabilité de tous au sein de chaque entreprise. Voici quelques gestes concrets que vous pouvez adopter en tant qu’agent, courtier ou expert en sinistre pour réduire les risques de cyberincidents.
1. Choisissez des mots de passe robustes
Assurez-vous de vérifier les politiques et paramètres de votre employeur avant de choisir vos mots de passe. Pour s’assurer de la robustesse d’un mot de passe, les critères les plus fréquemment recommandés sont les suivants (ou d’une combinaison de ceux-ci) :
- Misez sur la longueur. Plus un mot de passe est long et complexe, plus il sera difficile à déchiffrer. Certains standards recommandent même que les mots de passe des utilisateurs comportent au moins 16 caractères et que les comptes privilégiés en comportent 25 caractères ou plus.
- Utilisez une suite de caractères aléatoire. Les mots du dictionnaire, les touches consécutives de clavier, les suites logiques et le remplacement des lettres par des chiffres leur ressemblant sont souvent répertoriés dans les dictionnaires de découvertes de mots de passe.
- Choisissez des mots de passe uniques. Si le même mot de passe est utilisé pour plusieurs comptes ou services et qu’il est volé, les dommages potentiels seraient multipliés.
- Utilisez un gestionnaire de mot de passe. Dans un monde hyperconnecté comme le nôtre, le nombre de mots de passe à retenir devient difficile à gérer. Demandez à la personne responsable de la sécurité informatique au sein de votre entreprise quel gestionnaire de mots de passe vous pouvez utiliser. Ces derniers sont très utiles pour générer des mots de passe uniques et les sauvegarder de façon sécuritaire.
Il est également fort probable que votre employeur ait mis en place un système d’authentification multifacteur pour vous connecter au réseau ou système de votre entreprise. Il s’agit d’une couche de sécurité supplémentaire devenue incontournable qui vise à s’assurer que c’est bien vous qui tentez de vous connecter.
Pour en savoir plus, voici des publications du Centre canadien pour la cybersécurité :
- Repensez vos habitudes en regard de vos mots de passe de manière à protéger vos comptes des pirates informatiques
- Pratiques exemplaires de création de phrases de passe et de mots de passe
- Qu’est-ce que l’authentification multifacteur?
- Sécurisez vos comptes et vos appareils avec une authentification multifacteur
- Conseils de sécurité sur les gestionnaires de mots de passe
2. Soyez vigilants avec les pièces jointes et les liens dans vos courriels
Tous les types de sites Web (réseau social, site marchand connu, site bancaire, soutien technique, services publics) peuvent avoir été contrefaits. Tous les types de pièces jointes à un courriel (document texte, chiffrier, photo, fichier audio) peuvent être compromis. Même des code-barres ou QR 2D, imbriqués dans des courriels ou sur des sites, peuvent mener vers des sites frauduleux.
Lorsque vous recevez un courriel, vérifiez notamment ces signes fréquents de tentatives d’hameçonnage :
- Le nom et l’adresse courriel : correspondent-ils à l’expéditeur de qui le message est censé provenir, contiennent-ils des lettres ou chiffres additionnels qui ne devraient pas y figurer?
- Le logo de l’entreprise : est-il flou, inexact, disproportionné?
- Le message en tant que tel : le langage est-il pressant ou menaçant? Le formatage et la mise en page sont-ils adéquats? L’orthographe et les formulations sont-elles douteuses?
- Les liens : correspondent-ils réellement à ceux de l’expéditeur de qui le message est censé provenir? Avant de cliquer sur un lien, survolez-le avec le curseur de votre souris pour faire apparaître la boîte d’information contextuelle. Si vous ne reconnaissez pas le lien (l’adresse URL), s’il comporte une erreur ou dans toute autre situation qui soulève un doute, ne cliquez pas dessus.
- Pièces jointes : si le courriel contient une pièce jointe que vous n’attendez pas, qui a un nom bizarre ou non relié au message ou dont le type de fichier est inhabituel, ne la téléchargez pas.
Si votre employeur a mis en place un service d’analyse de courriels, utilisez-le pour faire valider tout courriel douteux ou inhabituel. Autrement, supprimez tout courriel qui vous paraît suspect. S’il était important, la personne vous le renverra ou communiquera avec vous. Les conséquences d’avoir été trop méfiant seront souvent bien moins grandes que d’ouvrir une brèche de sécurité dans le réseau de votre entreprise en téléchargeant un document corrompu ou en cliquant sur un lien malveillant!
Notez que l’hameçonnage se fait de plus en plus par messages textes reçus sur les téléphones cellulaires; les mêmes règles de prudence s’appliquent.
Des sites Web contrefaits
Les cybercriminels sont très agiles dans la contrefaçon des sites Web, reprenant les logos et les éléments graphiques identiques ou semblables à ceux utilisés par le propriétaire légitime. Il y a toujours des indices minimes comme des erreurs linguistiques, des images de mauvaise qualité, un nom de domaine incohérent (un chiffre en plus, une lettre inhabituelle) ou une URL habituellement sécurisée (HTTPS ou cadenas devant l’adresse) qui ne l’est pas.
Une entreprise met habituellement beaucoup d’efforts et de soins dans son site Web : si tout n’y est pas impeccable, ou ne reflète pas la qualité habituelle de cet organisme, il est fort probable que le site soit contrefait.
3. Utilisez uniquement des appareils sécurisés et autorisés
Les ordinateurs publics ou partagés, comme ceux des bibliothèques, aéroports, cafés Internet, voire celui de votre adolescent, sont souvent de véritables passoires. Ils ne sont pas nécessairement munis d’antivirus et d’antimaliciels ou d’un pare-feu adéquat, ou ces derniers ne sont peut-être pas à jour. Évitez leur utilisation pour vous connecter à vos comptes.
Les appareils mobiles (téléphones cellulaires et tablettes) sont souvent une cible de choix des cybercriminels. Demeurez donc également vigilants si vous en utilisez et appliquez autant que possible les mêmes mesures de sécurité qu’avec un ordinateur : installez des logiciels antivirus et antimaliciels ainsi qu’un pare-feu.
Activez le verrouillage automatique par mots de passe après quelques minutes d’inactivité sur vos appareils mobiles. Ainsi, en cas de perte ou de vol, il sera plus difficile d’accéder au contenu de vos appareils. Il peut également être utile d’avoir activé la fonction de localisation de l’appareil et de suppression des données à distance.
Enfin, consultez votre employeur sur l’utilisation des outils technologiques individuels ou personnels dans le cadre de votre travail, afin de connaître ses politiques et directives à cet égard et de vous assurer de bien les respecter.
4. Utilisez des réseaux de confiance pour vous connecter
Que vous soyez en télétravail temporairement ou de façon permanente, vous accédez peut-être au réseau de votre entreprise à distance à l’aide d’un réseau virtuel privé (RPV), plus connu sous la désignation anglophone virtual private network, ou VPN. Cette connexion sécurisée est « comme une sorte de tunnel par lequel on peut envoyer et recevoir des données en profitant d’une sécurité accrue ». Cet accès à distance ajoute une couche supplémentaire de protection puisque les données y sont sécurisées et chiffrées, tant à l’envoi qu’à la réception.
Assurez-vous toutefois que le réseau avec lequel vous vous connectez à ce RPV est lui-même sécuritaire. Par exemple, évitez les points d’accès Wi-Fi libres et gratuits : plusieurs sont en réalité de faux points d’accès dont le seul but est de permettre aux cybercriminels d’intercepter les informations échangées lors de la navigation ou d’infiltrer votre appareil avec un maliciel. Si vous n’avez pas besoin d’utiliser Internet, vous pouvez désactiver le Wi-Fi.
N’utilisez que des réseaux de confiance pour vous connecter à vos boîtes courriel, vos comptes bancaires et même vos comptes de réseaux sociaux.
Les médias sociaux, une source d’information pour les cybercriminels
Les réseaux sociaux peuvent faciliter le travail des cybercriminels en matière de vol d’identité et d’ingénierie sociale en fournissant des informations en apparence banales qui peuvent s’avérer cruciales dans une tentative de piratage psychologique (ou fraude par ingénierie sociale). Dans ce type d’attaque, le cybercriminel utilisera des informations lui permettant de se faire passer pour un client, un collègue, votre gestionnaire ou une entreprise avec laquelle vous faites affaire dans le but de vous inciter à dévoiler un mot de passe, des données sensibles ou confidentielles, des informations financières, etc. Pour obtenir des conseils quant à l’utilisation des médias sociaux, consultez la Fiche d’utilisation des médias sociaux dans votre pratique professionnelle.
5. Adoptez une politique du « bureau propre »
Saviez-vous qu’agir sur l’environnement physique de travail est tout aussi important en matière de cybersécurité? Aucune information confidentielle, y compris les mots de passe, ne doit être laissée à la vue des personnes pouvant circuler dans votre environnement de travail ou ne doit être facilement accessible.
La mésaventure en 2015 de la chaîne internationale TV5 Monde illustre d’ailleurs parfaitement les risques de ne pas avoir un « bureau propre ». Les téléspectateurs du journal télévisé français ont pu obtenir les mots de passe de plusieurs médias sociaux de la chaîne : ces mots de passe étaient affichés aux murs des bureaux et ont été captés par des caméras lors d’un reportage où des journalistes de TV5 étaient interviewés à la suite d’une cyberattaque par une organisation terroriste!
S’assurer que votre espace de travail soit ordonné et que les données sensibles ou les documents confidentiels soient rangés dans un endroit sécurisé réduit les risques de cyberincident, en plus de réduire les risques de vols d’information ou d’identité et l’espionnage industriel, par exemple.
Articles connexes
Protection des renseignements personnels : rappels et nouveautés
Quoi faire quand les devis divergent?
Maltraitance financière et matérielle : comment réagir?
L’intelligence artificielle en assurance de dommages
Vos questions : quels actes sont réservés aux agents et aux courtiers?
Quels actes sont réservés aux agents et aux courtiers?
Le point sur les franchises du syndicat de copropriété
Marché dur: que doit faire un courtier?
