La cybersécurité dans la fonction publique

Initialement publié le 2 juillet 2020 | Épisode 18

Dans cet épisode, vous apprendrez:

• la définition de la cybersécurité;
• si vous savez reconnaître des escroqueries;
• certains des défis auxquels le gouvernement du Canada (GC) est confronté en matière de cybersécurité;
• 8 façons de protéger les données avec lesquelles vous travaillez et vos informations personnelles

La sonnerie de votre téléphone intelligent vous réveille. Vous écoutez « Valerie » d’Amy Winehouse ou du Bruno Mars pour vous mettre en train et commencer votre journée. Vous emmenez les enfants à l’école, vous vérifiez la météo avant de consulter votre fil d’actualités dans Instagram, d’écouter Spotify ou Audible tout en vérifiant vos courriels dans Gmail en vous rendant au travail. Vous arrivez au travail, rangez votre téléphone et le laissez allumé pour le vérifier pendant la journée. Comme la plupart des Canadiens, vous utilisez probablement un appareil Android ou Apple.

Au travail, vous passez à un ordinateur de bureau utilisant Windows ou peut-être à un ordinateur portable, et vous utilisez soit Internet Explorer comme navigateur, soit Google Chrome, si vous y êtes autorisé. Vous sauvegardez des documents dans GCdocs, comme vous êtes censé le faire et vous ne partagez pas les données du gouvernement avant d’y être autorisé. Vous avez suivi la formation interne exigée sur la sécurité en ligne. Vous êtes plutôt sûr que vous protégez les données du gouvernement du Canada et vous avez l’impression que c’est le rôle du service de la sécurité informatique de le faire à plus grande échelle.

Comme tout le monde, vous êtes au centre d’un réseau d’entreprises privées qui possèdent vos données personnelles. Vous vous retrouvez au milieu d’une toile de services, chaque fil ayant des propriétés juridiques et des ramifications sociales uniques. Contrairement au reste de la population, vous naviguez de ce monde vers le monde particulier de la sécurité du gouvernement du Canada 5 jours par semaine.

Qu’est-ce que la cybersécurité?

Le terme cybersécurité est relativement nouveau. En termes simples, la cybersécurité est l’acte de protéger vos données et les données sensibles que vous stockez en ligne, sur un serveur ou dans le nuage.

Violations de données, piratage, logiciels malveillants, logiciels de rançon, virus, hameçonnage... on ne peut pas éviter d’en entendre parler. Le monde en ligne est devenu dangereux, et comme fonctionnaire, vous avez probablement déjà été averti de l’importance de la cybersécurité. Vous comprenez tout cela, mais vous tombez probablement dans l’un des 3 groupes suivants :

1. Le fataliste, qui a très peur, mais qui agit peu

« C’est trop tard. La protection des renseignements personnels est morte et je n’ai rien à cacher, alors j’ai abandonné l’idée de me protéger contre les menaces. Oui, c’est effrayant ce qui arrive, mais il n’y a rien que je puisse y faire. »

2. Le semeur d’épouvante, qui a très peur et qui en fait trop

« La série 'Black Mirror' est un portrait fidèle de ce qui se passe déjà. Il existe des groupes malveillants qui exploitent nos données à des fins lucratives et orchestrent des attaques personnelles. Les citoyens ordinaires comme moi courent un risque réel. Nous devons lire les modalités de chaque application que nous téléchargeons, gérer attentivement les paramètres de sécurité de chaque appareil, couvrir nos appareils photo et présumer que tout ce que nous publions ou disons à voix haute peut être utilisé contre nous. »

3. L’hédoniste, qui n’a pas vraiment peur et qui agit peu

« Les médias sociaux et les applications ont une incidence largement positive sur ma vie. J’aime être connecté. Les avantages de la vie numérique l’emportent largement sur les risques. Il arrive parfois que des gens se fassent escroquer, mais les banques et le gouvernement s’occupent de nous, alors le risque est plutôt faible. Les fausses vidéos concernent les personnes importantes. Étant donné que je ne suis ni riche ni célèbre, je ne m’inquiète pas. »

Quel énoncé vous décrit le mieux? Parlez-nous en dans les commentaires ci-dessous.

Comme nos superhéros préférés, nous vivons une double vie. Quand Peter Parker se transforme en Spiderman, il n’oublie pas qui il est. Il serait naïf de penser que notre attitude à l’égard de nos propres données ne déborde pas sur la façon dont nous protégeons nos données au travail.

Si nous sommes des hédonistes apathiques dans nos propres vies, quelle est la probabilité que nous soyons en tête du peloton pour la sécurisation des données du gouvernement du Canada le lundi matin?

La peur est une émotion complexe. Nous sommes biologiquement programmés pour éviter ou se battre les choses qui nous font peur. Alors, lorsque nous lisons les nouvelles sur les violations massives de données, nous pensons que ça n’arrive qu’aux autres. Nous nous rassurons en pensant : « c’est le secteur privé, ça ne peut pas se produire ici », « c’est arrivé dans ce ministère, ils n’étaient pas aussi préparés que nous », nous laissant aller à un faux sentiment de sécurité.

À quelle fréquence les cyberattaques surviennent-elles?

En 2019, le Forum économique mondial a classé les cyberattaques parmi les 10 plus gros risques à l’échelle mondiale. Bien qu’elles soient moins probables que des conditions météorologiques extrêmes et des catastrophes naturelles, les cyberattaques se trouvent au même niveau que les armes de destruction massive pour ce qui est de l’impact.

D’ailleurs, cette question préoccupe de plus en plus nos clients, les citoyens canadiens. Le Baromètre de confiance Edelman 2019 indique que 71 % des Canadiens craignent que les faux renseignements ou les fausses nouvelles ne deviennent des armes, ce qui représente une progression de 6 % par rapport à l’an dernier.

Mon ministère ou mon projet est trop petit pour qu’on s’en préoccupe.

En 2017, on a détecté une faille sur les sites Web de l’Agence du revenu du Canada (ARC) et de Statistique Canada. En réaction, certaines parties du site Web de l’ARC ont été fermées et certains serveurs de Statistique Canada ont été mis hors ligne. À ce moment-là, Statistique Canada comptait un peu plus de 5 000 employés, alors que l’ARC en comptait 40 000, ce qui remet en question l’idée que seuls les grandes entreprises et les ministères influents sont des proies éventuelles. En tant que fonctionnaires, nous travaillons sur des données ministérielles, des données personnelles et des données en recherche et développement qui pourraient attirer des pirates informatiques et des compétiteurs. Des campagnes d'hameçonnage par courriel ont même été créées et testées sur le personnel interne par le Secrétariat du Conseil du Trésor et Immigration, Réfugiés et Citoyenneté Canada dans le but de sensibiliser les employés et de développer le sens de la cybersécurité.

Nous mettons souvent l’accent sur les répercussions financières du piratage, à savoir le coût des nouveaux systèmes informatiques, l’achat de nouveaux logiciels ou équipements de sécurité et au dédommagement des personnes lésées. Cependant, c’est l’atteinte à la réputation découlant d’une cyberattaque qui peut paralyser une organisation et bloquer les efforts de modernisation.

Imaginez ce qui pourrait se passer si:

• les renseignements personnels que les Canadiens nous ont confiés étaient volés ou perdus;
• le site Web de votre ministère était piraté et qu’un logiciel malveillant y était intégré;
• le gouvernement du Canada était inondé de pourriels qui faisaient s’effondrer le réseau de communication.

Que penserait-on du gouvernement du Canada? Quel serait le coût sur le plan financier pour les contribuables?

8 mesures que vous pouvez prendre dès aujourd’hui

• Sécurisez vos appareils et connexions
• Gardez l’œil ouvert et sachez détecter les courriels douteux: pouvez-vous repérer une tentative d’hameçonnage? De nombreux ministères apprennent à leurs employés à ne pas ouvrir un courriel si l’expéditeur a une adresse électronique inconnue, même s’il semble provenir d’une source fiable. Méfiez-vous des courriels qui: contiennent des erreurs grammaticales ou orthographiques; s’adressent à vous par votre nom de famille au lieu de votre prénom; demandent de cliquer sur un lien; ou contiennent n’importe quelles demandes inhabituelles. En cas de doute, envoyez tout courriel suspect à votre service informatique pour en déterminer la légitimité.
• Choisissez de meilleurs mots de passe: Le choix de meilleurs mots de passe peut empêcher de nombreux cybercrimes. Un mot de passe de 6 lettres et plus fort qu’un mot de passe de 4 lettres, et un mot de passe de 10 lettres est encore     mieux. Le fait de rendre vos mots de passe plus complexes peut faire la     différence.
• Assurez la sécurité physique des appareils personnels et professionnels: gardez les portes extérieures et les salles de serveurs de fichiers verrouillées, et refusez l’entrée non autorisée aux étrangers. Si un pirate informatique peut entrer dans l’entreprise et s’asseoir à un poste de travail, il lui est beaucoup plus facile de pénétrer dans un réseau. Il est très important de     veiller à ce que personne ne franchisse les barrières de sécurité physique.
• Évaluation des risques: Comprenez ce qu’il faut protéger. Prenez des mesures proactives pour comprendre les menaces auxquelles votre organisation est confrontée et hiérarchisez vos efforts en vous concentrant sur les risques élevés et moyens.
• Sensibilisation à la sécurité: Vous devez également vous assurer que votre équipe et vous avez suivi toute la formation nécessaire. Il ne suffit pas de disposer de la technologie la plus récente pour vous protéger lorsque votre plus grand défaut peut être simplement une mauvaise gestion des mots de passe ou la façon dont vos collègues stockent les données. Savent-ils ce que l’on attend d’eux et     ce qui est permis? Engagez une conversation dans les commentaires ci-dessous.
• Mettez en place une stratégie: tout comme vous  prévoyez ce que vous ferez en cas d’incendie, assurez-vous de planifier ce que vous ferez avant, pendant et après une cyberattaque. La stratégie devrait complémenter les objectifs opérationnels et se concentrer sur l’amélioration continue.
• Utilisez des logiciels plus sécuritaires: Internet Explorer est le navigateur par défaut pour beaucoup, mais il existe des preuves indiquant que ce n’est pas l’option la plus sûre.

Essayons donc d’en faire un jeu plutôt qu’une réalité qui fait peur. Voici 2 jeux pour évaluer votre capacité à cerner les risques:

Pouvez-vous dire s’il s’agit d’un courriel d’hameçonnage?

Faites le test sur l’hameçonnage pour voir comment vous vous en sortez. Faites-nous savoir ce que vous avez fait dans la section commentaires!

Vous êtes directeur de l’information d’une entreprise mondiale qui s’apprête à lancer une toute nouvelle application de paiement. Dirigez le projet dans les dernières étapes avec une équipe complète dans Attaques Ciblées: le jeu.

Cours

• À rythme libre | Sensibilisation à la sécurité
• À rythme libre | À la découverte de la cybersécurité (DDN235)

Ressources

• Balado |Innover sur demande épisode 24 : La confiance
• Répondez aux questions de l’examen Pensez cybersécurité
• L’Autorité canadienne pour les enregistrements Internet | 2018 Sondage sur la Cybersécurité
• La Presse | Ottawa dévoile sa nouvelle politique de cybersécurité