Cybersécurité : conseils d’experts pour mieux vous protéger

Tout ce que nous faisons à la maison ou au travail est touché par les technologies. Nous passons de plus en plus de temps en ligne : applications mobiles, médias sociaux, courriels, achats en ligne, télétravail. Ces technologies omniprésentes sont très utiles à plusieurs niveaux, toutefois, elles peuvent également nous causer beaucoup de tracas. En fait, nous sommes tous concernés, le milieu des affaires, les grandes organisations, les commerçants en ligne, etc. En tant que personnes utilisatrices de ces technologies, nous devons adopter de bons comportements.

Sylvana Al Baba Douaihy et Pierre-Martin Tardif, tous deux spécialistes  en cybersécurité et personnes formatrices au Centre universitaire de formation continue de l’Université de Sherbrooke, expliquent, lors d’un entretien, la formation qu’ils offriront ensemble : La cybersécurité pour tous : nos comportements au quotidien.

Qu’est-ce que la cybersécurité ?

Mme Al Baba Douaihy définit la cybersécurité comme étant l’ensemble des éléments techniques, technologiques, organisationnels et humains qui sont mis en place pour faire face aux cyberattaques et aux incidents dans le domaine numérique. La cybersécurité concerne non seulement la technologie, mais également le comportement humain. Elle souligne la valeur de revoir nos façons de faire pour éviter les incidents : « Le facteur humain est très important lorsqu’il est question de sécurité. »

Phénomène en croissance

Selon M. Tardif, le phénomène de la cybersécurité prend de l’ampleur. Toutes les sources d’information peuvent s’avérer payantes pour un pirate. « L’information devient accessible au monde entier. Le fait d’être interconnecté nous met face à des problèmes d’accès à des informations sensibles. » De surcroit, avec la pandémie et l’avènement du télétravail, le périmètre de sécurité des organisations est chamboulé. Ces dernières doivent composer avec de nouveaux risques. « L’information est la source la plus chère, la plus couteuse, la plus recherchée. Les conséquences sont graves : pertes financières, perturbations opérationnelles, atteintes à la réputation. », soutient Mme Al Baba Douaihy.

Mesures gouvernementales en faveur de la cybersécurité

En septembre 2021, la croissance des attaques a incité le gouvernement québécois à adopter le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels qui introduit des modifications importantes à la législation en matière de protection des renseignements personnels dans les secteurs privé et public. La loi entrera progressivement en vigueur au cours des trois prochaines années. Mme Al Baba Douaihy soulève l’importance pour les entreprises de comprendre les changements apportés par ce projet de loi, les sanctions qui y sont associées et les principales exigences pour s’y conformer. « Les entreprises doivent se préparer dès maintenant. »

Tant au Canada qu’ailleurs dans le monde, le nombre d’incidents de cybersécurité ne cesse de croître. Depuis le 1er novembre 2018, les entreprises sont assujetties à un règlement sur la déclaration obligatoire d’atteintes à la vie privée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale relative à la protection des renseignements personnels applicable au secteur privé au Canada. Le nombre de déclarations auprès du Commissariat à la protection de la vie privée du Canada depuis 2018 s’est multiplié par six.

Mot d’ordre : PRÉVENTION

En décrivant la situation actuelle, Pierre-Martin Tardif souligne le manque de formation. « Les technologies évoluent rapidement et nous avons peine à suivre cette évolution sur la meilleure façon de se comporter. Il y a un manque de formation sur les comportements à adopter. » Pour les deux spécialistes, beaucoup de sensibilisation est à faire.

Pour illustrer ses propos, M. Tardif donne l’exemple de la prévention des incendies. « Identifier les zones à risque et mettre en place les moyens de prévention qui s’appliquent pour réduire ou contrôler les risques, c’est faire preuve de prévoyance. Au même titre que de se protéger contre un incendie, il faut planifier ce qui devra être fait dans l’éventualité d’une cyberattaque en préparant un plan de sécurité et en adoptant les bons comportements. Or, on constate présentement un manque de formation à ce niveau. »

« Malheureusement, dans la grande majorité des cas, les organisations ne disposent pas d’un plan d’intervention lorsque survient un cyberincident. », ajoute Mme Al Baba Douaihy.

Selon l’Étude sur les tendances en matière de cybersécurité au Canada :
- Plus de la moitié (53 %) des organisations victimes d’un rançongiciel ont choisi de payer une rançon;
- Seulement 29 % des organisations confrontées à un cyberincident disposaient d’un plan d’intervention efficace.
Source : Blake, Cassels & Graydon, Canada LLP Canada, 14 mai 2020

Objectifs visés par les formateurs

Lors de leur formation, les deux formateurs souhaitent sensibiliser les personnes participantes à l’importance de se protéger en adoptant ce qu’ils appellent une « cyberhygiène ». Dans cette perspective, leur formation vise à outiller ces personnes afin de développer chez elles des pratiques préventives pour la protection de leurs données personnelles et des systèmes d’information dans leur milieu de travail.

Lors de cette formation, différentes catégories d’outils seront présentées, tant les outils liés à l’utilisation d’appareils, d’équipements technologiques que ceux pour résister aux influences extérieures, par exemple, aux attaques de piratage psychologiques (hameçonnage, appels téléphoniques, etc.). La vulgarisation de la cybersécurité et ses enjeux seront omniprésents pendant la formation.

Clientèles attendues

« Les participants n’ont pas besoin d’une connaissance des technologies pour assister à la formation. Notre but est d’être le plus concret et accessible que possible. Peu importe le profil du participant, tous vont trouver leur compte. », explique M. Tardif.

Cette formation s’adresse autant aux gestionnaires d’organisations qu’aux individus puisque le point commun est d’adopter un bon comportement, qu’on soit en entreprise ou à la maison. À la fin de la formation, la personne participante pourra comprendre l’importance de la cybersécurité dans sa vie de tous les jours, au travail et à la maison et saura comment prévenir les risques, car elle aura adopté de bonnes habitudes.

Les personnes formatrices

Sylvana Al Baba Douaihy, Ph.D

Détient un Master en génie informatique. Elle est coordonnatrice générale de la Chaire UNESCO en prévention de la radicalisation et de l’extrémisme violents. Elle enseigne le cyberterrorisme à l’École supérieure d’études internationales de l’Université Laval et au programme de formation continue en cybersécurité et sécurité intégrée au Cégep de Sherbrooke. Auparavant, elle était agente de planification de programmes de sécurité aux Services de sécurité et d’enquête de Postes Canada.

Pierre-Martin Tardif, Ph.D

Professeur agrégé à l’École de gestion de l’Université de Sherbrooke et formateur au Centre universitaire de formation continue. Il se spécialise en cybersécurité, autant du point de vue de la gouvernance, de l’audit que des systèmes de détection d’intrusion. C’est d’ailleurs son souci de démocratiser les connaissances dans ce domaine qui l’a amené à se spécialiser en cybersécurité.