sensibilisation-securite

Cybersécurité: 5 réflexes gagnants à adopter

On ne vous apprend rien, vous pouvez mettre en place toutes les mesures technologiques possibles, si vos employés n’ont aucune conscience du risque et n’adoptent pas les bons comportements, le cyberincident est plus proche que vous pouvez l’imaginer.

Le meilleur moyen de les aider est de les former. Pour ça, il existe une multitude de solutions: des formations en direct, des plateformes de sensibilisation, du coaching de votre part souvent difficile à réaliser par manque de temps.

Ceci étant dit, le but de cet article est de vous donner des conseils pour éduquer vos employés. Que vous ayez déjà une pratique en place ou non, c’est la répétition qui fonctionne en matière de sensibilisation. 

Voici un top 5 des bons comportements à adopter. Si vous voulez quelque chose de plus visuel à placarder dans vos bureaux, on a préparé une affiche téléchargeable (à la fin de l’article).

PS: Les gens en ont souvent marre de se faire dire quoi faire et de lire des procédures. Nos conseils sont présentés de façon originale pour qu’ils soient un peu plus le fun à lire et que vos employés aient envie de se rendre au bout pour vrai 😉

PS2: Une bonne stratégie serait d’envoyer un conseil par semaine à toute votre organisation – peu de temps pour le lire et plus de chance qu’ils assimilent le contenu qu’en lisant le tout en une seule fois.

Bonne lecture!

1. Un panda meurt dès que quelqu’un utilise le mot de passe 123456

Bingo, un des sujets qui doit t’écoeurer le plus: les mots de passe! 😃

C’est le plus grand pain en cybersécurité. Oui, tu en as marre de te faire répéter à longueur de temps que ton mot de passe doit être unique, faire 12 caractères minimum et inclure des caractères spéciaux, minuscules et majuscules. 

Premièrement, les experts ont changé leur fusil d’épaule: oublie les caractères et concentre toi sur la longueur. 

Un bon moyen de faire des mots de passe longs mémorables est la paraphrase, comme par exemple: Les-TI-me-tannent-avec-leurs-mots-de-passe. Celui-ci est parfait 😎

Pourquoi unique? Ce n’est pas de ta faute, mais il y a régulièrement des fuites de données de plateformes comme Adobe ou Linkedin. Si ton mot de passe (inviolable right?) est connu des hackers et que tu l’utilises ailleurs, ils pourront le deviner facilement. Oui vraiment facilement avec la méthode de « credential stuffing » qui permet de tester des milliers de combinaison de mot de passe en quelques minutes (un concept qui se dit bien en 5 à 7 😎).

Il n’y a pas 50 solutions pour bien gérer ses mots de passe (sauf si tu es capable d’apprendre des dizaines voir des centaines de paraphrases et de te rappeler à quel site web elles sont reliées): un gestionnaire de mots de passe (c’est un dauphin qui meurt à chaque fois que quelqu’un utilise un fichier excel pour noter ses mots de passe). Si ton organisation ne t’en offre pas, à ton tour d’aller tanner tes amis TI pour en demander un, ou alors tu peux prendre les devants et en utiliser un. Il en existe des gratuits. Nous vous recommandons fortement (payant): https://1password.com/fr.

2. Non Bertrand, tu n’as pas gagné un IPAD. Ne clique pas sur le lien!

On assume que tu sais ce qu’est un courriel de phishing (ou d’hameçonnage en bon québécois). Et on assume aussi que tu es écoeuré qu’on t’en parle encore… L’affaire, c’est que vu que tout le monde sait ce que c’est et ne veut plus en entendre parler, on penserait que c’est une technique désuète qui ne fonctionne plus, right? 

On te vole le punch, c’est encore un des vecteurs d’attaque les plus populaires. En 2022, 36% des fuites de données avaient pour origine un courriel de phishing (statistique qui se sort bien dans un 5 à 7 😎).

Pourquoi ça fonctionne encore? Les utilisateurs ne sont pas les seuls à s’être améliorés avec les années, les escrocs aussi. Il y a 10 ans, il était facile d’identifier un courriel frauduleux: adresse d’expéditeur étrange, 5 fautes d’orthographe par ligne minimum et un lien sur lequel même ton chat ne voudrait pas cliquer. De nos jours, ils sont écrits parfaitement, reproduisent à la lettre des courriels légitimes et même les liens et les urls, lus vite, peuvent paraître légitimes (go0gle.ca, mlcrosoft.com, etc.). Sans parler des tentatives de spoofing (quand l’escroc vient carrément usurper l’identité de l’expéditeur en utilisant vraiment son adresse courriel).

Alors, on fait une prière tous les matins? On n’ouvre plus ses courriels? 

Voici quelques réflexes qui peuvent t’aider pour vrai:

  • Si possible, ne clique jamais sur le lien: ouvre ton Teams, va sur le site de ta banque depuis ton navigateur, etc. Si le message est légitime, tu retrouveras les informations sur ton compte.
  • Context is key: pourquoi est-ce que tu reçois une facture alors que tu n’achètes rien? Pourquoi est-ce que cette entreprise te contacte alors que tu ne collabores pas avec? Ton président est en vacances, pourquoi il te parle d’un investissement urgent? Si le courriel ne fait pas de sens pour toi, tu as déjà un bon indice. Tu peux vérifier ensuite si tu ne vois pas d’autres éléments dans le courriel.
  • Décroche le téléphone: tu connais bien la personne qui t’a supposément envoyé le courriel, mais tu le trouves suspicieux: demande de changement d’informations bancaires, demande de reset de mots de passe, etc? Appelle la personne avec le numéro que tu as dans tes dossiers (pas celui du courriel) et valide.

Encore un doute? Transfère le courriel à tes amis TI, ils vont t’aider 🙂

3. Oui le canard est cute sur la clé USB, non ne la branche pas sur ton ordinateur

Tu as trouvé une clé USB sur le stationnement de ta job? Tu penses à ton collègue Marc qui panique peut-être en la cherchant désespérément car sa présentation power point est sur la clé USB. Le pauvre en a peut-être besoin pour 10h à sa rencontre hyper méga importante devant la haute direction. Tu es un collègue fantastique, donc tu t’empresses d’aller brancher la clé USB sur ton ordinateur pour voir le contenu et identifier la pauvre personne qui l’a égarée. 

NE BRANCHE JAMAIS UNE CLÉ USB TROUVÉE 

Une seule chose à faire: la ramener à tes amis TI pour qu’ils l’analysent, et aussi pour éviter que quelqu’un d’autre, de moins alerte que toi, fasse l’erreur de la brancher sur son ordinateur.

Pourquoi?

usb-rubber-ducky-1

Il est cute le canard sur la clé, right?

Cette clé USB, vendue en ligne pour à peine 79$, s’appelle une Rubber Ducky (on entre dans notre partie: ça se dit bien en 5 à 7). Elle ressemble à une clé USB bien standard, mais ton ordinateur va la reconnaître comme un nouveau clavier approuvé. Si on simplifie au maximum le concept, en insérant cette clé USB, c’est comme si vous laissiez votre clavier à un hacker. L’ordinateur lui fait confiance, il peut faire tout ce qu’il veut.

Ça, c’est la clé USB avancée, sans aller jusque là, n’importe quelle clé USB standard peut être infectée de virus ou autre code malveillant qui attend juste de trouver une victime.

4. Tu te sens observé? Tu l’es  👀

Le Wifi public, quelle merveilleuse invention! (Surtout tant que les opérateurs continuent à vendre leurs datas à prix d’or…)

On n’est pas les seuls à adorer le Wifi publics, les hackers aussi l’aiment, et plus que nous. Quand tu es au Starbuck, es-tu sûr à 100% d’utiliser le Wifi du café et pas un Wifi créé par un hacker? 

Les risques sont :

  • Toute personne derrière toi peut lire ce que tu affiches et regarder ce que tu tapes (rien à voir avec le Wifi mais si tu es entrain de regarder des rapports confidentiels, on s’entend que c’est pas l’idée du siècle).
  • Prêt pour ta notion #brilleren5à7? Un pirate pourrait utiliser l’attaque Evil Twin (oui, le nom est cool 😎). C’est radicalement efficace comme attaque: il vient créer un réseau Wifi avec le même nom (SSID) que celui de ton café, mettons Starbuck_Wifi. Si tu as l’habitude de te connecter au wifi de ce Starbuck, ton téléphone est intelligent et va se connecter tout seul. Sauf que si le Wifi du hacker est plus fort/proche que celui du Starbuck, c’est à celui-ci que ton téléphone va se connecter (même si ton téléphone ne le fait pas automatiquement, tu vas le sélectionner en pensant te connecter à celui du café). Il va donc pouvoir accéder à tout ce que tu vas faire: si tu te connectes à ton compte bancaire par exemple, il repart avec ton identifiant/mot de passe. Jackpot.

Donc, pas de Wifi public pour travailler (ou même en général).

Si tu dois l’utiliser, active TOUJOURS ton VPN. Pas de VPN? On peut partager la connexion de notre cellulaire à notre laptop 😉

5. Configuration des mises à jour Windows 7% effectué. N’éteignez pas votre ordinateur.

C’est probable que tu aies peu de contrôle sur les mises à jour de tes logiciels et applications, car gérées par tes amis TI. Mais tu as sûrement un rôle à jouer dans la mise à jour de ton navigateur web, de ton laptop et de ton cellulaire. Nos pensées sont avec toi quand Microsoft met 45 minutes à faire la mise à jour*, mais c’est pour ton bien 🥺

Pourquoi c’est important? Les mises à jour contiennent souvent des patchs de sécurité qui corrigent les nouvelles vulnérabilités que les hackers exploitent activement. 

Comme on aime ça te faire briller en société, on va te parler d’un autre concept qui se plugue bien en 5 à 7, celui des vulnérabilités Zero day: 

« Une vulnérabilité zero-day ou 0-day (en anglais zero-day vulnerability) désigne une faille de sécurité informatique dont l’éditeur du logiciel ou le fournisseur de service n’a pas encore connaissance, ou qui n’a pas encore reçu de correctif. Par extension, on parle d’exploitation zero-day (zero-day exploit) lorsque ce type de faille est utilisé par des cyberdélinquants pour lancer des attaques contre des installations vulnérables. »

Suite à l’exploitation d’une vulnérabilité Zero Day, et donc de sa découverte, l’entreprise (comme Microsoft) se lance dans une course contre la montre pour trouver un correctif et le rendre disponible à ses utilisateurs via une mise à jour. Tant que ce n’est pas fait, c’est open bar pour les hackers qui peuvent exploiter cette faille comme bon leur semble.

Pour ta culture générale, sache qu’il existe un vaste marché noir de vulnérabilités Zero Day estimés à plusieurs milliards de dollars. Les gouvernements sont les principaux acheteurs: ils achètent un stock de vulnérabilités et les gardent pour les utiliser contre leurs ennemis plutôt que de les signaler aux entreprises (oui, même vis-à-vis de Google, Apple ou Microsoft, entreprises américaines…). C’est un sujet fascinant. Si tu es intrigué, voici des idées de lecture et d’écoute (tu vas vite tomber dans le rabbit hole 😅):

* Quand vous voulez envoyer dans le mur votre ordinateur Windows qui se met à jour, prenez une grande inspiration et écoutez cette vidéo, ça va aller mieux 😉: https://www.youtube.com/watch?v=xDLvUqhwHZc


Voilà pour la version écrite! 

Encore une fois, si vous envoyez chaque conseil sous la forme d’un courriel à vos employés chaque semaine, on pense que c’est la formule gagnante. 

Comme promis en début d’article, vous pouvez télécharger l’affiche à coller partout dans vos bureaux (oui dans le bureau du président aussi, surtout même) ici:

Si le format plait, on va revenir avec une deuxième édition d’autres conseils pour vos employés (ne pas envoyer de renseignements confidentiels par courriel, parler un peu plus de la fraude du président et du fournisseur, etc.).

Donc si vous utilisez nos conseils, partagez nous votre avis svp 🙂

Si en plus vous avez des commentaires de vos employés, on est vraiment curieux d’avoir leur feedback!

Pour être informé de la publication de nos futures articles ou de la découverte de vulnérabilités majeures, vous pouvez nous suivre sur nos réseaux sociaux :

Peace & bonne lecture! ✌️

Cyndie & Nicholas

    Why Yack?

    First, for those of you who don't know, the yak is an animal. The energy it radiates (chill with its toupee, but we wouldn't want to piss it off with its horns...) represents us well, and the nerdiest among you might see the little nod to Linux 😉. Of course, Yack's resemblance to Hack is no mere coincidence. It's also a short, punchy name that, once again, sounds like us. Finally, it's a word that earns you 24 points in Scrabble (hello Office de la langue française). Why did you choose .one? In offensive security, all it takes is one attack..."
    A little more about us

    "Pourquoi Yack?

    First, pour ceux qui ne le savent pas, le yack est un animal. L'énergie qu'il dégage (chill avec son toupet, mais on ne voudrait pas l'énerver avec ses cornes...) nous représente bien, et les plus nerds d'entre vous verront peut-être le petit clin d'œil à Linux 😉. Bien sûr, la ressemblance de Yack avec Hack n'est pas une simple coïncidence. C'est aussi un nom court, qui punch, et qui encore une fois, nous ressemble. Enfin, c'est un mot qui te rapporte 24 points au scrabble (bonjour office de la langue française). Pourquoi avoir choisi .one? En sécurité offensive, il suffit d'une (one) attaque..."
    Un peu plus sur nous