On ne vous apprend rien, vous pouvez mettre en place toutes les mesures technologiques possibles, si vos employés n’ont aucune conscience du risque et n’adoptent pas les bons comportements, le cyberincident est plus proche que vous pouvez l’imaginer.
Le meilleur moyen de les aider est de les former. Pour ça, il existe une multitude de solutions: des formations en direct, des plateformes de sensibilisation, du coaching de votre part souvent difficile à réaliser par manque de temps.
Ceci étant dit, le but de cet article est de vous donner des conseils pour éduquer vos employés. Que vous ayez déjà une pratique en place ou non, c’est la répétition qui fonctionne en matière de sensibilisation.
Voici un top 5 des bons comportements à adopter. Si vous voulez quelque chose de plus visuel à placarder dans vos bureaux, on a préparé une affiche téléchargeable (à la fin de l’article).
PS: Les gens en ont souvent marre de se faire dire quoi faire et de lire des procédures. Nos conseils sont présentés de façon originale pour qu’ils soient un peu plus le fun à lire et que vos employés aient envie de se rendre au bout pour vrai 😉
PS2: Une bonne stratégie serait d’envoyer un conseil par semaine à toute votre organisation – peu de temps pour le lire et plus de chance qu’ils assimilent le contenu qu’en lisant le tout en une seule fois.
Bonne lecture!
Bingo, un des sujets qui doit t’écoeurer le plus: les mots de passe! 😃
C’est le plus grand pain en cybersécurité. Oui, tu en as marre de te faire répéter à longueur de temps que ton mot de passe doit être unique, faire 12 caractères minimum et inclure des caractères spéciaux, minuscules et majuscules.
Premièrement, les experts ont changé leur fusil d’épaule: oublie les caractères et concentre toi sur la longueur.
Un bon moyen de faire des mots de passe longs mémorables est la paraphrase, comme par exemple: Les-TI-me-tannent-avec-leurs-mots-de-passe. Celui-ci est parfait 😎
Pourquoi unique? Ce n’est pas de ta faute, mais il y a régulièrement des fuites de données de plateformes comme Adobe ou Linkedin. Si ton mot de passe (inviolable right?) est connu des hackers et que tu l’utilises ailleurs, ils pourront le deviner facilement. Oui vraiment facilement avec la méthode de « credential stuffing » qui permet de tester des milliers de combinaison de mot de passe en quelques minutes (un concept qui se dit bien en 5 à 7 😎).
Il n’y a pas 50 solutions pour bien gérer ses mots de passe (sauf si tu es capable d’apprendre des dizaines voir des centaines de paraphrases et de te rappeler à quel site web elles sont reliées): un gestionnaire de mots de passe (c’est un dauphin qui meurt à chaque fois que quelqu’un utilise un fichier excel pour noter ses mots de passe). Si ton organisation ne t’en offre pas, à ton tour d’aller tanner tes amis TI pour en demander un, ou alors tu peux prendre les devants et en utiliser un. Il en existe des gratuits. Nous vous recommandons fortement (payant): https://1password.com/fr.
On assume que tu sais ce qu’est un courriel de phishing (ou d’hameçonnage en bon québécois). Et on assume aussi que tu es écoeuré qu’on t’en parle encore… L’affaire, c’est que vu que tout le monde sait ce que c’est et ne veut plus en entendre parler, on penserait que c’est une technique désuète qui ne fonctionne plus, right?
On te vole le punch, c’est encore un des vecteurs d’attaque les plus populaires. En 2022, 36% des fuites de données avaient pour origine un courriel de phishing (statistique qui se sort bien dans un 5 à 7 😎).
Pourquoi ça fonctionne encore? Les utilisateurs ne sont pas les seuls à s’être améliorés avec les années, les escrocs aussi. Il y a 10 ans, il était facile d’identifier un courriel frauduleux: adresse d’expéditeur étrange, 5 fautes d’orthographe par ligne minimum et un lien sur lequel même ton chat ne voudrait pas cliquer. De nos jours, ils sont écrits parfaitement, reproduisent à la lettre des courriels légitimes et même les liens et les urls, lus vite, peuvent paraître légitimes (go0gle.ca, mlcrosoft.com, etc.). Sans parler des tentatives de spoofing (quand l’escroc vient carrément usurper l’identité de l’expéditeur en utilisant vraiment son adresse courriel).
Alors, on fait une prière tous les matins? On n’ouvre plus ses courriels?
Voici quelques réflexes qui peuvent t’aider pour vrai:
Encore un doute? Transfère le courriel à tes amis TI, ils vont t’aider 🙂
Tu as trouvé une clé USB sur le stationnement de ta job? Tu penses à ton collègue Marc qui panique peut-être en la cherchant désespérément car sa présentation power point est sur la clé USB. Le pauvre en a peut-être besoin pour 10h à sa rencontre hyper méga importante devant la haute direction. Tu es un collègue fantastique, donc tu t’empresses d’aller brancher la clé USB sur ton ordinateur pour voir le contenu et identifier la pauvre personne qui l’a égarée.
NE BRANCHE JAMAIS UNE CLÉ USB TROUVÉE
Une seule chose à faire: la ramener à tes amis TI pour qu’ils l’analysent, et aussi pour éviter que quelqu’un d’autre, de moins alerte que toi, fasse l’erreur de la brancher sur son ordinateur.
Pourquoi?
Il est cute le canard sur la clé, right?
Cette clé USB, vendue en ligne pour à peine 79$, s’appelle une Rubber Ducky (on entre dans notre partie: ça se dit bien en 5 à 7). Elle ressemble à une clé USB bien standard, mais ton ordinateur va la reconnaître comme un nouveau clavier approuvé. Si on simplifie au maximum le concept, en insérant cette clé USB, c’est comme si vous laissiez votre clavier à un hacker. L’ordinateur lui fait confiance, il peut faire tout ce qu’il veut.
Ça, c’est la clé USB avancée, sans aller jusque là, n’importe quelle clé USB standard peut être infectée de virus ou autre code malveillant qui attend juste de trouver une victime.
Le Wifi public, quelle merveilleuse invention! (Surtout tant que les opérateurs continuent à vendre leurs datas à prix d’or…)
On n’est pas les seuls à adorer le Wifi publics, les hackers aussi l’aiment, et plus que nous. Quand tu es au Starbuck, es-tu sûr à 100% d’utiliser le Wifi du café et pas un Wifi créé par un hacker?
Les risques sont :
Donc, pas de Wifi public pour travailler (ou même en général).
Si tu dois l’utiliser, active TOUJOURS ton VPN. Pas de VPN? On peut partager la connexion de notre cellulaire à notre laptop 😉
C’est probable que tu aies peu de contrôle sur les mises à jour de tes logiciels et applications, car gérées par tes amis TI. Mais tu as sûrement un rôle à jouer dans la mise à jour de ton navigateur web, de ton laptop et de ton cellulaire. Nos pensées sont avec toi quand Microsoft met 45 minutes à faire la mise à jour*, mais c’est pour ton bien 🥺
Pourquoi c’est important? Les mises à jour contiennent souvent des patchs de sécurité qui corrigent les nouvelles vulnérabilités que les hackers exploitent activement.
Comme on aime ça te faire briller en société, on va te parler d’un autre concept qui se plugue bien en 5 à 7, celui des vulnérabilités Zero day:
« Une vulnérabilité zero-day ou 0-day (en anglais zero-day vulnerability) désigne une faille de sécurité informatique dont l’éditeur du logiciel ou le fournisseur de service n’a pas encore connaissance, ou qui n’a pas encore reçu de correctif. Par extension, on parle d’exploitation zero-day (zero-day exploit) lorsque ce type de faille est utilisé par des cyberdélinquants pour lancer des attaques contre des installations vulnérables. »
Suite à l’exploitation d’une vulnérabilité Zero Day, et donc de sa découverte, l’entreprise (comme Microsoft) se lance dans une course contre la montre pour trouver un correctif et le rendre disponible à ses utilisateurs via une mise à jour. Tant que ce n’est pas fait, c’est open bar pour les hackers qui peuvent exploiter cette faille comme bon leur semble.
Pour ta culture générale, sache qu’il existe un vaste marché noir de vulnérabilités Zero Day estimés à plusieurs milliards de dollars. Les gouvernements sont les principaux acheteurs: ils achètent un stock de vulnérabilités et les gardent pour les utiliser contre leurs ennemis plutôt que de les signaler aux entreprises (oui, même vis-à-vis de Google, Apple ou Microsoft, entreprises américaines…). C’est un sujet fascinant. Si tu es intrigué, voici des idées de lecture et d’écoute (tu vas vite tomber dans le rabbit hole 😅):
* Quand vous voulez envoyer dans le mur votre ordinateur Windows qui se met à jour, prenez une grande inspiration et écoutez cette vidéo, ça va aller mieux 😉: https://www.youtube.com/watch?v=xDLvUqhwHZc
Voilà pour la version écrite!
Encore une fois, si vous envoyez chaque conseil sous la forme d’un courriel à vos employés chaque semaine, on pense que c’est la formule gagnante.
Comme promis en début d’article, vous pouvez télécharger l’affiche à coller partout dans vos bureaux (oui dans le bureau du président aussi, surtout même) ici:
Si le format plait, on va revenir avec une deuxième édition d’autres conseils pour vos employés (ne pas envoyer de renseignements confidentiels par courriel, parler un peu plus de la fraude du président et du fournisseur, etc.).
Donc si vous utilisez nos conseils, partagez nous votre avis svp 🙂
Si en plus vous avez des commentaires de vos employés, on est vraiment curieux d’avoir leur feedback!
Pour être informé de la publication de nos futures articles ou de la découverte de vulnérabilités majeures, vous pouvez nous suivre sur nos réseaux sociaux :
Peace & bonne lecture! ✌️
Cyndie & Nicholas