Prévenir plutôt que guérir
Entourés que nous sommes d’outils technologiques de plus en plus performants pour protéger nos systèmes d’informations professionnels (firewalls, logiciels de cryptage, DMZ, antivirus, anti spams), la tentation est grande de se croire à l’abri.
Même si la technologie contrecarre la plupart des attaques informatiques classiques (hacking), cela ne suffit pas, car 80% des attaques informatiques ne sont pas classiques, mais le fait du social engineering (ingénierie sociale).
Le social engineering utilise une personne en l’attendrissant et en l’escroquant dans le but d'obtenir des renseignements exploitables sur le système d’information qu'elle utilise, voire pire, pour ouvrir une porte d’entrée sur son système informatique et/ou celui de son entreprise.
L’idée n’est pas de devenir complètement paranoïaque, mais dans un monde en perpétuel changement, mieux vaut prévenir que guérir. Et la meilleure prévention, c'est la sensibilisation. Sensibiliser chaque utilisateur de l'entreprise aux risques qu’il encourt et surtout qu’il fait encourir au système d’information.
Quels remèdes pour quels maux?
Nul besoin d’être un professionnel de l’informatique pour se protéger. Des gestes simples suffisent. Des attitudes prudentes et un comportement adéquat réduisent aussi les risques.
La plupart du temps, les employés ne savent pas et ne font pas consciemment une mauvaise action, ce dont profitent les hackers (pirates informatiques).
Malware, cheval de Troie, ver, phishing, hoax, ransomware et autres néologismes du monde technique... Ces menaces effraient le commun des mortels. Mais au fond, qu'importe de savoir qui fait quoi, comment reconnaitre une menace, ni même ses conséquences...
Bien réagir...
Ce qu’il faut, c’est savoir réagir, savoir identifier un risque potentiel.
Puis demander de l'aide au support informatique de son entreprise (Service Desk).
Exemples de question à se poser:
- "Est-ce normal que ce message me demande de me connecter à ce site?"
- "Est-ce que je peux ouvrir la facture jointe à cet e-mail sans risque?"
Attention: la demande d’aide doit précéder l’action, car, une fois le message douteux ouvert, il est déjà trop tard!
Pas qu'au bureau...
On oublie trop souvent que l’information ne se transmet pas qu’au format électronique dans le monde professionnel! En effet, qui n’a pas été témoin d’informations "pétillantes" entendues au cours d’un appel téléphonique passé dans le train, le bus ou le tram, ou encore au cours d’une conversation dans un restaurant?
Les journalistes aiment à laisser trainer l'oreille et le regard dans les trams, trains et restaurants bondés de femmes et d'hommes d'affaires, en quête d'un scoop pour leur prochaine une! De même que d'autres personnes moins bien intentionnées.
L’information est mobile...
Les smartphones, tablettes et clés USB sont très pratiques mais à manipuler avec précaution. Qui n’a jamais perdu une clé USB? Et surtout qui se rappelle de ce qu’il y avait dessus? L'information devient volatile et risque ainsi de se... volatiliser.
Et ça n’arrive pas qu’aux autres!
En 2013 déjà, l'émission TTC faisait état d'un vol de smartphone par heure à Genève!
Comment sensibiliser les employés?
En parlant, en échangeant des expériences, des exemples de l’actualité, en explicitant des situations potentiellement dangereuses pour le système d’information de l'entreprise et en expliquant comment bien réagir.
Cela ne sert à rien d’aborder des notions complexes, avec un vocabulaire trop technique. Il faut parler simple. Chaque jour, nous recevons quantité d'e-mails. Chaque jour, nous ouvrons des pièces jointes, au bureau, lors du repas sur sa tablette, à la maison sur son smartphone professionnel.
Dessin de Pier Paolo Pugnale, alias Pécub
Est-ce qu’on réagit bien dans toutes ces situations?
L’idée n’est pas de "ressasser" des grands principes, certes justes, mais souvent humainement irréalisables. Exemple: ne jamais écrire son mot de passe sur un bout de papier! Qui ne l’a jamais fait? En effet, comment faire pour aujourd’hui se rappeler du code de la carte de crédit/débit, du code de l’entrée du parking, de l’entrée de l’immeuble, de l’accès au natel et des 50 mots de passe différents que l’on a au bureau, à la maison, sur les sites d’achats en ligne, sur les réseaux sociaux, à la banque etc. – mots de passe qui doivent être changés à intervalles réguliers – des intervalles qui varient selon les cas, pour simplifier les choses.
Former court, mais juste...
Pour captiver l'attention des employés, il faut faire en sorte qu'ils se sentent concernés.
L’idéal? Des mini formations de 2 ou 3 heures, une fois par an (en guise de piqûre de rappel) pour échanger sur les thèmes d’actualité en matière de sécurité de l'information.
Suivant le nombre de collaborateurs, rassembler les gens autour d’une table n'est pas toujours chose facile. Pourquoi ne pas, dans ce cas, utiliser le potentiel de l'e-learning? Des contenus simples, ludiques et rapides qui rappellent les points importants...
L'affaire de tous!
Existe-t-il des lois pour les contrevenants? Oui, bien sûr, mais les délits sont tellement nombreux et les pirates tellement difficiles à attraper que très souvent la justice peine à entrer en matière, d'autant que les transgresseurs font fi des frontières.
Les hackers (pirates informatiques) osent tout, et plus c’est gros, plus ça marche!
Et de plus en plus souvent, l’attaque informatique est couplée avec un appel téléphonique préalable pour nous faire baisser notre garde. Mais non, se dit-on alors, ce n’est pas une arnaque, puisque je viens d’avoir le monsieur au téléphone! Mais au fait, quel monsieur?
Une seule règle est donc de rigueur: la PRUDENCE!
Prudence avec vos mots de passe, prudence avec les e-mails et leurs pièces jointes, prudence sur Internet, prudence avec les réseaux sociaux, prudence avec les appareils mobiles, prudence lors de vos communications dans les lieux publics, etc.
Faites de la sécurité de l’information un cheval de bataille pour votre entreprise!
Sensibilisez les nouveaux arrivants et lancez-leur des défis avec des quiz à réussir pour avoir droit à accéder à Internet! Au bureau, les bonnes pratiques quotidiennes s’apprennent aussi par le jeu: croissants pour tout le monde si on ne verrouille pas son poste de travail, etc. Et surtout, pour que ça marche, tout le monde doit jouer le jeu, de l’équipe dirigeante jusqu’au collaborateur.
La sécurité des informations de l’entreprise, c’est l’affaire de tous…
Sur le même thème...
Sur le même thème découvrez la news "Dix façon de vous faire e-piéger au bureau ou en dehors...".