Cybersécurité et littératie techno du personnel : pas juste une formalité !
La littératie technologique des employé.e.s est un pilier essentiel pour prévenir les intrusions et limiter les risques.
Pourtant, selon un rapport du gouvernement du Québec de 2023, 70 % des organisations canadiennes manquent de personnel qualifié en cybersécurité. Un chiffre alarmant quand on sait que « ce n’est pas une question de savoir si vous serez attaqué, mais quand cela arrivera », prévient Sylvain Saint Onge, directeur général de CompuTech.
Alors, comment amener la main-d'œuvre à saisir les enjeux de cybersécurité et à développer ses compétences avec la technologie ?
Comprendre les risques et les failles humaines
Les erreurs humaines restent l’une des principales failles de sécurité. Un simple clic sur un lien frauduleux peut suffire à compromettre des données sensibles.
En effet, la plupart des cyberattaques exploitent les failles humaines : phishing, usurpation d’identité, liens malveillants…
Définitions clés
- Phishing (hameçonnage) : Technique utilisée par des fraudeurs pour tromper une personne et lui soutirer des informations sensibles (mots de passe, numéros de carte bancaire) en se faisant passer pour une source de confiance (exemple : faux courriel d’une banque).
- Rançongiciel (ransomware) : Logiciel malveillant qui bloque l'accès aux données d'une entreprise ou d'un particulier en demandant une rançon pour les débloquer. Même en payant, les données peuvent rester compromises.
- Cyberattaque : Action malveillante visant les systèmes informatiques d’une organisation ou d’une personne, dans le but de voler, détruire ou compromettre des données. Elle peut se faire via des virus, de l’hameçonnage ou des rançongiciels.
Selon Jean-Philippe Racine, président de CyberSwat, c’est justement pour cela que les employé.e.s, premières cibles de ces stratégies malveillantes, doivent être conscient.e.s des risques numériques pour les neutraliser.
Les cybercriminels exploitent principalement les erreurs humaines pour pénétrer les systèmes, explique Stéphane Gagnon, professeur en technologie de l’information à l’Université du Québec en Outaouais.
« Une vigilance constante permet d’éviter les erreurs humaines qui fragilisent les protections, insiste Alina Dulipovici, professeure en sécurité de l'information à HEC Montréal. Une approche structurée, combinant formation, sensibilisation et bonnes pratiques, réduit considérablement leur vulnérabilité. »
Les erreurs courantes à éviter
Dans un contexte où le télétravail est généralisé, cette vigilance est d’autant plus cruciale. Certaines pratiques courantes fragilisent les systèmes d’information des entreprises. Parmi les mauvaises pratiques courantes :
- Utiliser des appareils personnels non sécurisés
- Se connecter à des réseaux Wi-Fi publics
- Ne pas vérifier l’authenticité des courriels avant de cliquer sur un lien
L’adoption de bonnes pratiques est essentielle. Encourager de simples réflexes peut faire toute la différence, insiste Jean-Philippe Racine. « Par exemple, privilégier un portail sécurisé plutôt que l'envoi de documents sensibles par courriel. »
Pour limiter les risques, des gestes simples peuvent avoir un impact considérable. « Fournir un ordinateur dédié et sécurisé aux collaborateur.ice.s est une solution simple, mais efficace », indique Sylvain Saint Onge.
« Former les employés aux bonnes pratiques en cybersécurité, c’est leur permettre de devenir un maillon fort d’un système sécurisé et résilient. Ce n’est pas une question de technicité, mais d’hygiène numérique et de vigilance au quotidien. »
- Stéphane Gagnon
Quelques stratégies efficaces pour former le personnel
Heureusement, la main-d’œuvre peut apporter sa pierre à l’édifice :
- Simulations d’hameçonnage : tester les réflexes des employé.e.s avec des campagnes internes de faux courriels d'hameçonnage.
- Formations interactives et gamification : des jeux et des modules immersifs facilitent l’apprentissage sans effet contraignant.
- Désigner des ambassadeur.ice.s de la cybersécurité : responsabiliser des employé.e.s référent.e.s pour relayer les bonnes pratiques.
- Formations continues et veille technologique : proposer régulièrement des formations adaptées aux nouvelles menaces et assurer une veille active pour ajuster les pratiques aux évolutions technologiques.
Certaines entreprises québécoises ont déjà mis en place des initiatives efficaces pour sensibiliser leur personnel. Par exemple :
- Eccentrix offre une formation gratuite en cybersécurité aux organisations, permettant à leurs employé.e.s d’acquérir des bases solides sur la prévention des menaces numériques.
- Cyber101 est une plateforme montréalaise qui propose aux organisations la possibilité de former gratuitement leur personnel aux meilleures pratiques en matière de cybersécurité, en anglais et en français.
- L’organisation Cybereco présente une formation en ligne intitulée « De la prévention à l'action » destinée aux entreprises québécoises, notamment aux individus spécialistes des TI.
Toutefois, pas toujours évident de sensibiliser le personnel sur ces enjeux sans les ennuyer ! Stéphane Gagnon propose de dynamiser l’intérêt des équipes de façon plus ludique.
« Pourquoi ne pas instaurer un.e « employé.e du mois » en cybersécurité par exemple ? Valoriser les bonnes pratiques au sein des équipes peut être une manière efficace d’ancrer cette vigilance dans le quotidien. »
Sécuriser les entreprises : entre outils technologiques et comportements responsables
Avant de mettre en place des stratégies de cybersécurité, il est indispensable de commencer par une évaluation des risques.
« Comprendre où se situent les vulnérabilités d'une entreprise permet d'adopter une approche ciblée et efficace. Investir dans la cybersécurité sans diagnostic préalable, c'est comme bâtir une maison sans plan », souligne pour sa part Jean-Philippe Racine.
Un audit initial permet non seulement de choisir les bonnes solutions technologiques, mais aussi d’adapter la formation des employé.e.s aux menaces les plus pertinentes pour l’organisation.
Des plateformes comme celle de CyberSwat permettent aux entreprises d’aller au-delà de la simple sensibilisation en proposant des formations interactives et des simulations d’hameçonnage adaptées aux risques actuels.
Favoriser une culture de vigilance numérique
Alina Dulipovici, quant à elle, met en lumière les évolutions technologiques qu’il faut surveiller de près.
« Les campagnes de sensibilisation doivent évoluer. Les cybercriminels utilisent désormais l’intelligence artificielle (IA) pour rendre leurs attaques plus sophistiquées. Plutôt que d’enseigner des règles fixes, il faut développer le réflexe du doute et encourager les employé.e.s à signaler tout ce qui leur semble suspect. »
Des outils essentiels
- Authentification multifactorielle et gestion des accès.
- Solutions de détection des menaces et mises à jour régulières.
- Formations continues adaptées aux évolutions des cyberattaques.
« Pour être éligibles aux assurances, les entreprises doivent prouver leur engagement en cybersécurité grâce à des mesures minimales comme l’authentification multifactorielle et des sauvegardes régulières », ajoute Alina Dulipovici.
L’implication des gestionnaires, un levier indispensable
Si les expert.e.s en TI assurent l’infrastructure, les gestionnaires doivent insuffler une culture de vigilance numérique à leurs équipes. Pour assurer la protection numérique, les gestionnaires doivent prendre conscience de leur rôle clé.
Une obligation légale de protéger les données
« En tant que gestionnaires, ils et elles sont responsables non seulement de protéger leurs propres données, mais aussi celles de leur organisation, des équipes et de leurs clients. C’est une obligation légale, notamment avec la loi 25 au Québec », rappelle Alina Dulipovici.
La loi 25, adoptée au Québec en 2021, accompagne les entreprises dans la protection et la gestion responsable des données personnelles. Elle impose un consentement explicite des utilisateur.ice.s, une notification rapide en cas de fuite et la désignation d'un responsable dédié. Cette réglementation vise à garantir une gestion transparente et sécurisée des données, tout en renforçant la confiance des clients.
Dans cette optique, des initiatives comme celle d’Aéro Montréal, soutenue par le ministère de l’Économie et de l’Innovation du Québec, accompagnent les entreprises dans la formation et l’obtention d’accréditations en cybersécurité, désormais exigées par de nombreux donneurs d’ordre.
Quelques points clés à retenir pour une protection optimale des données :
- Consentement explicite : Les entreprises doivent obtenir un accord clair et éclairé avant d'utiliser les données d'un utilisateur.
- Notification obligatoire : En cas de fuite ou d'incident, les personnes concernées doivent être informées rapidement.
- Responsabilité accrue : La loi exige la désignation d'un responsable de la protection des renseignements personnels au sein de chaque organisation.
Alina Dulipovici rappelle que malheureusement, un vol de données ne se limite pas à une simple fuite d’informations. « Il peut affecter la réputation d’une entreprise, nuire à sa position sur le marché et engendrer des coûts judiciaires et réglementaires. Certaines entreprises ne s’en relèvent jamais. »
L’attaque subie par Bombardier (BRP) en 2022 en est un exemple marquant : des pirates ont divulgué des informations sensibles, mettant en péril la position concurrentielle de l’entreprise.
En août 2022, BRP a subi une cyberattaque au cours de laquelle des pirates ont divulgué des informations sensibles, y compris des plans stratégiques de l'entreprise pour la décennie à venir. Cette fuite a potentiellement compromis la position concurrentielle de BRP en révélant des détails sur ses futurs produits et stratégies commerciales.
Source
Bonnes pratiques en cas d’attaque :
- Ne pas éteindre l’ordinateur pour faciliter l’analyse post-incident.
- Débrancher le réseau immédiatement.
- Ne jamais payer de rançon, car les données restent souvent compromises.
Les PME, des cibles sous-estimées
Contrairement aux idées reçues, les PME sont particulièrement vulnérables.
« Les PME pensent souvent qu’elles ne sont pas des cibles. C’est faux. Elles sont visées précisément parce qu’elles sont moins protégées que les grandes entreprises », avertit Jean-Philippe Racine, qui ajoute que le manque de ressources dédiées en cybersécurité en fait des proies idéales pour les cybercriminels.
La cybersécurité, c’est aussi un enjeu de compétitivité
Loin d’être une contrainte, une stratégie efficace de cybersécurité peut devenir un avantage concurrentiel majeur. En intégrant cette dimension à leur culture d’entreprise, les organisations renforcent leur résilience et inspirent confiance à leurs clients et partenaires.
« Les entreprises qui s’adaptent rapidement à ces enjeux en tirent un avantage concurrentiel majeur », croit Stéphane Gagnon.
Ressources utiles
- DIACC (Digital ID & Authentification Council of Canada) établit des normes pour l'identité numérique et la protection des données personnelles au Canada.
- L’Institut multidisciplinaire en cybersécurité (IMC²) est un centre de recherche québécois impliquant plusieurs universités, spécialisé en cybersécurité et sécurité numérique.
Vers une culture de la cybersécurité
La cybersécurité ne doit pas être perçue comme une contrainte, mais intégrée au quotidien des employé.e.s. Former le personnel en ce sens contribue également à augmenter ses compétences techniques, son agilité technologique et permet à l’ensemble de l’organisation de mieux appréhender les menaces de plus en plus sophistiquées.
« Sensibiliser en continu est essentiel pour ancrer les bons réflexes », observe Stéphane Gagnon.
En somme, la cybersécurité peut devenir un réflexe collectif, essentiel à la résilience numérique des entreprises !