Quand l’on pense à la sécurité informatique, on pense souvent à des dispositifs complexes, qu’il faut mettre à jour régulièrement en fonction de l’avancement technologique des pirates. Or, il y a autre chose…
Lors de la plus récente édition de la Boule de Cristal du CRIM, le Centre de recherche informatique de Montréal a présenté une demi-journée thématique sur la sécurité informatique.
Le premier conférencier à prendre la parole fut Greg Garcia, Secrétaire adjoint à la cybersécurité et aux communications électroniques, au US Department of Homeland Security. M. Garcia a mentionné qu’en matière de sécurité informatique, la technologie n’est pas suffisante. Il y a trois éléments nécessaires.
Il a parlé de People, Process and Technology, les personnes, les processus et la technologie. Notons que les personnes sont nommées en premier.
Selon M. Garcia, il faut bâtir chez les personnes, d’une entreprise ou d’une organisation, une culture de la sécurité. Celle-ci passe selon lui par une prise de conscience des questions en jeu, et par la mise en place de processus de sécurité.
J’entends déjà certains commentaires. Notre société actuelle, surtout si on la compare à celle de la génération précédente, n’est-elle pas déjà assez obsédée par la sécurité ? Casques pour le vélo et pour le ski alpin, sièges d’auto pour bambins, portes toujours verrouillées, nos parents ont très bien survécu à l’absence de toutes ces mesures, n’est-ce pas? J’abonde personnellement dans le même sens : j’ai moi-même trouvé que M. Garcia parlait un peu trop souvent de « ceux qui nous veulent du mal » .
Néanmoins, il avait bien raison lorsqu’il disait que les manières actuelles de communiquer sont bien différentes de celles qui étaient utilisées il y a quelques années. Pensons-y : seulement au niveau du téléphone, puis au niveau des communications écrites. On ne peut nier que la quantité de brèches potentielles a augmenté.
Qu’est-ce que créer une culture de la sécurité informatique? À mon sens, cela signifie que tous les employés d’une compagnie, tous les membres d’une organisation, puissent reconnaître des problèmes de sécurité de base. Ils peuvent reconnaître une porte ouverte qui devrait être fermée, un classeur mal verrouillé? Et bien ils devraient pouvoir reconnaître des risques de base en matière de sécurité informatique.
Un exemple
Un client, que nous nommerons Jean-Claude, m’a raconté récemment qu’il avait reçu un courriel d’hameçonnage, identifié au nom de son institution financière, l’avisant qu’un problème était survenu quant à un de ses comptes. Il devait régler ce problème immédiatement en cliquant sur le lien qui était proposé, puis en soumettant son code-client et son mot de passe.
Il a cependant eu la puce à l’oreille, car le problème évoqué lui semblait impossible et quand il survolait de son curseur le lien (sans cliquer, évidemment), l’adresse apparaissant au bas de l’écran était quelque chose comme « DigitalParadise23.com ». Or, il estimait que les chances qu’une grande banque canadienne utilise un nom de domaine comme « DigitalParadise23.com » étaient bien minces.
Voulant être un bon citoyen dans l’univers de la sécurité informatique, il a fait parvenir à sa directrice de compte le courriel en question, avec une note du genre: « j’ai pensé que vous voudriez voir ceci ».
La réponse de la directrice de compte fut : « Pourquoi? ». Notamment, elle n’a pas eu le réflexe de vérifier s’il y avait bel et bien eu un problème quant au compte.
Jean-Claude, par retour de courriel, lui a demandé de valider le « problème » survenu dans le compte. Elle répondit que s’il avait reçu ce courriel par erreur, elle s’excusait au nom de l’employé de la Banque qui le lui avait envoyé.
Il lui suggéra ensuite par téléphone de placer son curseur, sans cliquer, sur le lien proposé à l’intérieur du courriel d’hameçonnage, et de voir ce qui s’y passait. Elle lui répondit, un peu agacée, qu’elle ne voyait rien de spécial.
Il lui a ensuite demandé de transmettre le courriel aux responsables de la sécurité informatique de la Banque. Elle l’a fait presque à contre-cœur. Jean-Claude a par la suite reçu un chaleureux courriel de remerciements d’un enquêteur de la Banque.
Jean-Claude s’est dit que c’était la dernière fois qu’il gaspillait ainsi son temps.
Nécessaire prise de conscience
La façon dont la directrice de compte a réagi est fort probablement le genre de situation que Greg Garcia évoquait, qu’il trouvait essentiel d’éviter.
Une formation sera certes utile pour favoriser une sensibilisation; mais il faudra un suivi régulier, (un bulletin, un courriel, des rencontres?) pour que les employés ou les membres de l’organisation fassent de la sécurité informatique une partie de leur quotidien.
Cette prudence, cette prise de conscience, ce n’est pourtant rien de nouveau dans le monde non-virtuel. Après tout, en droit civil québécois, on impose à la personne qui subit un dommage de démontrer qu’elle a été raisonnablement prudente avant de réclamer un dédommagement. Une dame qui se plaint du mauvais état du trottoir où elle est tombée devra expliquer pourquoi elle portait des talons de 10 cm par un jour de verglas.
Il est maintenant temps de transmettre cette culture, cette prise de conscience, cette façon de penser, au monde virtuel.
Michel A. Solis est avocat, arbitre et médiateur. Il oeuvre dans le secteur des TI depuis bientôt 20 ans.
