Protéger les appareils informatiques et les données
Avez-vous déjà laissé votre ordinateur portable ou votre cellulaire sans surveillance dans un lieu public? Vous n’en avez sans doute pas fait grand cas, mais vous avez alors joué avec le feu sans le savoir : même si cette situation peut sembler anodine, elle aurait en effet pu avoir de graves conséquences sur votre cybersécurité.
Voyons pourquoi il est important de protéger vos appareils informatiques et comment prévenir les possibles cyberattaques.
Accès physique = possible compromission
Une personne qui a accès à votre ordinateur portable ou à votre cellulaire n’a besoin que de quelques minutes pour lire vos messages, accéder à vos données et documents, les modifier et les voler, ou même installer un maliciel et compromettre vos comptes. Et le simple fait de brancher une clé USB, d’exécuter un script ou d’installer un maliciel à partir d’un site Web malveillant peut offrir une porte d’entrée aux pirates informatiques, qui peuvent ensuite notamment usurper votre identité et envoyer des messages à partir de votre compte. En protégeant vos appareils contre le vol, vous protégez également vos renseignements personnels.
Intéressons-nous de plus près aux conséquences des mauvaises pratiques en matière de cybersécurité, à la fois pour vous et votre organisation.
[Le texte « Canadian Centre for Cyber Security | Centre canadien pour la cybersécurité » s’affiche à l’écran.]
[Le texte « Canada School of Public Service | École de la fonction publique du Canada » s’affiche à l’écran.]
L’erreur d’Abbas
De nombreuses cybermenaces sont opportunistes. Les auteurs de cybermenace tirent profit de circonstances qui leur sont utiles.
[Un ordinateur accompagné de trois points de connexion, un ordinateur portable et un système d’information apparaissent et une pile d’argent se trouve entre ceux-ci. Des icônes de cibles apparaissent alors sur chaque objet.]
L’information et les systèmes de TI sont importants. Les vulnérabilités évidentes ou les cibles faciles sont souvent exploitées, comme dans le cas de l’erreur commise par Abbas.
[Abbas, lunettes et cheveux bouclés, apparaît.]
Voici Abbas.
[ÉCRAN DIVISÉ : Abbas travaille avec son collègue au même bureau; de l’autre côté, il travaille à son bureau chez lui. Abbas travaille parfois au bureau, parfois à la maison. Un ordinateur portable avec un écran indiquant « Aucune connexion, Internet », qui passe ensuite à un écran avec un dossier de fichiers. Un pointeur apparaît et clique sur le dossier, puis sur l’icône de téléchargement. Quatre dossiers apparaissent avec l’icône de téléchargement sur ceux-ci.]
Il est parfois incapable de se connecter au réseau du travail. Il a donc pris l’habitude de copier les fichiers sur son bureau, afin de pouvoir y travailler à partir de la maison, même s’il n’a pas de connexion.
[Abbas se tient à côté de sa voiture blanche, qu’il verrouille, puis s’éloigne.]
Un vendredi, Abbas retourne à la maison et laisse son ordinateur portable sur le siège arrière de sa voiture.
[La nuit, un voleur en tenue de cambrioleur apparaît avec une lampe de poche et brise la vitre de la voiture. Il s’enfuit ensuite avec le sac contenant son ordinateur portable.]
Un voleur s’introduit dans sa voiture durant la fin de semaine et s’empare de son ordinateur portable du travail.
[Deux auteurs de menace s’agenouillent près du sac d’ordinateur portable et sortent une note autocollante sur laquelle sont écrits des mots de passe. Un écran d’ordinateur portable montre l’ouverture d’un cadenas et l’apparition de nombreux dossiers de fichiers.]
Les auteurs de menace mettent la main sur une liste de mots de passe dans le sac du portable et réussissent ainsi à obtenir les données conservées sur son portable, y compris des documents de RH sur lesquels travaillait Abbas, ainsi que des centaines de fichiers personnels d’employés qui sont de nature sensible.
[Abbas a un air paniqué tandis que son superviseur le réprimande; ses collègues sont à leurs bureaux et travaillent en arrière-plan.]
Le ministère où travaille Abbas doit déterminer l’information qui a disparu lorsque l’ordinateur portable a été volé.
[ÉCRAN DIVISÉ : Un homme panique après avoir découvert que ses renseignements ont été volés; un écran d’ordinateur portable affiche un courriel avec la description « Comment vous protéger après une atteinte à la vie privée ».]
Les membres du personnel dont les renseignements personnels étaient conservés sur le portable doivent être avisés de la fuite de renseignements personnels, ainsi que de la nécessité de se protéger davantage en raison d’un risque accru de fraude et de vol d’identité.
[Une employée est interrogée à propos de l’incident.]
Certains membres du personnel touchés parlent à la presse à ce sujet.
[Une liste de points apparaît.]
Abbas aurait pu protéger son ministère et le personnel en suivant la ligne de conduite de l’organisme concernant la gestion des actifs et de l’information du gouvernement. Et ceci même lorsqu’il travaille à partir de la maison avec son ordinateur portable. Il aurait pu parler à quelqu’un concernant l’adoption de solutions de rechange conformes, plutôt que de contourner les mesures de protection.
[Des crochets verts apparaissent sur les points. Une main écrit les mots de passe sur une note autocollante à côté d’un ordinateur portable dont l’écran est vide. Une icône rouge « pouce vers le bas » apparaît sur l’écran de l’ordinateur portable.]
Il ne faut jamais oublier que c’est toujours une mauvaise idée d’écrire ses mots de passe et de laisser la liste près de son dispositif.
Bien qu’il s’agisse d’une histoire inventée, sachez que le gouvernement du Canada a dû réparer le tort causé par ce type d’erreur. Ne commettez pas la même erreur qu’Abbas.
[Cette vidéo a été créée conjointement par : Canadian Centre for Cyber Security | Centre canadien pour la cybersécurité, Canada School of Public Service | École de la fonction publique du Canada.]
[Le logo du gouvernement du Canada apparaît.]
Conseils pour protéger vos appareils informatiques
- Lorsque vous n’utilisez pas votre cellulaire ou votre ordinateur portable, rangez-le dans un endroit sûr, comme une pièce, un tiroir ou une armoire qu’il est possible de verrouiller. Ne laissez pas vos appareils sans surveillance dans votre voiture ou un lieu public comme l’a fait Abbas. Au travail, verrouillez votre ordinateur portable lorsque vous devez vous éloigner de votre bureau. Les portes verrouillées, les lecteurs de carte d’identité, les cartes d’accès, les caméras de télévision en circuit fermé et le personnel de sécurité sont autant de mesures visant à protéger les appareils informatiques dans les édifices gouvernementaux et les entreprises.
- N’enregistrez pas de documents sur le disque dur de votre appareil; utilisez seulement les systèmes de gestion de l’information (GI) organisationnels. Ces systèmes réduisent le risque de pertes de données occasionnées par des défaillances du matériel, un vol ou une suppression accidentelle de données. Ils sont dotés de fonctions de sécurité intégrées, notamment le chiffrement et le contrôle des accès, lesquelles permettent de protéger les renseignements sensibles. En outre, les systèmes de GI permettent l’accès et la communication en temps réel, ce qui facilite la collaboration entre les membres d’une équipe, peu importe leur emplacement.
- Ne voyagez pas avec vos appareils de travail du GC à l’extérieur du Canada. Les appareils mobiles, comme tous les appareils gouvernementaux, sont destinés à une utilisation professionnelle. Il s’agit de biens Protégé B qui contiennent des données sensibles et donnent accès aux systèmes gouvernementaux. La Politique sur les services et le numérique permet l’utilisation à des fins personnelles limitées au Canada. Cependant, les appareils mobiles gouvernementaux ne doivent être utilisés à l’extérieur du Canada que lors de déplacements professionnels à l’étranger approuvés. Vous trouverez ici une orientation relative aux déplacements.
Autres mesures à mettre en place par l’équipe des technologies de l’information (TI) ou de la sécurité de votre organisation :
- Utiliser le chiffrement des appareils. Cette fonction apporte une sécurité accrue, surtout pour les appareils mobiles comme les clés USB et les ordinateurs portables. Le chiffrement est la procédure par laquelle une information est convertie d’une forme à une autre afin d’en dissimuler le contenu et d’en interdire l’accès aux entités non autorisées. La confidentialité de l’information est assurée par un encodage (ou brouillage) des données, qui apporte une protection supplémentaire pour les données sensibles stockées sur votre appareil. Grâce au chiffrement, personne ne peut accéder à vos données ou programmes sans avoir accès à vos justificatifs d’identité. Votre ministère utilise déjà le chiffrement pour de nombreuses applications, dont les applications de messagerie et la navigation sécurisée.
- Mettre en place l’authentification multifactorielle pour l’écran de verrouillage. Il s’agit d’une authentification à deux facteurs : quelque chose que vous savez (un mot de passe, un NIP ou un motif à reproduire) et quelque chose que vous possédez (une empreinte digitale ou un code unique généré par une application d’authentification). Généralement, la combinaison d’un mot de passe ou d’un NIP et de l’empreinte du pouce suffit à protéger votre appareil des pirates informatiques.
- Utiliser un localisateur d’appareil. Il s’agit d’une application ou d’un outil permettant de localiser un appareil perdu ou volé. Ce type d’outils emploie la technologie GPS, Wi-Fi ou Bluetooth pour localiser l’emplacement exact ou quasi exact de votre appareil. Votre équipe des TI assure ce service pour les appareils organisationnels. Elle est d’ailleurs à votre disposition si vous avez besoin de localiser votre appareil du travail.
- Veiller à ce que les appareils disposent d’une fonction d’effacement à distance. Il s’agit d’une fonction de sécurité qui efface à distance les données stockées sur un appareil mobile. Au gouvernement, ce processus relève de votre équipe ministérielle des TI. Cette fonction permet d’éviter la perte ou la compromission de données si ces dernières tombent dans de mauvaises mains. Il est également sage d’avoir une copie de sauvegarde des données pour éviter de les perdre.
Protégez vos appareils et vos données des cybermenaces grâce à ces quelques conseils. Pour en savoir plus, suivez le cours Découvrez la cybersécurité (DDN235). Soyez alerte aux cybermenaces!
Ressources
- Cours | Découvrez la cybersécurité (DDN235)
- Cours | La cybersécurité dans le GC et la visibilité en ligne (DDN233)
- Cours | Protection des renseignements personnels au sein du gouvernement du Canada (COR504)
- Cours | Cours de base sur l’accès à l’information et la protection des renseignements personnels (COR502)
- Article | Améliorez vos compétences en cybersécurité : restez à l’affût des menaces qui vous guettent!
- Article | Conseils de cybersécurité pour se protéger