Ne soyez pas un personnage dans un suspense d’espionnage

Pour le fonctionnaire moderne et connecté, la cybersécurité ne se résume pas à l’application des bons paramètres sur un appareil, ni même à la présence de pratiques en ligne sécurisés. Avec l’essor du travail à distance et le large éventail d’outils qui se connectent désormais à Internet, notre comportement hors ligne peut également avoir des conséquences sur la sécurité des renseignements.

S’engager dans un paysage numérique complexe et en rapide évolution

Ces dernières années, le développement et l’utilisation des technologies numériques se sont accélérés et ont amélioré nos vies professionnelle et privée. Cependant, cela ne s’est pas fait sans risque.

Le changement a été précipité au cours des dernières années de la pandémie et s’est produit parallèlement à l’émergence de conflits géopolitiques et sociaux, le genre de conflits qui donnent aux acteurs malveillants des raisons et des possibilités d’intensifier leurs activités illicites.

En tant que fonctionnaires, nous vivons une époque intéressante où nous bénéficions de technologies qui nous permettent de travailler loin de l’environnement de bureau traditionnel, mais où nous sommes aux prises avec un fardeau plus lourd en matière de sécurité personnelle et de cybersécurité.

Les sondages sur les comportements et les attitudes vis-à-vis la cybersécurité dressent un tableau inquiétant, alors qu’une proportion étonnamment élevée de gens estiment qu’ils sont moins responsables de protéger les renseignements dans le milieu de travail, croyant que « leur organisation » ou les service de technologie de l’information (TI) de leur organisation en assume la plus grande responsabilité. Nombreux sont ceux qui ne se considèrent tout simplement pas comme responsables de la protection des renseignements sensibles de leur organisation.

J’ai bon espoir que les fonctionnaires canadiens ont une attitude plus consciencieuse lorsqu'il s'agit d'information dans le lieu de travail —Phil Gratton

En tant qu’employés du gouvernement du Canada, dans le monde connecté d’aujourd’hui, vous jouez plus que jamais un rôle dans la protection des données et des biens canadiens. Vous contribuez ainsi à la protection de la sécurité nationale du Canada, même si vous n’êtes pas des spécialistes fonctionnels de la sécurité.

Le fait d’être un gardien responsable des données sensibles peut avoir des répercussions sur la sécurité nationale, car certains des acteurs malveillants dont il est question ci-dessus veulent y avoir accès et y consacrent des efforts et des ressources.

Cela crée une situation dans laquelle n’importe quel fonctionnaire pourrait, s’il ne fait pas attention, devenir rapidement un personnage (pour ne pas dire une victime) dans son propre suspense d’espionnage géopolitique. D’ailleurs, ce n’est probablement pas aussi emballant que cela puisse paraître…

Connectés numériquement, mais isolés physiquement

J’invente l’expression « bureau rigide » pour désigner l’espace traditionnel dans lequel la plupart des fonctionnaires canadiens avaient l’habitude de travailler : il s’agit souvent d’un bâtiment appartenant à l’État, comportant des bureaux ou des compartiments, des bureaux en métal, des téléphones filaires, des réseaux locaux câblés et une réserve inépuisable de papillons adhésifs… Bref, le vieux bureau.

Le « bureau souple » est tout ce qui n’est pas le bureau traditionnel, y compris votre maison ou ce petit café qui sert les meilleurs cafés au lait en ville. En réalité, en activant la fonction de point d’accès sans fil ou de modem de votre téléphone intelligent, vous pouvez travailler partout où il y a une couverture cellulaire. Bientôt, votre téléphone portable pourra même se connecter directement aux satellites, ce qui accroîtra encore plus sa portée. L’avenir distribué s’approche rapidement.

Le bureau rigide offrait une importante mesure de protection supplémentaire. Non seulement vous disposiez d’experts de la TI sur place, prêts à vous aider en cas de problèmes avec le matériel ou les logiciels, mais vous aviez également un ordinateur personnel fixe, une armoire à dossiers ou des tiroirs de bureau avec une serrure pour entreposer les documents papier sensibles, des collègues de bureau qui veillaient sur vous, des membres du personnel de gestion des installations qui s’assuraient que notre espace était propre et sûr, et des agents de sécurité (bravo à nos commissionnaires bienveillants mais vigilants!) pour tenir les intrus à distance.

Si vous travaillez aujourd’hui dans un bureau souple, la plupart de ces aides ont disparu ou sont éloignées de plusieurs étapes, voire de plusieurs kilomètres. Vous êtes connectés numériquement, mais isolés physiquement.

Vos appareils sans fil vous accompagnent partout : ils sont chez vous, dans la rue, dans la voiture, l’autobus, le train ou sur la bicyclette, et parfois dans des restaurants, au centre de conditionnement physique partout où vous pourriez aller. Vous êtes responsables de ne pas les égarer, non seulement parce qu’ils appartiennent au gouvernement du Canada, mais aussi parce qu’ils peuvent contenir des renseignements sensibles ou y donner accès.

La façon dont vous protégez ces appareils et leurs données dépend des mesures de cybersécurité conformes aux normes de l’industrie que votre service de la TI met en place et de votre comportement attentif à la sécurité.

Il existe un principe de l’industrie qui énonce à peu près ceci : « il n’y a pas de cybersécurité sans sécurité physique ». Si cela ne signifie pas que travailler dans un bureau souple est nécessairement non sécurisé (la sécurité physique, même dans les bureaux les plus rigides, n’est jamais entièrement parfaite), cela signifie effectivement qu’il y a des risques supplémentaires dont il faut tenir compte, et des mesures d’atténuation que vous devez prendre.

N’oubliez pas que nous assistons à l’émergence d’une génération de nouveaux fonctionnaires qui n’ont jamaisconnu le bureau traditionnel et qui ne le connaîtront peut-être jamais! Pour eux, être connecté numériquement, mais isolé physiquement, est tout simplement la façon habituelle de mener des activités.

Le fonctionnaire moderne : un point d’accès

J’aimerais vous présenter un point de vue supplémentaire sur la façon d’envisager cette réalité, non pas pour rejeter le travail à distance (il est là pour rester, même sous sa forme hybride), mais pour mettre en lumière certains des risques généraux et vous aider à envisager la façon d’y faire face.

Dites-vous que, en tant que fonctionnaire qui (dans cette ère hautement numérique et interconnectée) utilise un appareil mobile pour accéder à du contenu lié au travail sur le nuage de son ministère, vous pourriez a) mettre en danger la vie privée des Canadiens par des divulgations ou des atteintes faites par inadvertance, ou b) servir d’intermédiaire à une cyberattaque. Bien sûr, « b) » conduit souvent à « a) ».

Le gouvernement a accordé une confiance et une responsabilité accrues à ses employés en facilitant plus que jamais le travail à domicile ou en voyage, au Canada ou à l’étranger. Il y a à peine 10 ans, si vous deviez voyager pour le travail, vous emportiez une quantité limitée de documents, peut-être une clé USB pour échanger des fichiers, et un téléphone cellulaire pour rester en contact.

Les appareils dont vous disposez aujourd’hui, bien qu’ils soient plus sécurisés que jamais sur le plan technologique, sont également tous des points de compromission possibles s’ils ne sont pas verrouillés correctement, s’ils sont laissés sans surveillance ou s’ils sont utilisés pour accéder à des liens malveillants.

En appliquant une optique financière pour mesurer l’incidence des violations de données, IBM a calculé que ce coût a atteint « un niveau record » en 2022. Pour le Canada, le coût a été estimé à plus de 7 millions de dollars canadiens (5,64 millions de dollars américains), y compris le coût des violations de données du secteur public.

Même si les renseignements avec lesquels vous travaillez ne sont pas classifiés ou exclusifs, ils peuvent tout de même être sensibles, et donc avoir une certaine valeur pour des acteurs malveillants. Par exemple, les renseignements d’identité privée sont sensibles et, bien qu’ils ne soient pas classifiés dans la plupart des cas, ils doivent être sécurisés. Une bonne règle générale consiste à considérer tous les renseignements échangés sur les réseaux gouvernementaux comme étant au moins « sensibles » et à agir en conséquence. Bien que les systèmes de TI de votre travail soient conçus pour protéger le niveau des données avec lesquelles vous travaillez, votre comportement, qui relève de votrecontrôle, devrait toujours favoriser une bonne intendance des données.

Travailler pour le gouvernement vous rend particulièrement intéressant pour les acteurs criminels, qui ont tendance à être opportunistes, ou pire, pour les puissants acteurs étatiques hostiles (AEH), qui déploient des efforts considérables pour vous cibler parce qu’ils s’intéressent à l’accès que vous pouvez fournir. C’est une chose de se laisser prendre au piège d’une cyberattaque criminelle aléatoire; c’en est une autre d’être traqué et ciblé comme point d’entrée potentiel dans les réseaux gouvernementaux (réseaux informatiques et humains), une menace décrite dans le rapport public de 2021 du Service canadien du renseignement de sécurité.

Ces AEH ne s’intéressent pas seulement aux affaires étrangères ou militaires. Des renseignements d’apparence anodine sur des positions commerciales, des délibérations de niveau stratégique sur des budgets ou des questions liées aux politiques, des mutations de personnel : tous ces éléments et d’autres encore sont des données qui peuvent être assemblées pour créer des renseignements intéressants. Les renseignements divulgués ou volés peuvent également être utilisés par les AEH pour réprimer les communautés marginalisées à l’intérieur de leurs propres frontières. Il s’agit de renseignements avec lesquels nous travaillons au quotidien.

Cela se passe en un clin d’œil

En étant constamment connectés aux réseaux gouvernementaux au moyen d’appareils intelligents, vous offrez aux acteurs malveillants un plus grand nombre de points d’accès à compromettre. Le risque augmente lorsque vous voyagez à l’étranger et que vous vous connectez à des infrastructures de télécommunication étrangères, qu’il s’agisse du fournisseur de services cellulaires local, du Wi-Fi de l’aéroport, de l’hôtel ou du café.

Ne pensez pas que seules vos activités au clavier sont importantes. Utilisez-vous un appareil dans un lieu public? Qui est assis à côté de vous? Laissez-vous votre ordinateur portable, votre téléphone ou votre tablette déverrouillés et sans surveillance? Qu’avez-vous prévu au cas où vous égariez l’un de ces appareils ou il était volé?

Les fonctionnaires connectés mais isolés revêtent une importance particulière pour les acteurs étatiques disposant d’incroyables ressources qui cherchent des points d’accès aux réseaux du gouvernement canadien.

Croyez-moi, ces acteurs étatiques n’ont rien de drôle et constituent les menaces les plus avancées et les plus persistantes qui soient. En fait, leurs tactiques et techniques sont appelées des menaces persistantes avancées, ou MPA. Elles sont aussi pernicieuses et sérieuses que possible.

Votre travail de fonctionnaire, ou, du moins, l’accès que vous risquez de fournir si vous n’êtes pas conscient de la situation, si vous adoptez un comportement peu sûr dans le monde réel ou si vous avez de mauvaises pratiques en matière de cybersécurité, peut vous placer par inadvertance au cœur d’une atteinte à la sécurité nationale.

Ça fait peur? J’en ai été témoin. Vous réduisez les risques en respectant scrupuleusement les politiques, les procédures et les pratiques exemplaires.

Les événements se produisent rapidement dans le cyberespace, presque instantanément, en fait, ce qui ne vous laisse guère de temps pour réagir, voire aucun. Cela se passe en un clin d’œil et c’est invisible. Pour détecter et atténuer une compromission ou une violation, les analystes de la cybersécurité s’appuient sur des outils techniques complexes et des compétences uniques. D’ailleurs, il faut d’abord que la violation leur soit signalée. La meilleure chose à faire est donc d’adopter des comportements préventifs qui réduisent au minimum le risque.

Vous décidez de la fin de l’histoire

Même si les fonctionnaires sont de plus en plus isolés physiquement, le gouvernement du Canada offre un soutien important à sa main-d’œuvre à distance sous forme de réseaux sécurisés, d’équipement et de formation. Cependant, plus que jamais, il s’agit d’une responsabilité partagée et, en cette ère moderne, la balance du fardeau penche du côté de l’employé. Imaginez-vous un oisillon qui a quitté le nid.

les défenses technologiques sont devenues si efficaces que les attaquants sont poussés à pirater des humains plutôt que de passer des semaines, des mois ou des années à rechercher et à développer des attaques efficaces pour vaincre les défenses technologiques [traduction] — Perry Carpenter et Kai Roer, The Security Culture Playbook, 2022

Ce qui signifie que le renforcement de la « couche humaine de la sécurité » est primordial. Je ne peux pas imaginer de message plus important pour les fonctionnaires fédéraux connectés mais isolés d’aujourd’hui.

Lorsqu’il est question de cybersécurité, votre comportement (et votre attitude!) dans le monde réel représente une couche importante de la protection des données et des biens du gouvernement. Au rythme où la technologie évolue de nos jours et compte tenu de notre dépendance accrue à son égard, connaître les dernières tendances en matière de menaces et de vulnérabilités est une bonne pratique.

Votre équipe de TI ne peut pas tout faire. Le reste vous appartient.

Choses à rapporter à votre équipe

  1. Avez-vous lu la Politique sur la sécurité du gouvernement du Secrétariat du Conseil du Trésor? Qu’en est-il de la propre politique ou du plan de sécurité de votre propre ministère ou organisme? Ces documents comportent-ils des dispositions sur la cybersécurité?
  2. Si vous travaillez à distance, sauriez-vous comment communiquer avec l’équipe de sécurité de votre ministère si vous perdiez un appareil de travail ou si vous vous rendiez compte (ou soupçonniez) que vous êtes victime d’un incident de cybersécurité?
  3. Quelles mesures avez-vous mises en place pour vous soutenir lorsque vous travaillez à distance, sur le plan de la sécurité (pour remplacer les caractéristiques du « bureau rigide »)?

Cours et événements

Le 17 octobre 2022 | Événement annuel sur la cybersécurité : Vos comportements comptent

Parcours d’apprentissage : Découvrez la cybersécurité
Adoptez les meilleures pratiques de cybersécurité pour protéger les données, les informations, les systèmes et la réputation du gouvernement du Canada (GC).

Resources