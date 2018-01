Selon un mythe bien répandu, nous sommes incapables de protéger nos appareils électroniques contre les cyberattaques que seuls les systèmes informatiques très complexes sont en mesure de prévenir. En vérité, la sensibilisation à la cybersécurité est la première étape efficace pour limiter les risques de s’exposer à des cyberattaques, à la maison comme au travail.

La plupart des pirates informatiques, maliciels et virus doivent obtenir votre permission pour accéder à vos appareils ou à votre réseau.

Pensez-y: les voleurs ne viennent pas sonner à votre porte vêtus de leur plus beau costume de voleur et transportant un chariot derrière eux pour mieux voler votre télévision. Or si vous laissez la porte ouverte, ils entreront certainement dans votre maison à votre insu. Mieux encore, ils utiliseront de faux semblants ou se feront passer pour un ami et vous offriront quelque chose que vous voulez pour entrer dans votre maison.

Il en va de même pour les cybercriminels. Un maliciel, par exemple, ne risque pas d’être téléchargé s’il est présenté comme le plus récent produit de l’entreprise L’Arnaque inc. Mais s’il prend des allures de programme antivirus ou d’application mobile légitime, vous pourriez ne pas le reconnaître. Dans un tel cas, en téléchargeant le faux programme ou la fausse application, vous autorisez le maliciel à mener ses activités malfaisantes sur votre appareil. Ce maliciel pourrait notamment détecter vos frappes et ainsi déchiffrer vos mots de passe ou crypter tous vos fichiers et vous obliger à payer une rançon pour y avoir accès à nouveau.

Ces cyberattaques sont certes dévastatrices pour les personnes qui en sont victimes, mais elles peuvent être catastrophiques pour les entreprises. Ces dernières regroupent souvent de nombreuses personnes et de nombreux appareils sous un même toit, s’exposant ainsi à un risque accru de cyberattaques. Les petites et moyennes entreprises sont des cibles particulièrement faciles pour les pirates informatiques, car elles n’ont souvent pas les moyens ni l’expertise nécessaire pour prévenir les attaques.

Selon le gouvernement fédéral, 70% des petites entreprises ont déjà été victimes d’une cyberattaque. En moyenne, chaque incident du genre leur coûte 15 000$. Au total, les cyberattaques coûtent plus de 3 milliards $ par année aux entreprises canadiennes.

Il est dans l’intérêt supérieur des entreprises du Nouveau-Brunswick, plus particulièrement des entreprises qui recueillent des renseignements personnels auprès de leurs clients, de prendre la cybersécurité très au sérieux. Certaines de ces entreprises ont d’ailleurs l’obligation de protéger ces renseignements en vertu de lois provinciales ou fédérales sur la protection de la vie privée, notamment les entreprises d’investissement, les concessionnaires automobiles et les compagnies d’assurance.

Heureusement, de nombreuses mesures peuvent être prises pour limiter les risques de cyberattaque. Certaines de ces mesures coûtent de l’argent: investir dans une formation en matière de cybersécurité pour ses employés ou embaucher une entreprise de cybersécurité pour gérer les risques d’atteinte à la sécurité des données, par exemple. Toutefois, mettre l’accent sur la cybersécurité n’a pas besoin d’être coûteux. Il existe de nombreuses listes de vérification et autres ressources gratuites en ligne, qui peuvent aider les entreprises à lancer le processus. Plusieurs fournisseurs canadiens réputés proposent également des programmes abordables de sensibilisation des employés.

Les propriétaires d’entreprise doivent envisager de faire de leur meilleur atout, c’est-à-dire leurs employés, leur meilleur mécanisme de défense contre les cyberattaques. Il est essentiel de permettre aux membres de votre personnel de repérer les faiblesses dans votre système informatique et de comprendre les moyens dont pourraient se servir les pirates informatiques pour profiter d’eux.

Les employés qui savent comment sauvegarder leurs fichiers importants, repérer un courriel-hameçon, utiliser l’authentification à deux facteurs sur leurs appareils et contrôler l’accès physique à ceux-ci sont déjà bien mieux protéger contre les cyberattaques.

Voici quelques mesures que peuvent prendre les propriétaires d’entreprise pour se protéger contre les atteintes à la cybersécurité:

s’assurer d’avoir un processus de sauvegarde approprié pour les données importantes;

sécuriser son réseau en utilisant un pare-feu et des outils de protection contre les maliciels appropriés;

avoir en place une politique relative aux ressources informatiques et à internet et veiller à son application;

offrir des séances de formation au personnel en ce qui concerne les risques d’hameçonnage et créer des mesures incitatives pour l’encourager à repérer les risques et les menaces;

s’inscrire à un bulletin sur la cybersécurité afin de continuellement sensibiliser le personnel aux risques à cet égard;

s’enquérir des listes de vérification disponibles sur la manière de maintenir des données de manière sécuritaire auprès des autres entreprises de son industrie.

Nous encourageons toutes les entreprises du Nouveau-Brunswick à se renseigner, à se doter des outils nécessaires et à prendre des mesures pour prévenir les conséquences d’une atteinte à la protection des données, qui pourrait entraîner des pertes d’argent et de temps, en plus de nuire à leur réputation.

Il ne sera bientôt plus possible de traiter discrètement les situations de violation de données. Des modifications en attente à la Loi sur la protection des renseignements personnels numériques obligeront bientôt les entreprises assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques, qui recueillent des renseignements personnels auprès de leurs clients, à signaler toute violation de données au Commissariat à la protection à la vie privée du Canada et aux personnes touchées par la violation. En plus de ces mesures législatives, les tribunaux canadiens commencent à reconnaître de nouveaux motifs pour imposer une responsabilité civile aux entreprises à la suite d’une atteinte à la protection des données.

Les efforts des entreprises pour renseigner leurs employés sur la cybersécurité valent largement la peine. Ignorer les risques associés aux cyberattaques pourrait avoir des conséquences désastreuses.

Alix Saulnier

Commission des services financiers et des services aux consommateurs