À cette époque où, plus que jamais dans l’histoire, l’information a une valeur importante, nous sommes littéralement gardiens d’un trésor incroyable qui fait l’envie de nombreux pirates.
Il m’est arrivé par le passé d’y aller de quelques coups de plumes dans cette chronique et de décrier des pratiques douteuses ou carrément dérogatoires d’individus ou d’organisations.
Bien que je me garde la liberté de récidiver dans le futur, ce n’est absolument pas le but ou le ton de la chronique d’aujourd’hui car, soyons francs : ce qui est arrivé à Desjardins peut arriver dans n’importe laquelle de nos organisations. Nous ne sommes jamais parfaitement à l’abri des intentions malveillantes, qu’elles proviennent de l’intérieur ou de l’extérieur de notre organisation.
Imaginez… Si le FBI, la CIA et plusieurs grandes banques ou entreprises multinationales peuvent se faire pirater ou dérober des informations sensibles, malgré toutes les ressources humaines et financières qu’elles investissent en matière de sécurité, il faudrait être prétentieux d’avancer que nous sommes parfaitement à l’abri!
Mais une fois que nous reconnaissons que le risque zéro n’existe pas, que pouvons-nous faire? Que devons-nous faire? Se cacher derrière le fait que nous ne sommes pas à toute épreuve ne constitue en rien une défense acceptable, surtout pas pour nos clients.
Voici donc quelques pistes de bonne conduite sur lesquelles autant des conseillers que des responsables de cabinets ou de courtiers peuvent réfléchir afin de limiter les risques.
Formation, formation, formation
Je suis encore abasourdi de réaliser, en 2019, que plusieurs personnes sont encore tentées d’ouvrir un courriel suspect ou, pire encore, une pièce jointe provenant d’un inconnu.
Idem pour ces personnes qui fréquentent des sites peu recommandables depuis un ordinateur de bureau ou depuis un ordinateur personnel disposant d’une connexion avec le travail.
Il est important de répéter, encore et encore, à toute personne ayant un quelconque accès à nos serveurs, réseaux ou données, les règles de prudence élémentaires. Il ne faut pas tenir pour acquis qu’ils ont retenu la leçon les 45 fois précédentes où nous leur avons répété.
Se doter d’outils à la mesure
Le kit de base est simple et s’adresse à tous: un bon antivirus, des mots de passe robustes et non répétitifs, ainsi que des mises à jour effectuées de manière régulière et disciplinée.
En fonction de l’importance de nos activités et des informations que nous détenons, viennent également s’ajouter pare-feu (firewall), mécanismes de défense contre les intrusions, fichiers de récupération, etc.
Ça, c’est ce que tout le monde devrait savoir. Si vous ne le savez pas, consultez un professionnel qui pourra vous conseiller. Oscar Schindler disait qu’on avait besoin de trois choses dans la vie : un bon médecin, un prêtre indulgent et un comptable ingénieux. En 2019, ajoutez un technicien informatique qualifié sinon vous êtes condamnés à rester loin en arrière.
Se méfier
Une jolie blonde plantureuse veut devenir votre amie sur Facebook et vous ne la connaissez ni d’Ève ni d’Adam? Une veuve sans héritier veut vous transmettre sa fortune évaluée à 5 486 592 euros? Le président de votre entreprise vous écrit un courriel pour vous demander de lui envoyer de l’argent de toute urgence car il est dans le pétrin?
Ne riez pas, d’autres sont tombés dans le panneau et vous seriez surpris de savoir que, sans verser un sou à ces fraudeurs, vous pouvez tout de même leur donner des informations qui les aideront dans leur quête.
Ça, c’était le gros bon sens. Ajoutons maintenant une petite couche de méfiance additionnelle.
Vous êtes un conseiller et prenez la route pour aller à la rencontre de vos clients. Le restaurant du coin vous offre le wifi gratuit et vous en profitez pour consulter vos courriels. Erreur! Ces réseaux sont souvent mal sécurisés et peuvent servir de porte d’entrée pour une personne malveillante.
Quelqu’un oublie sa clé USB et c’est vous qui la retrouvez. Quel adon! Vous aviez justement besoin d’en acheter une pour enregistrer votre présentation pour un client important. Vous l’insérez dans votre ordinateur. Erreur! Elle est peut-être contaminée et pourrait même installer sur votre ordinateur des programmes malveillants à votre insu.
Contingenter
On ne devrait jamais permettre à un collaborateur, qu’il soit collègue, employé ou autre, d’accéder à plus d’informations qu’il n’en a réellement besoin pour exécuter son travail. Si une pomme pourrie s’infiltre chez vous, les dommages qu’elle pourra faire seront plus limités.
————————————-
Cette chronique aurait pu continuer sur des pages et des pages. En fait, comme le risque zéro n’existe pas, nous sommes tous exposés.
Nos obligations en matière de protection des renseignements personnels nous commandent de prendre des mesures raisonnables afin de les protéger et de les conserver adéquatement.
Le bon sens minimal consiste à se remettre en cause, à douter de nos processus, à en déceler les failles et à les colmater.
Le bon sens minimal consiste également à préparer nos mesures de contingence si l’irréparable se produit afin d’être prêt à faire face à la musique.
Le risque zéro n’existe pas…