image d'arrière-plan de la bannière du blog supérieur logo du cyberdéfenseur
personne travaillant à l'ordinateur

Le maillon faible

Au cours des dernières décennies, la dépendance à l’égard des technologies et des services numériques s’est accrue dans le monde entier, tout comme les possibilités de cyberattaques. Saviez-vous qu’en 2019, environ un cinquième des entreprises canadiennes ont affirmé avoir été touchées par des incidents de cybersécurité? Les cyberattaques sont également devenues plus sophistiquées, s’appuyant sur des techniques qui ciblent des employés et des organismes spécifiques. Nombre de ces attaques sont perpétrées par des groupes d’auteurs de menace orchestrés, parfois financés par des États.

La pandémie de la COVID-19 n’a fait qu’exacerber ces problèmes. Des millions de Canadiens ont dû passer immédiatement au télétravail sans que les mesures de sécurité appropriées soient en place. Cela a accru la vulnérabilité des particuliers et des entreprises privées et a donné aux auteurs de menace une plus grande capacité à mener des cyberattaques.

Les cyberattaques peuvent avoir des conséquences dramatiques sur les entreprises et les personnes qu’elles visent. En 2020, il a été rapporté que le coût moyen d’une atteinte à la protection des données pour les entreprises canadiennes était de 4,50 millions de dollars américains (en anglais seulement). En 2017, environ la moitié des entreprises qui ont signalé une cyberattaque n’ont pas pu effectuer leur travail quotidien. C’est pourquoi de nombreuses entreprises ont commencé à mettre en œuvre des mesures de cybersécurité, telles que des logiciels anti-maliciel et la sécurité des réseaux, afin de protéger leurs renseignements.

Toutefois, les entreprises et les particuliers ne sont pas les seules à être la cible de cyberattaques. En 2021, les cyberattaques contre les gouvernements du monde entier sont devenues plus fréquentes, avec une hausse de 47% selon Forbes (en anglais seulement). Les cyberattaques peuvent avoir des effets considérables sur la sécurité des renseignements et des infrastructures de ces gouvernements. Dans l’ensemble, le Canada a perdu 3,12 milliards de dollars (en anglais seulement) par an en raison de cyberattaques et d’atteintes à la protection des données. Les cyberattaques devenant de plus en plus courantes et de plus en plus coûteuses (tant en termes de pertes monétaires que d’atteinte à la réputation), il est essentiel que les entreprises, les particuliers et les gouvernements travaillent ensemble pour créer des solutions viables qui protègent leur société.

Si les cyberattaques peuvent sembler, à première vue, être un problème technique avec des solutions uniquement techniques, elles ont une composante humaine essentielle. Qu’il s’agisse de cliquer sur des liens dangereux, d’utiliser des mots de passe hebdomadaires ou de partager sans le savoir des renseignements privés sur l’entreprise, les personnes sont souvent considérées comme les maillons faibles de la cybersécurité d’un organisme. Selon une étude menée par IBM, l’erreur humaine est la cause principale de 95 % des atteintes à la cybersécurité. Il est donc essentiel que les organismes prennent le temps d’enseigner à leurs employés les meilleures pratiques en matière de cybersécurité. Pour qu’un organisme soit réellement cybersûr, il doit intégrer l’élément humain de la cybersécurité.

Participer au Mois de la sensibilisation à la Cyber Sécurité est une excellente première étape pour vous apprendre ce que signifie la cybersécurité, les raisons pour lesquelles elle est importante et les mesures que vous pouvez prendre pour assurer la sécurité de vos renseignements personnels et de ceux de votre organisme. Rejoignez-nous au cours des quatre prochaines semaines grâce à nos vidéos et jeux interactifs et apprenez-en davantage sur la reconnaissance en ligne, psychologique l’ingénierie sociale, les meilleures pratiques en matière de mots de passe, les rançongiciels, et ce que vous pouvez faire pour lutter contre ces cybermenaces. Les participants auront la possibilité de gagner l’un des nombreux prix.

Pour plus de renseignements sur la cybersécurité, consultez la section des ressources sur le Portail de Cybersécurité Ontario pour l’apprentissage.

téléphone avec icônes de médias sociaux

Le pouvoir et les pièges des médias sociaux

Les employés ont un rôle essentiel à jouer dans le maintien de la cybersécurité de leur organisme. L’erreur humaine est l’un des moyens les plus courants pour les auteurs de menace de cibler une entreprise. Au cours de cette première semaine du Mois de la sensibilisation à la Cyber Sécurité, nous nous pencherons sur la reconnaissance en ligne, sur la manière dont les auteurs de menace peuvent effectuer une reconnaissance en ligne et sur les effets qu’elle peut avoir sur un individu ou un organisme.

La reconnaissance en ligne est la pratique consistant à recueillir secrètement le plus de renseignements possible sur un système cible dans l’intention d’en rassembler suffisamment pour effectuer une cyberattaque. Souvent, la première étape de la reconnaissance consiste à s’engager dans la collecte de renseignements de sources ouvertes, également appelés OSINT. Cette pratique consiste à recueillir des renseignements auprès de sources accessibles au public, telles que les médias sociaux et les organes de presse.

Ce que vous publiez en ligne peut révéler beaucoup de choses sur vous-même – et sur votre organisme. Les comptes de médias sociaux sont un moyen facile pour les pirates de recueillir des renseignements de source ouverte. Les employés doivent faire attention à ce qu’ils publient sur les médias sociaux et autres plateformes en ligne. Si les médias sociaux sont un outil puissant permettant aux individus et aux organismes d’entrer en contact avec le public et de partager des renseignements, ils peuvent également devenir dangereux lorsque les protocoles de partage de renseignements appropriés ne sont pas respectés.

Voici quelques moyens d’assurer la sécurité de vos renseignements et de ceux de votre entreprise :

  1. Gardez vos comptes de médias sociaux privés et n’acceptez que les demandes de personnes que vous connaissez.
  2. Ne mettez pas en ligne des renseignements relatifs à votre compte personnel, à des questions de sécurité ou à la sécurité de votre entreprise. Évitez de diffuser sur vos comptes personnels de médias sociaux des renseignements sur l’organisme qui pourraient être utilisés contre votre organisme ou vous mettre en danger. Avant de publier un message, demandez-vous si les renseignements que vous partagez pourraient aider un pirate informatique dans une cyberattaque. Par exemple, diffusez-vous des renseignements que vous utilisez dans un mot de passe?
  3. Vérifiez si les différentes applications demandent certaines autorisations, comme votre appareil photo, votre microphone et votre localisation, et déterminez si elles sont justifiées. Si elles semblent excessives, il vaut mieux opter pour une option moins intrusive.
  4. Activez l’authentification multifacteur sur vos comptes de médias sociaux. Cela nécessite deux facteurs d’authentification ou plus lors de la connexion à vos comptes, ce qui renforce votre sécurité et réduit la probabilité qu’un auteur de menaces puisse accéder à votre compte.

icône pop-up mascotte

pirate derrière un écran d'ordinateur

Hameçonnage, hameçonnage par SMS, et hameçonnage par téléphone, eh bien!

L’hameçonnage est le type de cybercriminalité le plus courant au Canada. Depuis le début de la pandémie, 34% des personnes ont reçu sciemment une attaque d’hameçonnage et beaucoup d’autres peuvent en avoir reçu sans s’en rendre compte. L’hameçonnage est une réussite, car il suffit que les victimes fassent une seule erreur. Ouvrir une seule pièce jointe malveillante ou cliquer sur un seul lien dangereux peut permettre à un auteur de menaces d’accéder à votre ordinateur ou à des renseignements sensibles. Une fois l’accès obtenu, les attaquants peuvent diffuser des logiciels malveillants sur l’ensemble d’un réseau ou extraire des données d’emplacements sécurisés. Il est donc essentiel que les particuliers en apprennent davantage sur les différentes tactiques d’hameçonnage et sur la manière de les repérer afin de contribuer à la protection de leurs renseignements et de ceux de leur organisme.


Tendances en matière d’hameçonnage

Les auteurs de menace continuent d’élaborer de nouvelles techniques d’hameçonnage plus sophistiquées. Récemment, on a constaté une augmentation d’hameçonnage sans lien, d’hameçonnage ciblé et de détournement de domaine. L’hameçonnage sans lien dirige une personne vers un site Web malveillant sans qu’elle ait besoin de cliquer sur un lien. Au lieu de cela, un site Web malveillant est joint en tant que fichier HTML, et le courriel invite le destinataire à ouvrir la pièce jointe. Les utilisateurs ne sont pas en mesure de vérifier le lien à l’avance pour rechercher un nom de domaine faux ou suspect. En cliquant sur le fichier, vous ouvrirez une fenêtre qui semble être un fichier local. La fenêtre invite alors le destinataire à partager des renseignements tels que ses identifiants de connexion.


les gens qui regardent des cibles

L’hameçonnage ciblé

L’hameçonnage ciblé est généralement de moindre envergure et vise des groupes ou des individus spécifiques. La recherche est généralement effectuée avant l’attaque, afin que l’auteur de la menace puisse la préparer pour qu’elle soit plus efficace. Les leurres d’hameçonnage ciblé sont généralement plus dangereux que les autres attaques d’hameçonnage en raison du temps passé à les faire paraître plus réalistes et légitimes.


personne louche pointant sur l'écran de connexion

Le détournement de domaine

Le détournement de domaine est un type d’hameçonnage qui consiste à rediriger les cibles de sites Internet légitimes vers de faux sites, « usurpés », à leur insu. Le faux site Web tentera d’obtenir des renseignements permettant d’identifier une personne et des identifiants de connexion (y compris des mots de passe) ou d’installer un logiciel malveillant sur l’ordinateur de la cible. Une fois qu’un auteur de menaces a accès à un ordinateur, il peut diffuser le logiciel malveillant dans des réseaux entiers, redirigeant des centaines de personnes vers des sites Web malveillants.


Conclusion

Les employés ont un rôle essentiel à jouer dans la défense de leur organisme contre la menace des cyberattaques, notamment l’hameçonnage. Rejoignez-nous pour participer aux activités de cette semaine du Mois de la sensibilisation à la Cyber Sécurité pour en savoir plus sur l’hameçonnage, la fraude psychologique et la cybersécurité.

Pour plus de renseignements sur la fraude psychologique, consultez la Bibliothèque des connaissances sur le Portail de Cybersécurité Ontario pour l’apprentissage.

écrans de connexion avec gardes de sécurité

Le pouvoir des mots de passe

Les mots de passe sont omniprésents. Que ce soit pour votre téléphone cellulaire, vos comptes de médias sociaux, vos renseignements bancaires ou vos services de diffusion en continu, la plupart des aspects de notre vie quotidienne nécessitent un mot de passe.


Cependant, puisque chaque appareil et chaque compte nécessite un mot de passe unique, il peut être difficile de tous les retenir. Par conséquent, de nombreuses personnes réutilisent leurs mots de passe, choisissent des mots de passe simples ou ne protègent pas correctement leurs mots de passe. Si la simplicité peut rendre les mots de passe plus faciles à retenir, il s’agit d’une habitude dangereuse. En fait, on estime que 80% des intrusions réussies sont dues à des identifiants compromis.


Comment les mots de passe sont-ils compromis?

Une atteinte à la protection des données est l’un des moyens courants de compromettre les mots de passe et autres identifiants de connexion. Par l’entremise de diverses méthodes, comme les rançongiciels, un auteur de menace peut accéder aux données de connexion d’un maximum d’utilisateurs. Les auteurs de menace peuvent télécharger ces renseignements sur le Web clandestin pour que d’autres de menace puissent y accéder. Si une victime d’une atteinte à la protection de données utilise les mêmes identifiants de connexion pour d’autres comptes, les renseignements qu’elle détient sur ces autres comptes sont en danger.


Les renseignements d’identification peuvent également être compromis par l’entremise d’une opération d’hameçonnage qui incite l’utilisateur à saisir un mot de passe ou des renseignements de connexion. Une fois qu’un auteur de menaces dispose de vos identifiants de connexion, il peut vous empêcher d’accéder à vos propres comptes et tenter d’accéder à vos autres comptes.


Les mots de passe sont également compromis par des attaques par force brute. Les auteurs de menaces tentent de déchiffrer le mot de passe d’une personne « en essayant toutes les combinaisons possibles de lettres, de chiffres et de symboles » jusqu’à ce que quelque chose fonctionne. Plus le mot de passe d’une personne est simple, plus il est facile de le déchiffrer lors de ces attaques.


Enfin, les mots de passe peuvent tout simplement être volés, lorsque les gens laissent leurs mots de passe à la vue de tous, par exemple sur un papillon adhésif sur leur bureau. La réutilisation de mots de passe, ou l’utilisation de mots de passe faciles à deviner met en danger non seulement vos renseignements et votre accès aux services, mais aussi ceux de votre organisme. Si un mot de passe que vous utilisez pour plusieurs comptes est compromis, les auteurs de menace peuvent accéder (ou vendre l’accès) à vos autres comptes et potentiellement aux renseignements de votre organisme.


Comment assurer la sécurité des mots de passe et des renseignements d’identification?

soumettre le mot de passe sur le téléphone

Protégez-vous en prenant des mesures pour assurer la sécurité de vos renseignements d’identification et de vos comptes:


  1. Utilisez des mots de passe forts et rendez-les uniques – évitez de réutiliser les mots de passe.
  2. Envisagez d’utiliser des phrases de passe au lieu de mots de passe. Une phrase de passe est identique à un mot de passe, mais consiste en une séquence de mots ou d’autres textes qu’un utilisateur peut plus facilement mémoriser. Une phrase de passe est généralement plus longue qu’un mot de passe, pour plus de sécurité. 
  3. Utilisez l’authentification multifacteur. L’authentification multifacteur consiste à utiliser deux facteurs d’authentification ou plus pour pouvoir accéder à un compte. L’utilisation d’identifiants multiples rend l’accès à vos comptes plus difficile pour les auteurs de menace.
  4. N’écrivez pas vos mots de passe à un endroit où d’autres personnes peuvent y accéder facilement, et ne partagez aucun de vos mots de passe avec votre famille, vos amis ou vos collègues de travail. 
  5. N’utilisez pas la fonction « se souvenir du mot de passe » ou « se souvenir de moi » pour les systèmes, services ou logiciels. Il est ainsi plus facile pour les gens d’accéder à vos renseignements privés.
  6. Méfiez-vous des appels téléphoniques, des SMS ou des messages courriel non sollicités provenant de personnes ou d’institutions et demandant des renseignements personnels ou professionnels.
  7. Gardez les comptes de médias sociaux privés et n’acceptez que les demandes de personnes que vous connaissez. Les renseignements que vous publiez en ligne peuvent révéler les réponses aux questions de sécurité des comptes personnels.

Vos mots de passe et vos identifiants sont essentiels à la sécurité de vos renseignements et à l’accès aux services. Protéger ces actifs avec des pratiques exemplaires de cybersécurité crée une défense solide contre les cyberattaques.


icône pop-up mascotte
ordinateur verrouillé avec hacker ombragé

La montée en puissance des rançongiciels

Les cyberattaques sont de plus en plus répandues et les taux de cybercriminalité augmentent tant à l’échelle mondiale qu’au Canada. Vu les progrès technologiques et la transition immédiate vers le travail à domicile pour des millions de personnes dans le monde en raison de la pandémie, les vulnérabilités aux cybercrimes ont également augmenté. On estime que d’ici 2025, la cybercriminalité coûtera au monde environ 10,5 milliards de dollars américains, soit près de la moitié du PIB des États-Unis en 2021. La cybercriminalité en Ontario est également en hausse, le taux d’incidents atteignant  176,8 pour 100 000 personnes en 2020. Chaque jour en Ontario, les organismes gouvernementaux et les organismes du secteur privé luttent sans relâche contre la cybercriminalité pour assurer la sécurité de leurs clients et de leurs citoyens.  


Il existe de nombreux types de cyberattaques. Toutes les cyberattaques affectent votre réseau différemment, mais elles tentent toutes d’exploiter les vulnérabilités des logiciels, du matériel et du comportement humain en ligne. Les objectifs des auteurs de menace comprennent l’obtention de renseignements qui peuvent être vendus, échangés, révélés ou utilisés pour perpétrer d’autres cybercrimes, soit pour des gains financiers, soit pour des motivations politiques ou idéologiques. Un auteur de menaces peut accéder à vos comptes et à vos appareils grâce à des identifiants compromis obtenus lors d’une opération d’hameçonnage ou en y accédant à partir d’une fuite de données ou d’une compromission antérieure. Les auteurs de menace peuvent également utiliser les attaques d’hameçonnage pour installer des logiciels malveillants (également appelés maliciels) sur votre appareil. Cela permet aux auteurs de menaces d’exécuter des attaques à votre insu.  


appareil infecté et personne frustrée

Un rançongiciel est un type de logiciel malveillant qui rend les données inaccessibles. Il s’agit de l’une des cybermenaces les plus courantes auxquelles les Canadiens sont confrontés et le coût moyen mondial de récupération d’une attaque par rançongiciel a été estimé à 2,3 millions de dollars canadiens en 2021. En général, un auteur de menaces installe un logiciel malveillant sur un appareil qui peut passer inaperçu pendant des mois, en surveillant discrètement tout un réseau, avant qu’une attaque de plus grande envergure ne se produise. Au cours de cette attaque, l’auteur de menaces va soit verrouiller les appareils, soit chiffrer leurs fichiers, soit effectuer les deux actions. L’auteur de menaces indique ensuite qu’un paiement doit être effectué pour que la victime puisse retrouver l’accès à ses fichiers.  


En 2018, les villes de Wasaga Beach et de Midland en Ontario (en anglais seulement) ont toutes deux subi des attaques de rançongiciel. Les cybercriminels ont pris en otage les systèmes informatiques des villes pendant 48 heures et ont exigé des rançons dont le montant initial était de l’ordre de six chiffres. En 2019, les municipalités de Stratford, The Nation et Woodstock, ainsi que trois hôpitaux distincts de l’est de l’Ontario, ont tous subi une attaque par rançongiciel. Lors de ces attaques, les organismes du secteur public doivent choisir entre perdre l’accès à leurs systèmes essentiels et à leurs renseignements sensibles pendant plusieurs semaines ou payer les cybercriminels pour pouvoir fournir les services essentiels à leurs citoyens.  


icône pop-up mascotte