Souvent, les cyberattaques réussissent non pas en raison de la faiblesse des systèmes, mais à cause des imprudences que commettent les gens au quotidien. Lorsqu’un membre du personnel clique sur une facture qui lui semble légitime, fait confiance à une voix familière lors d’un appel de routine ou partage l’accès à des données avec le mauvais fournisseur, il ouvre la porte à des brèches préjudiciables.
Alors que la cybersécurité au sens large sert à protéger les renseignements et les données de votre entreprise, le concept de « cyberhygiène » englobe les habitudes, les décisions et la sensibilisation permettant de réduire les risques.
« Chaque personne joue un rôle crucial dans la protection de l’actif le plus important de toute organisation : ses données », souligne Bob Besharat, directeur principal des produits et de la technologie chez Portage CyberTech et formateur en solutions en cybersécurité à Formation continue Concordia.
Fort de sa vaste expérience dans la direction de l’innovation et la formation de professionnels de divers secteurs, M. Besharat aide les personnes apprenantes à comprendre en quoi leurs responsabilités quotidiennes sont liées aux risques réels en matière de sécurité.
« Le monde du travail d’aujourd’hui n’est plus un château aux murs infranchissables, mais un écosystème vivant », illustre-t-il. « La sensibilisation à la sécurité doit être intégrée à la culture de l’organisation, mise en pratique de manière cohérente et soutenue à tous les niveaux. »
Les principes fondamentaux de la cyberhygiène pour lutter contre les brèches de sécurité
La cyberhygiène commence par des habitudes souvent négligées, mais essentielles. La réutilisation des mots de passe reste une vulnérabilité courante. M. Besharat souligne l’importance d’utiliser des mots de passe forts et uniques pour chaque système afin d’éviter qu’une brèche sur une plateforme n’ait d’incidence sur les autres. Les gestionnaires de mots de passe simplifient ce processus et doivent être considérés comme un outil de base.
Selon lui, l’authentification multifactorielle constitue une pratique fondamentale de cyberhygiène qui empêche d’innombrables tentatives d’authentification non autorisées.
Le courrier électronique reste l’un des moyens d’accès les plus faciles. Les attaques par hameçonnage fonctionnent parce qu’elles imitent souvent des tâches quotidiennes ou des interactions courantes avec des messages qui arrivent pendant des périodes très occupées. Les pirates informatiques utilisent l’IA pour créer des attaques par hameçonnage personnalisées, ce qui en fait l’une des méthodes préférées des criminels. Détecter les adresses, les sollicitations et les liens suspects constitue une ligne de défense essentielle.
L’utilisation que l’on fait des appareils a aussi son importance. De nombreux professionnels passent de leurs appareils personnels à ceux de leur travail, se connectent à des réseaux publics ou ignorent les invites de mise à jour.
Bob Besharat, directeur principal des produits et de la technologie chez Portage CyberTech
Ces simples détails peuvent compromettre les systèmes de l’entreprise.
M. Besharat encourage les professionnels à réfléchir de manière critique à leur façon de travailler et à leur lieu de travail. Si on se connecte aux systèmes de son entreprise au moyen d’un appareil personnel, par exemple, il faut respecter les normes de sécurité internes. C’est à la personne utilisatrice qu’il incombe de s’en assurer.
Bien que la prévention soit essentielle à la cybersécurité, M. Besharatconseille aux employés d’aller plus loin. Il recommande aux professionnels non spécialisés en informatique d’acquérir des compétences de base en matière de réponse aux incidents : savoir quand signaler un incident aux échelons supérieurs, comment signaler quelque chose d’inhabituel et pourquoi les détails sont importants. Enregistrer un message suspect ou éviter de forcer un système compromis peut aider le service informatique à réagir plus rapidement et à limiter les dommages.
« Une approche unique ne suffit pas dans le contexte actuel, où les menaces sont complexes », estime M. Besharat.
Si les développeurs doivent adopter des pratiques de codage sécurisées, les équipes financières doivent quant à elles être conscientes de l’évolution des fraudes à la facturation, tandis que les RH doivent se prémunir contre l’hameçonnage visant les données des employés. C’est pourquoi une approche sur mesure permet de mettre en place une stratégie de sécurité à l’échelle de l’entreprise.
M. Besharat fait valoir que les formations pratiques et interfonctionnelles, comme les simulations et les concours organisés à l’interne, se révèlent particulièrement efficaces. Lorsque la formation semble pertinente par rapport aux tâches actuelles des employés, ceux-ci sont plus enclins à retenir les renseignements clés, à rester vigilants et à signaler les problèmes plus rapidement. Lorsque les professionnels ne se contentent pas d’éviter les erreurs, mais protègent aussi activement leur entreprise, c’est signe que la cyberhygiène est efficace.
M. Besharat met en lumière les risques en constante évolution liés à l’intelligence artificielle, notamment les courriels d’hameçonnage personnalisés et la fraude vocale, également appelée « hameçonnage vocal ». De plus, les hypertrucages permettent de simuler la voix de membres de la direction ou des appels vidéo, et l’informatique quantique pourrait un jour compromettre les systèmes de chiffrement existants.
Les milieux professionnels doivent adopter un mode de pensée où la vérification est de mise, l’authentification systématique et la communication entre les équipes, ouverte et réactive. Les entreprises qui normalisent cette culture sont mieux outillées pour réagir et réparer les dommages.
Une seule personne peut réellement changer la donne
Si les avantages pour l’entreprise sont évidents, les personnes qui approfondissent leur compréhension des risques numériques deviennent également des collaborateurs plus efficaces, fait valoir M. Besharat. Elles peuvent gérer les données sensibles en toute confiance, communiquer clairement avec le service informatique et diriger des projets interfonctionnels sécurisés, ce qui renforce à la fois leur visibilité et leur valeur.
« La cybersécurité est un domaine multidisciplinaire qui nécessite des perspectives diverses », résume M. Besharat. « La capacité à combler le fossé entre les aspects techniques et non techniques, à traduire des concepts complexes en langage commercial et à favoriser la collaboration entre les services est un atout inestimable. »
© Université Concordia
