« Conseils sur la cybersécurité à l’intention des courtiers »

Grant Patten, Communications Specialist | BC Broker, avril 2016

D’après l’entreprise de sécurité numérique Gemalto, les compagnies canadiennes ont dû faire face à au moins 59 atteintes à la sécurité des données mettant en cause plus de 40 millions de fichiers en 2015.

À l’heure actuelle, les courtiers savent probablement que la sécurisation des données des clients et des compagnies devrait figurer au premier rang de leurs priorités, étant donné l’économie aujourd’hui axée sur l’information. Toutes les quelques semaines, une nouvelle cyberattaque visant une grande organisation semble faire la manchette. Les courtiers ont‑ils pris en considération les pratiques spécifiques sur la sécurité qui peuvent être mises en place rapidement pour atténuer l’impact de tels incidents ou simplement les prévenir? Les pratiques sur la sécurité mentionnées dans le présent article témoignent d’améliorations sensibles au chapitre de la sécurité dont la mise en œuvre est facile, qui nécessitent des rajustements négligeables du cheminement du travail et qui n’entraînent aucun achat de systèmes coûteux.

Pratiques exemplaires sur la gestion des mots de passe

Fait intéressant, la cause profonde de nombreuses cyberattaques de grande envergure dont font état les grands titres se résume souvent simplement à une mauvaise gestion des mots de passe, comme ce fut le cas lors du piratage du site Ashley Madison, dont on a beaucoup entendu parler l’an dernier. La plupart des mots de passe que les pirates ont réussi à déchiffrer étaient des mots de passe faibles, courants, excessivement simplistes, comme « 123456 », « password », « DEFAULT » et « qwerty ». En revanche, à peu près 3,7 millions de comptes chez Ashley Madison ont été intouchés, vraisemblablement parce qu’ils étaient assortis de mots de passe ou phrases de passe sûrs, composés de chaînes plus longues de lettres majuscules et minuscules, de nombres et de symboles.

Les courtiers devraient donc songer à répandre au sein de toute la maison de courtage la pratique consistant à exiger un mot de passe unique et sûr pour chacun de leurs systèmes. L’on s’oppose souvent à ce type de politique au motif qu’il est difficile de créer de tels mots de passe forts et qu’il est en revanche facile de les oublier. Et nous ne recommandons certainement pas aux courtiers de créer de tels mots de passe, de les écrire sur une note Post‑it et d’apposer celle‑ci sur leur écran, comme le font malheureusement certains utilisateurs. Il existe une meilleure solution, laquelle consiste à créer une phrase de passe unique et humoristique (p. ex. « ImGladMyPassw0rdIsAGood1! » ou « ThisBrokerageUsesRealStr0ngPassw0rds ») plutôt que de choisir au hasard un assortiment de lettres, de symboles et de chiffres. Ce type de phrase de passe tend à rendre la vie difficile aux pirates davantage que les mots de passe, et il est plus facile de s’en souvenir.

Protection contre les bogues et correctifs

Le bogue de sécurité Heartbleed qui a été révélé en avril 2014 a eu une incidence sur de nombreuses entreprises, dont l’Agence du revenu du Canada, qui a confirmé qu’au moins 900 numéros d’assurance sociale avaient été compromis. L’attaque a exploité un protocole de sécurité normalisé et courant qui n’avait pas été mis en application correctement ni maintenu au moyen des mises à  cours et correctifs les plus récents.  

Les courtiers pourraient, comme pratique exemplaire, renseigner le personnel de leur bureau sur la manière de reconnaître et d’utiliser les seuls sites Web qui sont sûrs. La première étape, à cet égard, consiste à s’assurer que l’URL, ou l’adresse Web, commence par https://. C’est particulièrement important lorsque vient le temps de saisir des données, quelles qu’elles soient, notamment dans un formulaire. Aujourd’hui, la plupart des sites Web ont réussi à corriger le bogue Heartbleed et ainsi à éliminer les vulnérabilités. Le Heartbleed a permis de tirer la leçon suivante : il faut absolument appliquer régulièrement des correctifs à l’infrastructure (et non seulement au site Web) – ceux qui ne le font pas continuent de s’exposer à un risque. 

Discutez avec votre fournisseur de TI pour veiller à ce que le HTTPS soit bien mis en place sur votre site Web et, si votre site ne l’a pas, songez à remédier à la situation. Vous bénéficierez ainsi d’une mesure de sécurité supplémentaire, en plus de jouir de meilleurs classements au titre de l’optimisation des moteurs de recherche (OMR) – Google trouve et place en priorité les sites Web sûrs dans les résultats des recherches.

Protection de l’ingénierie sociale

L’ingénierie sociale, que l’on appelle aussi le « piratage du cerveau humain », tire profit d’un comportement humain courant pour piéger les employés et les amener ainsi à télécharger un code  malveillant ou à divulguer des renseignements de nature délicate. Le phénomène de l’hameçonnage, par lequel les pirates créent des sites Web ou des courriels qui donnent l’impression d’être des communications officielles et urgentes d’une banque ou d’autres compagnies reconnues, est un type répandu d’ingénierie sociale. Lorsque les employés cliquent sur un lien, ils risquent de télécharger par inadvertance un code malveillant. L’hameçonnage est à la hausse – 23 % des destinateurs ouvrent des courriels d’hameçonnage et 11 % cliquent sur des pièces jointes, d’après le Data Breach Investigations Report de Verizon pour 2015.

La meilleure façon de contrecarrer l’hameçonnage est simplement de faire preuve de plus de discernement lorsqu’on lit des courriels et qu’on clique dans ceux‑ci. Le courriel a‑t‑il un air impersonnel, provient‑il d’une organisation que vous ne connaissez pas bien, ou contient‑il un .ZIP comme pièce jointe? Dans l’affirmative, il pourrait s’agit d’un pourriel. Si vous connaissez le nom de la compagnie, vérifiez l’adresse électronique  – elle devrait correspondre exactement à celle des courriels que vous avez reçus d’elle par le passé. En outre, si un courriel vous paraît douteux, mais que vous devez procéder à des recherches plus approfondies, les utilisateurs pourraient toujours naviguer vers un site Web officiel manuellement plutôt que de cliquer sur lien qui est fourni dans le courriel. Enfin, faites preuve de prudence lorsque vous utiliser des appareils qui proviennent de l’extérieur de la compagnie, comme des clés USB, car ils sont souvent la source de virus.

Gestion et restriction de l’accès

Le principe du droit d’accès minimal est un concept qui relève de la sécurité des TI et qui encourage l’attribution restreinte de droits d’accès aux réseaux informatiques selon le profil de l’utilisateur; autrement dit, les utilisateurs ne devraient avoir accès qu’aux parties du réseau dont ils ont besoin pour accomplir leur travail. Si, par exemple, l’employé n’exécute aucune fonction comptable, il ne devrait jouir d’aucun accès à cet égard. Le cas récent et peut‑être le plus célèbre d’une organisation qui a négligé le principe du droit d’accès minimal et qui en a payé le prix est celui, ironiquement, d’Edward Snowden, qui a divulgué des renseignements secrets de l’Agence nationale de sécurité américaine (NSA). Snowden avait un accès pour ainsi dire illimité à tout le réseau de la NSA, en sus des niveaux d’accès requis pour accomplir ses tâches quotidiennes. Il lui a donc été très facile d’accéder à des milliers de documents classifiés de la NSA et de les divulguer.

L’équipe de direction d’une maison de courtage ne devrait pas tenir pour acquis que, pour le seul motif qu’un employé est digne de confiance, il ne communiquera jamais de renseignements délicats à l’extérieur de la maison de courtage. Qu’ils soient délibérés ou accidentels, de tels incidents peuvent survenir avec un employé. La plupart des produits du système de gestion de courtage (SGC) sont assortis de niveaux d’autorisation différents qui peuvent être adaptés sur mesure; les courtiers devraient tirer parti de cette caractéristique et créer divers niveaux d’accès pour les employés, et ainsi accorder à chacun un accès aux seuls secteurs dont il a besoin pour effectuer son travail en plus de restreindre son accès à d’autres secteurs. Veillez également à éliminer l’accès à tous les systèmes dès qu’un employé quitte la maison de courtage; n’oubliez pas les portails de la compagnie et des partenaires, leurs sites Web et leurs comptes de courriel  et, évidemment, le SGC. À cette fin, il serait prudent de maintenir une liste de tous les systèmes auxquels chaque employé a accès afin d’éliminer toute incertitude au moment de son départ. À noter que la mise en commun de comptes entre employés n’est pas une pratique exemplaire et devrait être évitée de manière générale.

Le CSIO cherche davantage à faire connaître la question de la cybersécurité qu’à formuler des recommandations spécifiques. Les points soulevés précédemment ne devraient donc pas être considérés comme étant des exigences strictes. Il serait prudent d’inclure les pratiques de sécurité comme celles qui ont été mentionnées précédemment dans une politique sur la sécurité officielle de la maison de courtage. Les étapes suivantes, c’est‑à‑dire le suivi sur la police auprès d’un expert, la vérification par un tiers et l’application à l’interne, sont elles aussi importantes. Les courtiers devraient songer à communiquer avec une entreprise de sécurité des renseignements établie pour élaborer une telle politique. Surveillez le site CSIO.com, où vous trouverez du matériel éducatif sur la cybersécurité au cours des mois à venir.