5 pistes pour prévenir une attaque informatique (et réagir si ça arrive!)

Ben Smith RSA Five P's of Breach response

La sécurité informatique, ce n’est pas que pour les grandes entreprises! Les PME et les travailleurs autonomes doivent aussi s’y mettre. Un environnement informatique sécuritaire est nécessaire pour que tous puissent travailler rondement, et de plus en plus, simplement pour collaborer avec des clients qui ne prennent pas à la légère leur sécurité informatique.

Ben Smith RSA GoSec 2018 Gosec 5 P

La conférence de cybersécurité GoSec 2018 a commencé par une présentation de Ben Smith, CTO de RSA, une entreprise spécialisée en sécurité informatique et en authentification (celle qui entre autres rend les pages web plus sécuritaires). On y proposait 5 pistes pour prévenir les failles informatiques… et mieux y répondre si jamais on était victime!

En anglais, chaque conseil contenait un P – « les 5 P pour répondre à une faille informatique » (The Five P’s of Breach Response). J’ai traduit et adapté librement…

Le manque de pratique

(Lack of Practice) C’est bien d’avoir un plan de rétablissement et de continuité des affaires en cas d’attaque informatique, mais il faut aussi le mettre en pratique de temps en temps. C’est une bonne idée de faire des répétitions avec les employés concernés. On pourra ainsi mettre au point le plan et découvrir les problèmes d’application – qu’est-ce qui se passe si un piratage empêche de communiquer par courriel, par exemple? Il faut aussi le garder à jour!

Mal comprendre l’impact d’une faille

(Misreading the Punch) Dans la panique causée par la découverte d’une faille, on peut mal évaluer son impact. Un problème qui semble anodin peut causer de gros problèmes plus tard. Par exemple, est-ce qu’un ordinateur volé (… juste un laptop, ce n’est pas grave!) contient des données importantes?

Les gens ne sont pas des pions interchangeables

(People are not cogs in a wheel) Tous les employés font partie de l’équipe de sécurité informatique! Il faut s’assurer qu’ils sont motivés. Il faut faire évoluer leurs tâches, leur faire jouer un rôle de mentor… Et il faut pas uniquement se fier aux fournisseurs externes pour la sécurité informatique: le personnel doit se sentir impliqué et responsable, et s’approprier les meilleures pratiques.

Attentions aux attaques indirectes

(The Partner-to-Target Vector) Les attaques informatiques ne nous visent pas toujours directement – elles sont aussi indirectes. Les pirates peuvent viser un maillon plus faible et passer par des fournisseurs et les partenaires moins bien protégés. Ils pourront infecter le site d’un petit restaurant, dans l’espoir qu’un employé d’une entreprise ciblée en télécharge le menu contaminé… (Un cas réel!)

Réaction vs. proactivité

(Reacting vs Proactively Hunting) L’importance de chasser les failles avant d’être attaqué. Parce qu’on s’épuise à réagir aux alertes, spécialement aux fausses alertes de sécurité. On en vient qu’à ne plus savoir quoi faire: on paralyse. Plus vite une faille est détectée et colmatée, moins l’adversaire peut s’installer confortablement et prendre ses aises dans notre système informatique!

P.

PS Si le sujet vous intéresse, vous pouvez lire mes notes sur le forum sécurité et fraude Desjardins 2018.

Les bonnes pratiques informatiques, ça rapporte: « On avait déjà préparé un plan de contingence en cas d’attaque informatique, alors on a réussi à repartir nos affaires »