Se passe-t-il une seule journée sans qu’un nouvel incident de cybersécurité fasse les manchettes ? Encore une fuite d’informations personnelles, une autre organisation victime d’un rançongiciel, une vague de messages frauduleux, une technique révolutionnaire qui contourne les systèmes de sécurité les plus avancés… Et chaque fois, ces nouvelles sont accompagnées de conseils pour limiter les risques que nous en soyons les victimes nous aussi.
Avec le temps qui passe et les cyberattaques qui se succèdent, ces recommandations s’empilent jusqu’à ressembler au mont Saint-Hilaire. Conséquence : l’ampleur du travail pour être en sécurité face à toutes ces menaces semble insurmontable et la tentation d’abandonner est alléchante. Après tout, à quoi bon ces efforts, sachant qu’on n’y arrivera jamais ?
Et voilà ce dont je veux parler dans cette première chronique : recentrons le discours pour voir s’il est possible d’élever son niveau de cybersécurité sans se sentir dépassé.
S’y retrouver sans perdre la boule
Dans le contexte organisationnel, on sait depuis longtemps que la cybersécurité est un processus continu et non une fin en soi. C’est un fait acquis qu’une organisation doit constamment évoluer dans ses pratiques de cybersécurité, s’adapter aux nouvelles menaces et technologies.
Or, ce concept s’applique également à la maison ! Il faut évacuer de votre esprit l’idée que l’objectif à atteindre est de s’immuniser contre l’entièreté des risques. D’abord, parce que c’est une tâche impossible, ensuite parce que c’est une perte de temps ‒ j’y reviendrai plus loin.
Je propose plutôt de se fixer des objectifs modestes et d’y aller une étape à la fois, à votre rythme. Chaque étape réussie réduira d’autant votre exposition à certaines menaces et, avec le temps, les risques que vous soyez victime d’une cyberattaque diminueront radicalement.
Par où commencer
Un bon plan de match doit être adapté à ce qu’on appelle dans le jargon le « profil de risque ». Par exemple, une organisation telle Hydro-Québec doit se considérer comme une cible potentielle de cyberattaques des gouvernements étrangers ayant pour but de saboter ses opérations. Son plan de match doit donc inclure des mesures pour prévenir ce type d’attaques.
La bonne nouvelle ? Vous n’intéressez fort probablement pas les services secrets d’un pays hostile… Dépenser de l’énergie pour vous prémunir contre des attaques qui ne se produiront jamais serait donc peu utile.
En effet, le profil de risque du « commun des mortels » est beaucoup plus simple que celui d’Hydro-Québec. La raison semble évidente : l’écrasante majorité des cyberattaques sont totalement opportunistes, c’est-à-dire qu’elles ne visent personne en particulier et tout le monde en même temps. Et seuls ceux qui y sont vulnérables en seront des victimes.
Je vais donc axer mes prochaines chroniques sur les enjeux qui concernent vraiment ce « commun des mortels » et je tâcherai de vous guider vers la préparation de votre propre plan de match en insistant sur les bonnes pratiques qui auront un impact positif sur votre sécurité et celle de votre famille.
D’ici là, pensez aux actions que vous avez entreprises dernièrement pour améliorer votre cybersécurité. Un mot de passe renforcé par-ci, l’activation de l’authentification multifactorielle par-là ? Peu importe ce que vous aurez identifié, croyez-moi sur parole : vous avez déjà fait un pas dans la bonne direction !
