Un homme en costume d'affaires avec un casque de chevalier, un bouclier et une épée sur un fonds urbain.
lassedesignen / 123rf

Plus que jamais, les cabinets de services financiers doivent en faire une priorité, quelle que soit leur taille.

En fait, les plus petites organisations sont même les plus à risque, car «les PME constituent maintenant la principale cible des cyberpirates», comme le souligne Simon David Williams, PDG du Groupe ISM.

Les cabinets de services financiers ont d’autant plus intérêt à raffermir leurs pratiques de sécurité que le marché des données personnelles est très florissant et lucratif. Un simple numéro de carte de crédit avec son code de vérification de sécurité se vend 80 $ dans les réseaux interlopes, signale Michel Mailloux, président du Collège des professions financières. Une carte d’assurance maladie du Québec se vend 250 $, un passeport canadien, jusqu’à 6 500 $.

Voici un programme relativement simple et peu coûteux à mettre en place pour vous protéger, bâti à partir des conseils de spécialistes de la sécurité informatique.

1. Évaluation des risques

De prime abord, il faut bien analyser les risques, souligne Michael Albertson, spécialiste montréalais en cybersécurité.

Demandez-vous ce qui pourrait vous arriver de pire et ce qui pourrait en résulter. Quelles seraient les conséquences si des données clients étaient volées ? Si vos bureaux – et vos dossiers – étaient détruits par un incendie ? Qu’arriverait-il si vous perdiez votre portable ? Si un pirate bloquait l’accès à tous vos fichiers et vous demandait une rançon de 60 000 $ pour les déverrouiller ?

«La sécurité parfaite n’existe pas, dit l’expert. C’est pourquoi il faut donner la priorité aux mesures qui visent les risques les plus élevés.»

2. Protection des accès

Les menaces sont innombrables dans les points d’entrée du cabinet, c’est-à-dire dans les courriels et les messages texte (SMS). Il faut se doter d’un solide antivirus et d’une suite de logiciels qui protègent contre une variété croissante de maliciels : logiciels espions qui enregistrent les frappes de touches sur un clavier et les déplacements en ligne (notamment dans le compte bancaire), logiciels de rançon, logiciels d’asservissement (zombies), chevaux de Troie, etc.

Beaucoup d’utilisateurs de Windows se contentent de l’application Defender qui est intégrée aux plus récentes versions de ce système d’exploitation. C’est nettement insuffisant, juge Simon David Williams : «Dans 80 % des incidents où nous sommes intervenus, les entreprises comptaient sur Windows Defender», dit-il. Or, celui-ci est uniquement un antivirus. On doit le compléter avec un logiciel offrant une suite de protection contre les différents maliciels.

Il faut avoir une saine gestion des mots de passe. Ceux-ci doivent être complexes et, de préférence, il vaut mieux recourir à un gestionnaire de mots de passe, comme KeePass. Le principe est simple : KeePass sauvegarde tous les mots de passe dans un fichier chiffré, qui est accessible par un seul mot de passe principal.

Michel Kabay, professeur de sécurité de l’information à l’Université Norwich, au Vermont, donne un excellent truc pour composer un bon mot de passe. On choisit un mot complexe, puis on le déforme. Par exemple, «parchemin» peut devenir «parrechemmain», auquel on peut ajouter des chiffres et des signes spéciaux, pour former : «paRRe !cheMMain3487».

On atteint ainsi trois objectifs : a) on déjoue les systèmes de déchiffrage numérique qui parcourent le dictionnaire en une fraction de seconde ; b) on s’appuie sur un aide-mémoire en utilisant un mot connu ; c) on peut se souvenir du mot de passe sans l’écrire sur un bout de papier collé à l’écran de son ordinateur.

Nettement mieux que des collections de mots de passe, on trouve les générateurs automatisés de mots de passe. Synchronisé à un logiciel dans le réseau informatique, le générateur produit un mot de passe aléatoire qui doit être validé par le réseau en moins de quelques minutes, sinon il expire et un nouveau mot de passe doit être généré.

3. Protection numérique

Il importe de protéger les données les plus importantes, notamment les dossiers des clients, en les cryptant. Autre mesure cruciale : la sauvegarde systématique des données stratégiques. Ces mesures sont grandement facilitées par des suites de logiciels comme Office 365 et le service info-nuagique OneDrive de Microsoft.

«Les mécanismes de sécurité sur ces systèmes sont très sérieux et simplifient énormément les problèmes de sécurité qu’on pouvait avoir dans les années 1990. Malheureusement, les gens ne s’en servent pas», dit Michael Albertson.

4. Protection physique

Il faut protéger les lieux où reposent les données (verrous, accès réservés) et toute la quincaillerie informatique elle-même. Il faut prévoir un plan de relève au cas où ces appareils seraient frappés par une catastrophe (incendie, inondation, etc.).

Un tel plan de relève peut être coûteux pour un cabinet. C’est pourquoi Michel Kabay suggère que quelques cabinets collaborent et partagent des mécanismes de relève, en s’entraidant par exemple pour l’hébergement de données et pour la mise à disposition de la capacité informatique.

Les appareils mobiles et téléphones cellulaires sont faciles à voler, ce qui complique leur protection. La meilleure politique est de ne leur confier aucune information importante, suggère Michel Kabay.

5. Gestion des ressources humaines

Tous les spécialistes en sécurité s’entendent sur le fait que l’humain, agissant par ignorance ou avec intention malicieuse, constitue le maillon faible de la sécurité. Il faut donc sensibiliser les employés aux différents dangers potentiels (maliciels, manipulation de personnes extérieures, traitement négligent de l’information, etc.) et les renseigner sur les moyens de protéger efficacement les données.

À la suite du départ d’un employé, pensez à changer les mots de passe et les autorisations d’accès. Il faut tout particulièrement prendre garde aux employés qui sont congédiés : certains pourraient être tentés d’introduire un virus dans le réseau informatique, par exemple.

6. Acquisition d’une cyberassurance

De plus en plus de compagnies d’assurance offrent de telles polices, dit Simon David Williams. Elles ne couvrent pas les pertes de productivité, mais elles offrent une protection pour couvrir les dépenses en cas de poursuites à la suite d’un vol de données, précise-t-il.

L’assureur peut aussi offrir les services d’un cyberconseiller pour aider l’entreprise à reprendre rapidement ses activités à la suite d’une cyberattaque, et à communiquer efficacement avec ses clients afin de se protéger contre des poursuites éventuelles.