Épisode 10 - Les crises mondiales : des occasions en or pour le cybercrime

Transcription du podcast

Cyrielle Chiron :
Au cours des derniers mois, les Canadiens ont changé leurs habitudes au quotidien et adopté les outils numériques dans leur vie personnelle et professionnelle. Ainsi, ils se fient de plus en plus aux plateformes en ligne pour magasiner, communiquer, gérer leurs finances, et même faire de l’exercice. Ce changement, quoique nécessaire, suscite toutefois certaines inquiétudes. Le cybercrime a connu un regain, ce qui a incité les Canadiens à revoir leur façon de se protéger en ligne. Pour l’industrie des paiements, qui doit gérer des renseignements de nature extrêmement délicate appartenant aux entreprises comme aux particuliers, le moment est tout désigné pour faire le plein d’information.

Cyrielle Chiron :
Je m’appelle Cyrielle Chiron et j’anime le balado PayPod, qui aborde sous tous ses angles l’ambitieuse mission de modernisation des paiements du Canada et explore les thèmes façonnant le monde des paiements au pays et dans le monde.

Cyrielle Chiron :
Dans l’épisode précédent, nous avons examiné l’évolution des paiements dans la foulée de la COVID-19, qui a donné lieu à une normalisation des paiements en ligne. Mais dans ce même contexte, nous voyons aussi que le cybercrime est en hausse et que les fraudeurs ont rapidement su profiter de la nouvelle donne, que ce soit en piratant des appels Zoom ou en multipliant les tentatives d’hameçonnage. La table est donc mise pour le sujet du jour, qu’exploreront nos deux invités. Se retrouver la malheureuse victime d’un cybercrime peut être angoissant, voire dangereux, mais il existe des façons d’assurer au mieux votre protection et celle de votre entreprise.

Cyrielle Chiron :
Je reçois aujourd’hui Alex Frappier, directeur général des partenariats stratégiques de l’organisme à but non lucratif CanCyber. Alex compte plus de 20 ans d’expérience en sécurité et en renseignements sur les menaces, qu’il a acquise dans le secteur privé et auprès du gouvernement du Canada. Il est ingénieur social certifié de niveau « master » et fait actuellement une maîtrise à l’Université métropolitaine de Manchester, au Royaume-Uni, sur les comportements et la tromperie dans les communications, étudiant plus précisément les techniques de tromperie qu’utilisent les pirates informatiques envers les ingénieurs sociaux.

Cyrielle Chiron :
Nous nous entretiendrons aussi avec Martin Kyle, dirigeant principal de la sécurité de l’information ici à Paiements Canada, fonction dans laquelle il exploite sa connaissance de la cybersécurité pour résoudre des problèmes rencontrés par l’écosystème des paiements. Martin a participé à la conception de normes internationales, de politiques de sécurité pour les secteurs public et privé, de logiciels commerciaux, de modèles de prédiction des risques et de produits brevetés. C’est avec grand plaisir que nous l’accueillons pour qu’il nous fasse part de son point de vue original sur la situation.

Cyrielle Chiron :
Merci à vous deux de vous joindre à nous pour cette édition de PayPod.

Martin Kyle :
Merci à toi, Cyri.

Alex Frappier :
Merci beaucoup.

Cyrielle Chiron :
Je suis très heureuse de pouvoir discuter avec vous deux et d’en apprendre davantage sur la cybersécurité. Avant d’aborder ce que nous devons savoir ou les mesures à prendre comme citoyens pour prévenir les problèmes en ligne, j’aimerais vous donner la parole, Alex, car votre parcours est très intéressant. Vous travaillez dans la cyberindustrie, mais êtes un spécialiste des comportements humains. Je crois avoir besoin de quelques explications : jamais je n’aurais associé les deux. Pourriez-vous m’éclairer un peu, si vous le voulez bien?

Alex Frappier :
Merci. En fait, c’est très intéressant. On a plutôt tendance à penser aux types de cyberattaques, en voyant la chose d’un angle vraiment technique. Mais en fin de compte, la plupart des attaques représentent ce qu’on appelle du piratage psychologique. Une de ses caractéristiques, c’est qu’on tente essentiellement de changer l’état d’esprit de la personne ou de l’inciter à poser un geste qu’elle ne ferait pas autrement.

Alex Frappier :
Prenons les courriels d’hameçonnage. Il faut avoir une certaine connaissance de la psychologie pour amener quelqu’un à changer son comportement habituel et à cliquer dans un courriel. D’autres types d’attaques, comme la sollicitation téléphonique, fonctionnent en gros de la même manière. Il s’agit d’amener la personne dans une trajectoire très précise et de changer sa façon de penser. C’est ce qui fait qu’une attaque réussit.

Alex Frappier :
Les aspects qui sont liés au comportement humain sont très nombreux. Entre autres la dimension physique, par exemple lorsqu’on parle de détection de la tromperie, d’usurpation d’identité, ou de tentative d’intrusion dans un bâtiment ou une installation. Il existe des moyens de se protéger en analysant la façon de penser sous-jacente. C’est la compréhension du comportement qui nous éclaire sur le modus operandi et les motivations associées aux attaques ainsi que les clés qui en assurent la réussite.

Cyrielle Chiron :
Voilà qui est fascinant. J’aime bien quand vous parlez de changer le comportement. Justement, parlant de ce comportement et de motivations, pouvez-vous nous en dire un peu plus sur les raisons derrière les attaques que l’on voit au Canada et dans le monde? D’après votre expérience, quels sont les principaux comportements que les gens peuvent avoir à l’œil pour éviter ce genre de problèmes en ligne?

Alex Frappier :
Vous savez, selon moi, il ne s’agit pas nécessairement de surveiller certaines actions en ligne, mais plutôt de prendre conscience de son propre comportement et de sa façon de réagir à certains événements.

Alex Frappier :
En ce qui a trait à l’influence ou aux émotions en général, il y a un concept qui s’appelle la « séquestration de l’amygdale ». L’amygdale est une petite partie du cerveau qui, en gros, traite les émotions. Lorsqu’on ressent de la peur, de la colère, du dégoût ou n’importe quelle émotion puissante, le schème de pensée est modifié. Même si, au travail par exemple, vous êtes très au fait des questions de sécurité, que vous contrôlez vos courriels et que vous connaissez la situation, les pirates ou les ingénieurs sociaux utiliseront vos émotions pour influencer votre façon de penser. Ce qu’ils font, c’est prendre le contrôle de votre amygdale pour créer une réponse émotionnelle qui modifiera votre réaction à un événement.

Alex Frappier :
Une des grandes… Pourquoi est-ce si important dans la situation que l’on vit aujourd’hui? Souvent, les pirates utilisent un événement majeur qui s’est produit dans le monde, comme une catastrophe ou quelque chose qui fait les nouvelles et qui touche vraiment les gens. Et actuellement, avec la pandémie, nous sommes dans une situation parfaite.

Cyrielle Chiron :
En effet.

Alex Frappier :
C’est énorme, tout le monde est au courant, tout le monde en parle, et les gens ont peur. Dans un tel contexte, il est d’autant plus facile de susciter de la peur ou un sentiment de panique, que ce soit dans un courriel ou tout autre type de discussion.

Alex Frappier :
L’autre aspect à prendre en compte, c’est le fait qu’on a changé d’environnement de travail. Les gens sont moins performants en dehors de leur contexte habituel. Il y a plein de distractions et beaucoup de choses qui modifient le mode de pensée normal. Et lorsqu’il est question de sécurité, il faut avoir les idées claires. Il faut savoir reconnaître une menace, déterminer comment se comporter et comment agir. Donc, à la base, la sécurité repose soit sur la réputation, soit sur la formation de l’utilisateur.

Alex Frappier :
Pour les pirates, le contexte actuel est donc une occasion en or, absolument parfaite.

Cyrielle Chiron :
Avez-vous des exemples de ce qu’on a pu voir durant la pandémie?

Alex Frappier :
Si on regarde du côté de ce qu’on appelle les indicateurs, ou des compromissions, ou des courriels s’il s’agit d’hameçonnage, on voit que les criminels utilisent beaucoup les domaines associés à la COVID. Le nombre de nouveaux sites Web et de nouveaux domaines liés à la COVID est absolument incroyable et se compte par milliers. Des gens enregistrent des noms de domaine, puis envoient des courriels qui, par exemple, invitent le destinataire à faire un don ou à prendre connaissance d’informations très importantes sur une possible attaque le visant ou un contact potentiel avec une personne infectée, et qui lui demandent de cliquer sur un lien pour en savoir plus. C’est ce clic qui peut faire entrer un virus dans votre ordinateur.

Cyrielle Chiron :
Très bien. C’est bien de faire un rappel général, car on ne peut pas toujours contrôler ce genre d’émotions, et encore moins en temps de crise comme aujourd’hui.

Cyrielle Chiron :
Je reviendrai sur cet aspect pour en discuter davantage. Mais avant, j’aimerais m’adresser à vous, Martin, et profiter de votre très vaste expérience des paiements. La fraude liée aux paiements n’a rien de nouveau, n’est-ce pas? C’est quelque chose dont nous parlons beaucoup à Paiements Canada. Cela dit, dans un contexte où les changements rapides se succèdent dans l’industrie – on pense entre autres aux plateformes et aux technologies –, comment les cybermenaces ont-elles évolué en même temps?

Martin Kyle :
En résumé, ces menaces sont devenues plus perfectionnées. En ce qui concerne les paiements, elles peuvent toucher les particuliers, ou remonter en amont et viser les entreprises et même le système de paiements de gros.

Martin Kyle :
Prenons par exemple le vol de la Banque du Bangladesh en 2016. La banque centrale de ce pays a subi une attaque qui lui a coûté plus de cent millions de dollars, dont seule une partie a été récupérée. Les pirates ont placé dans ses systèmes un maliciel qui, pendant des mois, les a renseignés sur les processus d’affaires à activer pour virer des fonds à partir du compte de l’institution à la Réserve fédérale vers des comptes à l’étranger, qui étaient en fait des comptes de particuliers.

Martin Kyle :
Bien sûr, une partie des sommes a été récupérée. Mais on remarque que le degré de complexité de ce type d’attaque dépasse largement celui des attaques visant le compte de banque en ligne ou l’ordinateur d’un particulier.

Cyrielle Chiron :
Mm-hmm (acquiescement).

Martin Kyle :
De façon générale, les cybermenaces sont maintenant beaucoup plus complexes. Pourquoi? Notons que certains pays utilisent leurs outils informatiques pour réaliser leurs objectifs nationaux en matière de renseignements. Mais parfois, ces outils très perfectionnés aboutissent entre les mains d’organisations criminelles. À partir de là, il est très facile de copier ces outils et de les intégrer à des cadres, et ensuite de les utiliser pour tirer profit de systèmes particuliers ou financiers, ou d’autres cibles.

Martin Kyle :
Tous les pirates ne sont pas égaux quant à la complexité de leurs techniques. On peut faire de grandes catégories, comme les pirates adolescents, les cyberactivistes, le crime organisé, les terroristes, et même les malfaiteurs soutenus par un État, mais une chose est commune à tous : les outils, les tactiques et les procédures changent constamment. Cette évolution de la menace nous oblige à ne jamais baisser la garde.

Cyrielle Chiron :
Bien, très intéressant. Nous avons d’un côté le cerveau humain et les émotions, et de l’autre, le fait que tout est en évolution. Mais même si vous changez votre réaction, les pirates en tirent parti et améliorent leurs menaces. Vous devez donc toujours être en état d’alerte, n’est-ce pas?

Martin Kyle :
Exactement. C’est une sorte de course aux armements.

Cyrielle Chiron :
Oui, tout à fait. Voilà qui est bien intéressant.

Cyrielle Chiron :
Maintenant que nous avons un meilleur portrait de la situation, y a-t-il des lacunes ou des erreurs courantes que vous observez chez les Canadiens en matière de protection en ligne, qu’il s’agisse de leur personne ou de leur entreprise? De toute évidence, vous nous direz qu’il ne faut pas mettre trop d’informations personnelles sur les médias sociaux, mais qu’auriez-vous d’autre à nous conseiller?

Cyrielle Chiron :
Commençons avec Alex, et ensuite Martin nous fera part de son avis.

Alex Frappier :
Oui. Un des problèmes, c’est que la prise de conscience des menaces se fait au niveau des organisations. Martin a raison quand il dit que les acteurs étatiques proposent de nouveaux outils, mais il faut aussi considérer la disponibilité de ces outils, que ce soit sur le Web caché ou grâce à des fenêtres de clavardage où l’on vous dirigera très facilement au bon endroit. Les entreprises sont au courant, et on offre effectivement une certaine formation de sensibilisation des utilisateurs. Cependant, cette formation a souvent un champ d’application trop limité et ne prépare pas la personne à travailler de la maison.

Alex Frappier :
À la maison, l’installation est complètement différente. Les distractions auront tendance à être beaucoup plus nombreuses. De plus, les systèmes pour usage personnel et pour le travail seront mélangés. Certains vont lire leurs courriels sur l’un comme sur l’autre. Avec les enfants qui tournent autour, le degré de distraction est au maximum. Je pense que le manque de préparation ou de formation sur cet aspect prend vraiment tout le monde par surprise. Nous ne savons pas trop quels sont les éléments à considérer ni ce qu’il faut faire dans ce nouvel environnement.

Alex Frappier :
J’ai parlé des attaques par usurpation d’identité au moyen des courriels, ou hameçonnage, qui est une technique facile. Une attaque semblable est l’hameçonnage vocal, qui est de la sollicitation par téléphone où le malfaiteur imite quelqu’un de votre entreprise pour vous faire ouvrir quelque chose ou cliquer sur un lien. Et il y a la même chose avec l’hameçonnage par texto, qui est une attaque par message texte. Toutefois, il n’existe actuellement aucun moyen ni aucun système qui permet aux entreprises d’identifier adéquatement l’expéditeur réel d’un courriel. Vous pourriez donc recevoir un courriel de votre patron qui vous demande de faire telle procédure ou d’ouvrir tel document, alors qu’il s’agirait en fait d’un pirate.

Alex Frappier :
On observe beaucoup de cas d’usurpation d’identité qui passent non seulement par le courriel, mais aussi par le téléphone. Le criminel écoute la voix à imiter, souvent à partir d’une vidéo ou d’un balado – les sources où l’on peut bien entendre le ton de voix de quelqu’un ne manquent certainement pas. Puis, il effectue un appel en se faisant passer pour cette personne. Même si le destinataire voit que l’appel est non sollicité, il s’agit que l’arnaqueur parle avec confiance pour que l’autre personne le sente et commence à douter. Le criminel peut alors lui demander de faire des actions bien précises. Il dira : « ouvre telle chose », « j’ai besoin d’un virement de tel montant maintenant », « je fais telle chose, je suis pris avec cela, mais il faut le faire en urgence ». Et les gens obéissent.

Alex Frappier :
Les entreprises ont perdu des centaines de milliers de dollars à cause de ces fraudes courantes, qui se faisaient pourtant au bureau, où les gens ont une certaine protection. Mais la fraude à la maison, que ce soit au moyen de coordonnées, d’appels vidéo ou d’appels téléphoniques transférés, les gens n’y sont pas préparés. Je dirais donc que le manque de formation est l’un des gros problèmes : les gens ne sont pas prêts.

Cyrielle Chiron :
Bien. Alors je devrais peut-être changer mon ton de voix pour ne pas qu’on utilise ce balado pour m’imiter. Mais c’est un excellent point, non? Nous étions habitués à être toujours au bureau et à utiliser le matériel de l’entreprise, alors que maintenant nous utilisons aussi nos appareils personnels. C’est un élément très intéressant que vous soulignez là.

Cyrielle Chiron :
Martin, auriez-vous quelque chose à ajouter au sujet des erreurs que font couramment les Canadiens et qui les plongent dans ce genre de situation?

Martin Kyle :
J’aimerais d’abord parler des bons comportements, et ensuite prendre le contre-exemple pour aborder les erreurs. Un journaliste spécialisé en sécurité du nom de Brian Krebs a établi quelques règles de base pour se protéger en ligne. La première, c’est de ne jamais installer une application que vous n’avez pas demandée. Pour renvoyer à ce qu’Alex disait sur la dimension de « piratage psychologique » des attaques, s’il s’agit d’un courriel non sollicité, vous devriez peut-être vous en méfier.

Martin Kyle :
La première règle est donc : si vous ne l’avez pas demandé, ne l’installez pas, ou ne l’ouvrez pas. Si vous avez installé une application, tenez-la à jour. Si vous n’en avez plus besoin, supprimez-la. Vous pouvez appliquer ces règles à tous vos logiciels, à l’entretien de votre système d’exploitation et même aux micrologiciels qui font fonctionner vos appareils à la maison, par exemple votre routeur. À quand remonte la dernière mise à jour du micrologiciel de votre routeur? C’est pourtant important de le faire.

Martin Kyle :
À l’opposé de ces règles, nous avons les erreurs. Par exemple, installer ou ouvrir tout ce qui se présente à vous. Non, c’est à éviter. Ou ne jamais mettre à jour les applications que vous avez installées. Ça aussi, c’est non. Ou encore, ne jamais supprimer vos vieilles applications. À ne pas faire. Voilà le genre d’erreurs majeures.

Martin Kyle :
Ces règles ont pour but de réduire au minimum ce que nous appelons dans l’industrie la « surface d’attaque », soit les possibilités que vous offrez à un éventuel malfaiteur. Étant donné que les menaces évoluent constamment, les utilisateurs doivent tenir leur système à jour pour garder une longueur d’avance. Ces règles simples sont une façon d’y arriver.

Cyrielle Chiron :
Excellent. Merci pour ces conseils avisés. C’est bien de faire un rappel de ce que nous pouvons faire.

Cyrielle Chiron :
J’aimerais revenir à ce dont nous discutions précédemment, soit le télétravail et l’utilisation d’appareils personnels et professionnels. Même s’il est important de faire les mises à jour et de suivre les règles que vous mentionnez, qu’est-ce qu’une organisation peut faire pour garder le contrôle lorsque son personnel emploie les deux types d’appareils? Que faut-il garder à l’esprit pour s’assurer que les appareils de l’entreprise sont protégés contre les menaces? Nous parlons du point de vue du consommateur, mais qu’en est-il de l’entreprise dont le personnel utilise des appareils personnels et professionnels?

Alex Frappier :
Cela dépend toujours de ce que fait l’entreprise et de sa façon de procéder. Si possible, la première chose serait probablement de fournir un ordinateur portable ou un système que les employés utiliseront exclusivement pour le travail, et non pas pour tout le reste, comme faire jouer des vidéos. Les liens malveillants sont là et n’attendent qu’un utilisateur qui s’ennuie pour être activés. Alors si la personne utilise le système de l’entreprise aussi pour son usage personnel, c’est déjà un problème.

Alex Frappier :
De plus, lorsqu’on travaille, il y a deux règles importantes à suivre. Premièrement, ne publiez pas toujours sur les médias sociaux ce que vous faites et comment vous le faites, parce que cela donne des moyens très intéressants aux malfaiteurs. Si je sais que vous utilisez un logiciel que vous comprenez mal, je pourrais alors communiquer avec vous en me faisant passer pour un représentant du fabricant et vous dire que vous devez installer tel fichier bien précis.

Alex Frappier :
Votre entreprise doit établir la liste des appareils et des fichiers système qui seront utilisés. Il y a les fichiers système, mais aussi les types de fichiers et les différents logiciels. Les attentes doivent donc être claires dès le départ. S’il y a une décision qui vous dicte de vous connecter pour accéder à des renseignements exclusifs, par exemple dans une base de données interne, cette démarche doit être sécurisée, mais aussi reposer sur une identification à deux facteurs. Lorsque quelqu’un vous appelle ou vous écrit et vous demande de faire quelque chose qui pourrait avoir de grandes conséquences pour l’entreprise, cette demande doit en théorie être associée à un deuxième facteur, d’ordre humain.

Alex Frappier :
Donc, si votre patron vous envoie un courriel dans lequel il vous demande de virer un montant d’argent ou de faire telle chose, il doit ensuite vous appeler pour simplement confirmer la chose. C’est facile à faire, bien que ça puisse sembler agaçant – « ah, des procédures supplémentaires, pas besoin de faire ça! » Mais ce l’est jusqu’à ce qu’un criminel arrive à accéder à votre compte bancaire : vous vous diriez alors que c’était bien peu de chose pour garantir que votre environnement est sécuritaire.

Alex Frappier :
On a donc deux petites règles : ne parlez pas de ce que vous faites sur les médias sociaux, et utilisez un système distinct en donnant une information et des directives très claires sur son utilisation.

Cyrielle Chiron :
Donc, ne faites pas confiance à quelqu’un qui vous promet de vous envoyer un gros montant de l’Afrique. Ce n’est pas vrai, il faut d’abord confirmer la chose.

Alex Frappier :
À moins que ce soit un prince.

Cyrielle Chiron :
Oui, bien sûr.

Cyrielle Chiron :
Revenons à vous, Martin, et abordons plus précisément les paiements. C’est un sujet très important à Paiements Canada, et ce serait bien que vous fassiez profiter l’auditoire de vos connaissances. J’aimerais d’abord parler de Paiements Canada en particulier, puis des organismes de paiements.

Cyrielle Chiron :
Comment Paiements Canada a-t-elle pu cerner et atténuer les risques de sécurité accrus qui touchent l’industrie depuis le début de la pandémie? Comment les organismes de paiements composent-ils avec ces risques?

Martin Kyle :
Paiements Canada dispose d’un programme actif de renseignements sur les menaces, axé sur la surveillance des acteurs malveillants, qui nous permet de préparer nos systèmes, nos processus et nos employés en conséquence. Nous pouvons compter sur des experts chevronnés, et le personnel du programme entretient des relations étroites avec nos partenaires et fait circuler l’information sur les menaces au sein de l’industrie.

Martin Kyle :
Grâce à cette recherche sur les menaces, nous sommes en mesure de recueillir et de communiquer certains indicateurs qui nous aident à constituer nos mesures de défense. Ces mesures peuvent reposer sur la technologie, l’amélioration des processus ou encore la sensibilisation des employés afin de mieux les préparer et de renforcer leur résilience face à ces menaces.

Martin Kyle :
Nous avons aussi un programme interne de sensibilisation à la sécurité qui définit cinq directives applicables à tous : soyez au fait des éléments importants, protégez ces éléments, soyez conscients des menaces qui les visent, signalez tout ce qui est suspect, et ayez toujours un plan B. C’est ce que nous appelons la Be Vigilant in Any Situation Guidance to Employees (directive de vigilance en toute situation à l’intention des employés).

Martin Kyle :
C’est le même type de processus qu’on emploierait pour un bien ayant une valeur physique, par opposition à un bien ayant une valeur virtuelle, comme de l’information. Il s’agit simplement de recenser les éléments ayant de la valeur ou de l’importance, de les protéger, d’être au fait des menaces qui les touchent, de signaler tout ce qui est suspect, et enfin de toujours avoir un plan B si quelque chose tourne mal.

Cyrielle Chiron :
Oui, c’est bien de parler du plan B. Nous avons parfois tendance à l’oublier.

Cyrielle Chiron :
Nous avons abordé brièvement les tactiques lorsque vous avez mentionné les bons comportements, et j’aimerais y revenir un peu plus en détail. Nous avons bien parlé des Canadiens, du fait qu’ils doivent être vigilants, informés et sensibilisés, et aussi des émotions. Y a-t-il autre chose que nous pourrions mettre en pratique? Existe-t-il des outils de cybersécurité ou d’autres choses qui peuvent nous protéger, maintenant et après la pandémie?

Martin Kyle :
Absolument. Le premier aspect que j’aimerais aborder… Il y a trois choses vraiment importantes à considérer ici. Tout d’abord, bien gérer ses mots de passe, ce qui veut dire notamment de ne pas utiliser le même pour un grand nombre d’applications. Si votre mot de passe pour un service Internet quelconque est compromis, et que vous l’avez réutilisé ailleurs, les pirates pourront l’essayer dans vos autres applications et compromettre tout le reste de vos données ou – espérons que ce ne sera pas le cas – votre entreprise.

Martin Kyle :
Donc, la gestion des mots de passe est très importante, et il existe de bons outils pour vous aider. Je recommande l’utilisation d’un gestionnaire de mots de passe fiable.

Cyrielle Chiron :
D’accord.

Martin Kyle :
Ensuite, je veux parler d’un service gratuit créé récemment, qui aide les Canadiens à se protéger lorsqu’ils naviguent en ligne. Il s’agit du Bouclier canadien, offert par un organisme appelé l’ACEI. Cet outil donne accès à un service de nom de domaine qui peut filtrer les domaines malveillants durant votre navigation. Je recommande aux gens d’utiliser ce service pour se protéger.

Martin Kyle :
Enfin, ma troisième recommandation : notre gouvernement, par l’intermédiaire du Centre canadien pour la cybersécurité, offre sur le site pensezcybersecurite.gc.ca des ressources sur la manière de détecter les messages d’hameçonnage et de se protéger en ligne.

Martin Kyle :
Je pense que ces trois choses sont très importantes : bien gérer ses mots de passe, naviguer en ligne en se protégeant avec le Bouclier canadien et consulter pensezcybersecurite.gc.ca.

Cyrielle Chiron :
Oui, très bien. Alex, y aurait-il quelque chose à ajouter selon vos connaissances?

Alex Frappier :
Je crois qu’il s’agit simplement de former les gens sur la gestion sécuritaire de leurs finances personnelles et la protection de leur ordinateur personnel et de leurs comptes bancaires, et aussi d’encourager les habitudes sécuritaires à la maison grâce aux outils que Martin a mentionnés. Le Bouclier de l’ACEI est intéressant. Il y a aussi les RPV, des logiciels peu coûteux et très faciles à utiliser qui vous permettent de surveiller certains liens en fonction de vos critères. Beaucoup de choses sont disponibles, mais il suffit de garder à l’esprit que si les gens ont un comportement sécuritaire sur leurs appareils personnels, ce sera la même chose avec les biens de l’entreprise. Je crois que les sensibiliser à ces questions est une bonne chose.

Alex Frappier :
Tout cela est assez simple, et les liens mentionnés par Martin vous donneront accès à beaucoup de bons moyens de mieux vous protéger à la maison. Mais en vérité, on voit encore des vidéos et des photos où des mots de passe sont affichés sur des autocollants lors de visioconférences. Oui, les mises à jour, c’est très intéressant, mais l’autocollant à la vue de tous est vraiment à proscrire. On en voit encore tout le temps!

Alex Frappier :
En plus de cela, il faut faire attention à l’arrière-plan, par exemple lors des visioconférences. Les gens utilisent un arrière-plan bien particulier, ou encore un effet numérique pour le camoufler. La première chose que j’ai tendance à regarder – peut-être en raison de ma formation en piratage psychologique –, c’est ce qui se trouve derrière la personne. Est-ce que je vois quelque chose qui me permettrait d’établir une relation ou qui constituerait un sujet pour poser des questions afin de créer un lien personnel avec cette personne et de gagner sa confiance? Les images, les cadres, les enfants; tout ce qu’il y a à l’arrière-plan donne beaucoup d’informations sur vous qui peuvent être utilisées.

Alex Frappier :
Donc, les conversations vidéo de la maison peuvent vous faire découvrir pas mal de choses. Mais au-delà de ça, si vous travaillez de la maison, à distance, la diminution des distractions sera un élément majeur. Parce que pour détecter les menaces et appliquer ce que vous avez appris, vous devez avoir les idées claires et être concentré. Si vous êtes souvent dérangé, ou que vous êtes du genre – comme moi d’ailleurs – à installer l’ordinateur dans votre cour parce vous aimez travailler dehors quand il fait beau, on pourra vous entendre, et vous serez alors très distrait. Vous serez la victime parfaite dans une telle situation. Le but, c’est simplement d’être conscient de son environnement. C’est la même chose lorsque nous travaillons ailleurs qu’à la maison, mais disons que le contexte actuel n’est pas évident.

Alex Frappier :
Certains ont dit qu’au début de la pandémie, les activités criminelles et les attaques contre les entreprises avaient fortement augmenté en raison du télétravail. La tendance semble se résorber un peu, mais au prochain événement majeur qui fera les nouvelles, elle repartira à la hausse.

Alex Frappier :
On ne doit pas penser que parce qu’il y a une pandémie, il faut surveiller seulement les courriels sur la COVID. Gardez en tête que n’importe quel sujet d’actualité qui crée des remous ou qui touche les gens peut servir. N’importe quoi. Donc, en diminuant les distractions, vous aurez l’esprit plus aiguisé et serez probablement plus en sécurité. C’est très très simple à faire.

Cyrielle Chiron :
Oui, vous avez raison. Maintenant avec le télétravail, tout le monde a accès à notre maison, alors il est assez facile de voir des choses qui pour nous semblent normales, mais qui peuvent être intéressantes pour quelqu’un aux intentions malveillantes.

Cyrielle Chiron :
Martin, j’aimerais discuter de l’industrie des paiements dans son ensemble. Existe-t-il des stratégies précises qu’elle peut mettre en place? Surtout qu’actuellement, si je ne m’abuse, nous nous dirigeons vers un environnement un peu plus ouvert, avec entre autres le paiement ouvert. Y a-t-il des tactiques ou d’autres aspects dont vous pourriez nous parler, ou encore des choses auxquelles il faudrait penser?

Martin Kyle :
Au risque de me répéter, je rappellerai ici les cinq directives : soyez au fait des éléments importants, protégez ces éléments, soyez conscients des menaces qui les visent, signalez tout ce qui est suspect, et ayez toujours un plan B. Pour moi, ce sont les incontournables de la vigilance, et ils s’appliquent au contexte qu’Alex vient de décrire. Travailler dans sa cour est une source de distraction, et vous risquez de relâcher votre vigilance dans ce contexte.

Martin Kyle :
Ce ne sont pas des mesures ponctuelles qu’on peut ensuite oublier. Ces directives, elles doivent s’appliquer en tout temps et en venir à faire partie intégrante de votre comportement. Savoir où sont les choses importantes… je suis certain que plusieurs d’entre nous peuvent dire d’instinct où est leur téléphone, leurs clés et leur portefeuille. Adopter la même attitude en ce qui concerne les actifs de l’entreprise est essentiel.

Martin Kyle :
Si l’on délaisse les particuliers pour passer aux entreprises, ou aux petites entreprises, on voit qu’elles doivent en quelque sorte analyser les cinq directives afin d’en connaître les implications. Cela peut s’avérer un exercice intimidant si elles n’ont pas l’expertise pour faire face à des menaces aussi complexes que celles dont nous avons discuté ici.

Martin Kyle :
Cependant, il existe des ressources, et je me répéterai ici encore une fois. Une des bonnes ressources, publiée par le Centre canadien pour la cybersécurité, consiste en une liste des dix meilleures mesures d’atténuation permettant aux organisations de se constituer une solide infrastructure technologique. Je ne les aborderai pas toutes en détail ici, mais sachez que cette liste existe et qu’elle est de nature très pragmatique. Les mesures sont listées par ordre d’importance : vous appliquez la première, puis passez à la deuxième plus importante et la mettez en place.

Martin Kyle :
Prenons par exemple la deuxième mesure, qui recommande aux organisations d’appliquer les correctifs de sécurité à leurs systèmes d’exploitation et applications. Sans surprise, ce conseil ressemble grandement aux trois règles de Brian Krebs dont j’ai parlé plus tôt. Si vous avez installé un système, tenez-le à jour. Il s’agit là de bonnes recommandations pratiques qui aideront les petites entreprises à mieux comprendre individuellement les cinq directives de base que je vous ai présentées. Je vous recommande d’y jeter un coup d’œil.

Cyrielle Chiron :
Oui. Je pense qu’il s’agit d’excellents conseils, surtout pour les entreprises ou les gens qui n’ont pas d’équipe d’experts comme vous deux pour les guider. Je trouve que c’est une bonne idée de faire circuler ces conseils, et je vous remercie au nom de tout le monde. Je ne savais pas que cette ressource existait.

Cyrielle Chiron :
J’ai une dernière question pour vous. Nous n’avons fait qu’effleurer le sujet aujourd’hui, mais il va sans dire que j’ai beaucoup appris, et je vous en remercie. Vous avez présenté des ressources que vous recommandez et certains conseils. Avez-vous un dernier message pour nos auditeurs? Commençons avec Alex, puis ce sera le tour de Martin.

Alex Frappier :
Il est très important que les organisations gardent en tête que chaque employé est une cible potentielle. Les pirates choisissent habituellement leurs cibles en fonction de leurs activités sur les médias sociaux. On en a souvent parlé, mais c’est une méthode qu’on utilise assurément. On regarde le profil des gens sur les médias sociaux, mais il faut pousser la réflexion encore plus loin.

Alex Frappier :
L’une des choses à savoir, c’est qu’il y a tellement d’outils en libre accès qu’on peut utiliser pour obtenir toutes les adresses courriel associées à une entreprise. Si vous êtes la cible d’une activité frauduleuse et remarquez quelque chose qui cloche, comme un courriel inhabituel, ne le laissez pas passer sans rien faire : signalez-le à votre entreprise. Sachez que vous n’êtes qu’un employé visé parmi tant d’autres. C’est incroyable que vous ayez intercepté le courriel frauduleux, mais certains de vos collègues cliqueront probablement sur le lien qu’il contient, ce qui a de bonnes chances de compromettre votre sécurité ou celle de l’organisation. En signalant la situation, même à distance, vous diminuez les risques d’atteinte à votre sécurité et à celle de votre entreprise.

Alex Frappier :
Il y a pas mal de ressources sur le piratage psychologique. J’aime bien le travail de Christopher Hadnagy. H-A-D-N-A-G-Y. Ses deux sites Web, « social-engineer.org » et « social-engineer.org.com », comportent de multiples ressources sur le sujet. Il a aussi publié des livres. Ces ressources sont vraiment très utiles pour comprendre comment les fraudeurs arrivent à exploiter les comportements et les émotions des gens pour perpétrer tout type de cybercrime à l’endroit d’une entreprise.

Alex Frappier :
J’ai aussi des centaines de livres sur divers sujets liés au domaine, mais je ne les mentionnerai pas, faute de temps. Mais si la question vous intéresse un tant soit peu, sachez qu’il existe une foule de ressources. Vous pouvez communiquer avec moi pour que je vous aiguille. Vous avez mes coordonnées, au moins ma page LinkedIn, alors n’hésitez pas à m’écrire. Je vous donnerai plus de renseignements sur les notions de base et le matériel que vous pouvez utiliser.

Cyrielle Chiron :
Merci beaucoup. Martin, un dernier point de ton côté?

Martin Kyle : 
Oui. Pour répéter le terme savant qu’Alex a utilisé, je vous dirais de faire attention à la « séquestration de l’amygdale ». J’aime bien l’expression d’ailleurs, elle me rappelle que nous sommes en quelque sorte le produit de notre cerveau reptilien, je suppose.

Martin Kyle :
J’aimerais porter quelques autres points à votre attention. Je dirais que les entreprises doivent connaître leur chaîne d’approvisionnement. Beaucoup d’études de cas montrent que des fraudeurs sont passés par là pour infiltrer une organisation. Il est important de connaître sa chaîne d’approvisionnement ainsi que les menaces qui la guettent et ses vulnérabilités. Les entreprises doivent sans conteste avoir un portrait de la situation quand elles signent ou négocient un contrat avec un fournisseur ou un autre collaborateur, puisqu’elles pourront ainsi mieux répartir les risques durant le processus.

Martin Kyle :
De plus, si vous travaillez dans une petite entreprise ou que vos administrateurs de systèmes tentent d’obtenir plus de renseignements donnant un droit d’action en la matière, je vous recommande l’Échange canadien de menaces cybernétiques. Il s’agit d’une organisation à but non lucratif, auprès de laquelle les administrateurs de systèmes peuvent s’enregistrer pour obtenir des indicateurs de compromission et des rapports sur les menaces afin d’établir un solide périmètre de défense.

Martin Kyle :
Voilà quelques bonnes ressources. Les auditeurs à l’écoute trouveront des conseils pratiques sur la cybersécurité à l’adresse pensezcybersecurite.gc.ca, une autre initiative du gouvernement fédéral et du Centre canadien pour la cybersécurité. Je suggère également à ceux qui veulent aller plus loin et découvrir les intrigues politiques du monde cybernétique d’écouter les très bons balados Risky Business, avec Patrick Gray et Adam Boileau.

Cyrielle Chiron :
Excellent. Merci beaucoup à vous deux. La discussion a été très intéressante.

Martin Kyle :
Merci à toi, Cyri.

Cyrielle Chiron :
Comme la population canadienne continuera de travailler de la maison à court terme – la période de télétravail se sera étirée plus longtemps que prévu, dans mon cas, en tout cas –, les préoccupations soulevées aujourd’hui resteront d’actualité. Les provinces poursuivent leur déconfinement graduel, et il se pourrait que pour certains paiements, on revienne au mode utilisé avant la crise. Mais en général au Canada, où Shopify a récemment surpassé RBC comme société cotée en bourse la plus importante, les modes de paiement en ligne et les menaces subséquentes ne sont pas près de disparaître. Voilà pourquoi le fait de se tenir au courant et de faire preuve de vigilance est la meilleure mesure préventive pour assurer la sécurité de votre bureau et de votre réseau à domicile.

Cyrielle Chiron :
Le secteur continue de tout mettre en œuvre pour fournir aux clients des services rapides et efficaces au chapitre des paiements. Merci à nos deux invités de nous avoir expliqué précisément comment nous pouvons le faire.

Cyrielle Chiron :
C’est tout pour aujourd’hui. Ne manquez pas notre prochaine discussion, où nous traiterons en profondeur de l’écosystème des paiements. Je m’appelle Cyrielle Chiron; merci d’avoir écouté cette édition de PayPod.