Des trucs pour le CISO de votre foyer
Au cours de ce Mois de la sensibilisation à la cybersécurité (É.-U., Canada, Europe) – et plus particulièrement si nous portons notre attention sur la sécurité en ligne à la maison, demandons-nous ce qui suit : « Qui est mon CISO à la maison? Utilisons-nous, à la maison, des pratiques et des outils de sécurité similaires à ceux utilisés au travail? Sinon, pourquoi pas? »
Au travail, une personne est responsable de la sensibilisation à la cybersécurité. Qu’il s’agisse du Chief Information Security Officer (CISO) ou du service TI, quelqu’un met en place les processus, la technologie et les programmes de sensibilisation à la sécurité afin de préparer tous les membres de l’organisation à protéger les données sensibles de l’entreprise, de ses clients et de ses partenaires.
Nous ne pouvons pas perdre de vue la protection de nos foyers et de nos familles contre les cyberattaques. Cybersecurity Ventures prédit que la surface d’attaque humaine (c’est-à-dire le nombre de personnes connectées à internet) atteindra les six milliards d’ici 2022. Gartner Research prédit que la technologie d’internet des objets (IoT) existera dans 95 pour cent des composants électroniques des nouveaux produits et que d’ici 2022, la moitié de tous les budgets de sécurité en matière de technologie d’internet des objets sera consacrée aux corrections de défauts, aux rappels et aux échecs de sécurité, plutôt qu’à la protection (un indicateur-clé de l’inconnu).
Plus nos foyers et nous sommes connectés, plus nous devenons vulnérables à l’usurpation d’identité, à la perte financière, à la violation des renseignements de carte de crédit et même au vol.
Votre boîte à outils de cybersécurité à la maison
Il existe plusieurs meilleures pratiques de cybersécurité. Celles-ci sont utilisées au travail et peuvent être transférées à votre environnement personnel à la maison. Elles peuvent vous aider à faire de votre foyer un véritable havre de sécurité en ligne en formant les membres de votre famille à adopter un comportement prudent et un état d’esprit orienté sur la sécurité avant tout.
#1 – Sensibilisation à la sécurité et éducation
Les cyberattaques et le piratage ne visent pas seulement les adultes d’une famille. Une étude de Javelin Strategy and Research réalisée en 2018 a montré que plus d’un million d’enfants ont été victimes d’usurpation d’identité en 2017, se traduisant par des pertes totales de 2,6 milliards de dollars et plus de 540 millions de dollars en coûts défrayés par les familles touchées. Assurez-vous de discuter avec votre famille des pratiques en ligne sécuritaires. Il est tout aussi important d’enseigner à vos enfants ce que sont l’hameçonnage, les prédateurs en ligne, les réseaux wifi non sécurisés et l’ingénierie sociale que de leur montrer à traverser la rue, à ne pas parler aux étrangers et à jouer de manière sécuritaire.
#2 – Ne mordez pas à l’hameçon
Selon le Verizon Data Breach Incident Report (rapport d’incidents de violation des données de Verizon) de cette année, l’hameçonnage et les prétextes représentent 98 pour cent des incidents sociaux et 93 pour cent des violations. Le courrier électronique continue d’être le vecteur le plus courant (96 pour cent) avec une augmentation considérable des tentatives d’hameçonnage par téléphone. Les attaques d’hameçonnage sont devenues de plus en plus sophistiquées, rien à voir avec celles du prince qui vous contactait pour vous faire un don d’argent. Parlez à votre famille et échangez des exemples de courriels ou d’appels téléphoniques frauduleux où l’on vous demande de cliquer sur un lien, de fournir des renseignements personnels ou de composer un numéro inconnu. N’oubliez pas, les messages peuvent sembler provenir d’un ami, d’une compagnie avec laquelle vous faites affaire (comme votre banque) ou même des autorités gouvernementales. Si quelque chose semble suspect – si vous ne vous attendiez pas à recevoir le message, si l’objet du message ou ce que ce dernier vous demande de faire vous semble insolite – considérez-le comme frauduleux, ne cliquez sur rien dans le message et signalez-le à votre fournisseur de service internet, à l’organisme gouvernemental qui vous l’a supposément envoyé, au Groupe de travail anti-hameçonnage mondial ou à ces trois organisations.
#3 – Gérez vos paramètres de protection de la vie privée
L’UE n’a pas mis en vigueur le Règlement général sur la protection des données de manière anodine. Les données personnelles et la façon dont les organisations peuvent s’en servir peuvent affecter votre vie. Vérifiez les politiques et paramètres de protection de la vie privée pour vous assurer que vos données et celles de vos contacts sont utilisées de manière approuvée.
#4 – Servez-vous de mots de passe robustes et d’un identifiant à deux facteurs
Malgré le désir d’éliminer les mots de passe comme moyen primaire d’identification, nous continuons de vivre dans un monde où leur utilisation est omniprésente. Par conséquent, nous devons choisir un mot ou une phrase de passe très robuste qu’on renforce par un processus d’identification à deux facteurs. Les phrases de passe sont robustes et faciles à mémoriser. Elles peuvent être renforcées en suivant les conseils de Bruce Schneier, un expert en sécurité de renommée internationale.
#5 – Corrigez les vulnérabilités
Vous êtes le ou la CISO dans votre foyer : cela signifie que vous devez vous assurer que les vulnérabilités ont été corrigées, tant dans les applications que dans le matériel, et que les produits doivent être remplacés lorsqu’il n’existe plus de correctif pour eux (ce qui peut s’avérer une situation probable en ce qui concerne les appareils IoT).
CONSEIL EN PRIME : N’oubliez pas la trace papier
On n’associe pas normalement la trace papier à la cybersécurité, mais ce lien existe bel et bien si vous n’éliminez pas de manière appropriée les documents sur papier qui contiennent vos renseignements personnels. Par exemple, si vous notez vos mots de passe sans les protéger de manière adéquate, vous remettez littéralement à un cybercriminel potentiel les clés de votre royaume. La bonne chose à faire est d’éliminer le document qui contient le mot de passe.
Que vous soyez le ou la CISO de votre foyer ou d’une entreprise, la formation de chaque personne sur la sensibilisation à la cybersécurité peut réduire le risque de violation des données causée par l’erreur humaine ou une attaque malveillante. Vous pouvez en apprendre davantage sur la façon de mettre sur pied un programme de sensibilisation à la sécurité dans le livre The Human Fix for Human Risk, par Lise Lapointe, PDG de Terranova.