Aller au contenu principal

La cybersécurité lorsqu’on pratique le télétravail

Le télétravail est devenu la nouvelle norme. Même avant que ne survienne cette crise mondiale, près de la moitié des Canadiens pratiquaient le télétravail à raison de quelques journées par semaine.

Maintenant, presque tous ceux qui en sont capables travailleront ou étudieront à partir de la maison dans un avenir prévisible.

La plupart des bureaux et des écoles sont dotés de systèmes de TI dans une certaine mesure et de moyens pour protéger la cybersécurité des gens qui utilisent leurs réseaux. Malheureusement, la plupart des gens ne bénéficient pas des mêmes protections à la maison.

La simple raison que vous effectuez votre travail bien évaché sur le divan ne vous rend pas moins vulnérable aux cyberattaques.

Que vous soyez en train de travailler ou d’étudier à partir de la maison, vous utilisez quand même des outils de travail, des adresses de courriel et des systèmes. Si vous êtes victime d’une attaque ou d'une compromission à la maison, cela signifie que les autres membres de votre organisation sont également exposés à un tel risque.

C’est la raison pour laquelle la cybersécurité à la maison est si importante.

Quelques pratiques et conseils tout simples peuvent heureusement contribuer grandement à votre protection lorsque vous travaillez à partir de la maison.

C’est d’ailleurs ce que nous allons voir dans ce cours afin que vous puissiez vous protéger et protéger également votre organisation.

Six sujets qu’on aborde dans ce cours

  1. Sécuriser le Wi-Fi à la maison
  2. Utiliser des mots de passe forts et un processus d’authentification à plusieurs facteurs
  3. Utiliser un RPV
  4. Protéger vos renseignements confidentiels
  5. Utiliser les appareils personnels avec prudence
  6. Faire attention au hameçonnage

Protéger votre Wi-Fi

Votre réseau Wi-Fi représente l’aspect le plus important de votre aménagement pour le télétravail.

Votre réseau est ce lien qui relie vos appareils entre eux et à l’Internet. Si un individu malveillant devait avoir accès à votre réseau, il pourrait utiliser l'information recueillie pour prendre le contrôle de vos appareils et les détenir en vue d’obtenir une rançon. Ou encore, il pourrait voler vos renseignements personnels et financiers. Il pourrait également utiliser cette information dans le but de voler votre organisation.

La première étape (qui est également la plus facile!) consiste à vous assurer de modifier votre mot de passe d'administration par défaut et le nom de connexion de votre routeur. Plusieurs marques utilisent des justificatifs d'identité par défaut, tels « admin » et « mot de passe », ce qui permet à n’importe qui de pirater facilement vos appareils.

Autres façons de protéger votre Wi-Fi

Activer le chiffrement WPA2

Le chiffrement vient brouiller l'information que votre routeur échange avec un appareil sur votre réseau, afin que seul l'appareil puisse l’afficher.

De cette manière, si un individu tente d’extraire ces données de votre réseau, elles n’auront aucun sens s’il réussit.

Créez un réseau pour vos invités

Vous devriez activer votre réseau d’invités et l’utiliser pour tous vos appareils personnels, comme les appareils de l’IdO (Internet des objets), les haut-parleurs intelligents, les consoles de jeux, les appareils des enfants, ainsi que pour tous les visiteurs.

Utilisez ensuite votre réseau normal auquel vos invités n’ont pas accès uniquement avec les appareils que vous utilisez pour votre travail.

Remplacez les routeurs désuets

À l’instar de toute technologie, il est moins probable que vous puissiez obtenir des mises à jour du fabricant des appareils plus anciens, de sorte qu’ils seront plus susceptibles d’être vulnérables sur le plan de la sécurité.

Remplacez les routeurs après quelques années afin de pouvoir profiter ainsi des plus récentes caractéristiques de sécurité et des mises à jour. Vous bénéficierez alors probablement d’une couverture améliorée pour le Wi-Fi!

Soyez prudent avec le Wi-Fi public

Le café est probablement capable de vous servir un latte délicieux, mais ce ne sont pas des experts en cybersécurité (à moins qu’ils n’aient également suivi ce cours!). Vous devez présumer que tout Wi-Fi public partagé et ouvert peut représenter un risque.

Vous ne devriez pas utiliser les réseaux dans les cafés, les hôtels et les aéroports pour accéder aux documents ou aux systèmes liés à votre travail sans utiliser de protection additionnelle, comme un réseau privé virtuel (RPV).

Si vous n’avez pas de RPV, alors que vous utilisez un téléphone que vous a remis votre employeur, vous pouvez examiner la possibilité de l’utiliser comme une borne Wi-Fi pour relier votre portable à une connexion sécurisée.

Ces appareils peuvent utiliser une tonne de données que votre entreprise doit payer. Par conséquent, vérifiez auprès de votre employeur si votre appareil le permet.

Créez des mots de passe forts

La meilleure façon de vous protéger contre les cyberattaques consiste à utiliser des mots de passe forts et uniques.

N’utilisez jamais les mêmes mots de passe – en particulier pour vos comptes personnels et ceux que vous utilisez au travail. Vous devriez utiliser un mot de passe différent pour chaque compte.

Il est très facile de vérifier les comptes qui sont liés les uns aux autres, en particulier au moyen du courriel. Si un de vos comptes est compromis et si le même mot de passe est utilisé avec un autre compte, il faudra peu de temps avant que vous ne perdiez les deux comptes. 

Qu’est-ce qui fait la force d'un mot de passe?

Le mot de passe doit être long

Les mots de passe plus longs sont plus difficiles à déchiffrer. Utilisez les mots de passe les plus longs possible. Nous vous recommandons d’utiliser des mots de passe qui comptent au moins 15 caractères.

Il doit comporter des caractères spéciaux

Utilisez des chiffres, des symboles et des espaces dans votre mot de passe, si possible.

Évitez les mots de passe personnels ou qui suivent une certaine tendance

N’utilisez pas de renseignements personnels, comme des dates de naissance et les noms de vos animaux de compagnie. On retrouve souvent des indices révélateurs de cette information sur les médias sociaux!

Évitez les substitutions

Ne remplacez pas les lettres par des chiffres (par exemple E et 3) sur des mots de passe déjà courts et faibles.

Consiel de pro :

Il est difficile de se rappeler autant de mots de passe longs et uniques, en particulier parce que les gens utilisent tellement de comptes de nos jours. C’est ici qu’interviennent les gestionnaires de mots de passe, comme LastPass et 1Password. Ces gestionnaires sont capables de créer des mots de passe forts à votre place et de les inscrire automatiquement lorsque vous essayez d’ouvrir une session sur un site Web ou une application.

Utilisez un système d’authentification à plusieurs facteurs

L’authentification à plusieurs facteurs (ou à deux facteurs) permet de confirmer votre identité en ayant recours à plusieurs facteurs en plus d'un simple mot de passe.

Ces facteurs correspondent habituellement à une chose :

  • Que vous connaissez (comme un mot de passe)

  • Que vous avez (comme un jeton ou un code SMS)

  • Que vous êtes (comme une empreinte digitale ou un balayage du visage

C’est la raison pour laquelle certaines applications vous demandent d’envoyer un code textuel avant que vous ne puissiez vous connecter ou vérifier un compte. Il s’agit de l’authentification à plusieurs facteurs! Si un appareil ou un compte vous permet d’utiliser cette forme d’authentification, faites-le.

La forme d’authentification la plus efficace est à partir de « jetons », qui crée un code de connexion à usage unique précisément lorsque vous en avez besoin. Les authentificateurs de Google et Microsoft sont des applications populaires conçues à cette fin.

Utilisez un RPV

Un RPV permet de créer un tunnel sécurisé menant à un autre réseau sur l’Internet. Il s’agit d’un outil simple et puissant pour protéger l'information que vous envoyez et recevez lorsque vous utilisez votre réseau à la maison.

Plusieurs employeurs offrent une option de RPV qui permet à l'ordinateur au domicile de l'employé de se connecter en toute sécurité à son réseau professionnel. Il arrive qu’il s’agisse de l’unique façon d’accéder à certains fichiers ou systèmes.

Si vous souhaitez obtenir un RPV, parlez-en à votre équipe de TI. Elle pourra vous aider à configurer correctement le RPV qu’elle préfère.

Si vous faites partie d'une équipe plus petite ou si vous souhaitez simplement en acquérir un pour votre usage personnel, il existe plusieurs options en nuage qui sont faciles à configurer. Lorsqu’on parle de RPV, vous en avez pour votre argent. Par conséquent, investissez un peu plus et faites affaire avec un fournisseur de renom.

Protégez vos renseignements confidentiels

Lorsque vous travaillez à partir de la maison, vous devez traiter les documents et l'information avec le même degré de protection et de confidentialité que si vous étiez au bureau.

Au travail, vous devez habituellement vous conformer à une politique de rangement du bureau, qui vous oblige à ne pas laisser les documents et les appareils à la porté des autres. Cela est particulièrement important à la maison, lorsque les membres de la famille ou les colocataires risquent de voir des renseignements confidentiels.

N’enregistrez pas les fichiers sur votre appareil personnel si vous l’utilisez pour le travail. Si vous devez imprimer des documents ou sauvegarder des fichiers sur une clé USB, renseignez-vous auprès de votre employeur sur ses politiques en matière de déchiquetage, de destruction et de sécurité des documents.

Protégez vos appareils personnels

Avant d’utiliser votre appareil personnel pour le travail, vérifiez auprès de votre employeur sa politique sur l'utilisation des appareils personnels. Vous pourriez devoir utiliser un logiciel de sécurité particulier ou obtenir des permissions avant de pouvoir utiliser vos appareils personnels pour accéder aux fichiers ou aux systèmes liés à votre travail.

Si vous vous êtes connecté à un système de votre employeur à partir d’un appareil personnel et si ce dernier est victime d’une compromission, il est probable que les systèmes de votre employeur soient également compromis.

Une bonne hygiène numérique pour vos appareils personnels comprend :

  • La mise à jour du logiciel et du système d'exploitation lorsqu’un message vous le demande.

  • Ne téléchargez que les applications vérifiées provenant de magasins d'applications approuvés.

  • Utilisez un logiciel antivirus.

L’hygiène de votre appareil devient extrêmement importante lorsque des membres de la famille utilisent votre appareil – vous pourriez ignorer ce qu’ils téléchargent.

Mettez toujours vos appareils à jour

Il est important que vous mettiez à jour tous les appareils que vous utilisez pour le travail et à des fins personnelles lorsqu’un message vous le demande, puisque ces mises à jour pourraient comprendre des correctifs importants pour les bogues et en matière de sécurité.

Si vous en êtes capable, activez les mises à jour automatiques pour être certain de ne jamais les oublier.

Vous pouvez programmer les mises à jour automatiques à la fin de votre journée de travail ou pendant la nuit pour ne pas être tenté de les interrompre lorsqu’elles surviennent.

Installez-vous loin des haut-parleurs intelligents

Nous ne voulons pas vous effrayer, mais les haut-parleurs entendent un tas de choses et il arrive souvent que ces enregistrements audio soient sauvegardés dans un endroit auquel vous n’avez pas accès.

Il arrive que certains employeurs aient mis en place des politiques qui vous empêchent de travailler près d’eux, parce qu’ils peuvent capter un signal audio des appareils confidentiels et des vidéoconférences.

Les appareils de l’IdO sont reconnus pour la faiblesse de leur soutien en matière de correctifs de sécurité. Pour cette raison, on recommande généralement de les relier à un réseau distinct et d’éviter de travailler à proximité.

Faites attention aux arnaques d'hameçonnage

Les arnaques d'hameçonnage consistent pour ces cybercriminels à extraire de l'information et des justificatifs d'ouverture de session et même à vous extorquer de l’argent en se faisant passer pour des gens ou des entreprises véritables dans un courriel, lors d’un appel téléphonique, dans des messages textuels et sur les médias sociaux.

Nous avons tous entendu parler des arnaques téléphoniques de l'ARC ou des faux messages textes de Netflix ou Apple vous demandant de mettre à jour vos renseignements pour la facturation.

Cela peut sembler ridicule et évident, mais en réalité, ils fonctionnent. Plus de 93 % des fuites de données au sein des organisations sont attribuables à des arnaques qui ciblent les gens.

Arnaques financières

Une des arnaques d'hameçonnage les plus répandues – et les plus coûteuses – consiste à vous extorquer de l’argent en se faisant passer pour votre patron, le service de la paie ou un de vos fournisseurs.

De telles arnaques deviennent plus faciles lorsque tous les employés travaillent à distance.

Si un membre de votre organisation vous demande de transférer de l’argent, ne vous fiez pas uniquement au courriel, même s’il semble provenir de votre patron.

Trouvez d’autres moyens de vérifier les transactions financières, par exemple, par téléphone ou au moyen d’un appel vidéo. Une simple revérification peut vous permettre à vous et aux membres de votre équipe d’économiser une tonne d’argent.

Comment reconnaître un courriel d'hameçonnage

Vérifiez le nom de domaine.

Revérifiez le nom de domaine et le nom de l’expéditeur de tous les courriels.

Les courriels d'hameçonnage comportent habituellement des erreurs de frappe ou des caractères en trop qui ressemblent à un nom véritable (par exemple, Facebok.com).

Le courriel est bourré de fautes.

Les courriels d'hameçonnage comportent généralement des erreurs de frappe et de nature grammaticale.

Il arrive également qu’il manque des renseignements personnels habituels, comme votre nom ou celui de votre employeur.

Il comporte des pièces jointes ou des liens suspects.

Vérifiez toujours chacun des liens avant de cliquer en commençant par le pointer.

Les courriels d'hameçonnage essaient de vous entraîner vers des sites Web qui sont également faux et tentent de vous amener à inscrire vos renseignements de connexion ou à télécharger des virus.

Il donne une impression d'urgence.

Les courriels d'hameçonnage essaient de modifier votre façon de penser en suscitant la crainte ou un sentiment d'urgence. C’est la raison pour laquelle les courriels faisant état de comptes perdus ou vous faisant croire qu’on vous arrêtera sont si nombreux.

Gardez votre calme et vérifiez si le courriel est véritable ou faux avant d’agir.

Résumé

Le télétravail peut s’accompagner de nombreux avantages pour les travailleurs et les organisations. Les étapes toutes simples et les conseils qu’on vous présente dans ce cours peuvent vous aider et aider votre organisation à devenir productive tout en étant protégée.

En cas de doutes, demandez à votre équipe de TI de vous parler des politiques et des outils que vous pouvez employer afin de pouvoir travailler à partir de la maison en toute sécurité.

Wi-Fi

Le Wi-Fi de votre demeure renferme une tonne d'information. Il existe plusieurs mesures toutes simples que vous pouvez prendre pour bloquer votre réseau.

Mots de passe

Assurez-vous que tous vos mots de passe sont forts et uniques. Enregistrez-les dans un gestionnaire de mots de passe. Activez l’authentification à facteurs multiples, si possible.

Appareils personnels

Protégez vos appareils personnels, en particulier si vous les utilisez pour le travail. Assurez-vous qu’ils sont toujours à jour et que les appareils intelligents sont reliés à un réseau distinct.

Hameçonnage

Les courriels d'hameçonnage représentent une menace constante, en particulier en temps de crise. Recherchez les erreurs de frappe dans l'adresse de courriel de l’expéditeur et revérifiez toujours les liens avant de cliquer.

Jeu-questionnaire

Question 1 :

Votre organisation est à l’abri des cyberattaques lorsque vous travaillez à partir de la maison.

Options de réponse :

  1. Vrai.
  2. Faux.

Question 2 :

Quelle est la meilleure façon de sécuriser votre Wi-Fi à la maison?

Options de réponse :

  1. Modifier le mot de passe par défaut du routeur.
  2. Activer le processus de chiffrement.
  3. S’assurer que le routeur est à jour.
  4. Toutes ces réponses.

Question 3 :

Quand peut-on se permettre de réutiliser les mots de passe pour plusieurs comptes?

Options de réponse :

  1. Toujours. Il est plus facile de ne pas oublier un mot de passe lorsqu’on en a un seul.
  2. Je peux réutiliser mes mots de passe personnels, mais je devrais en utiliser un différent pour le travail.
  3. Jamais. Chaque compte devrait posséder un mot de passe unique.

Question 4 :

À quel moment devriez-vous installer les mises à jour de votre ordinateur ou de vos applications?

Options de réponse :

  1. Immédiatement.
  2. Le lendemain matin.
  3. Avant de partir en vacances.

Question 5 :

Quels types de facteurs retrouve-t-on dans une authentification à facteurs multiples?

Options de réponse :

  1. Ce que vous savez, ce que vous avez et ce qui existe.

  2. Ce que vous avez, ce qui existe et ce que vous sentez.

  3. Ce que vous savez, ce que vous payez et ce que vous soupçonnez.

Question 6 :

Que veut dire l’abréviation ‘RPV’?

Options de réponse :

  1. Réseau personnel véritable.
  2. Réseau privé virtuel.
  3. Renseignements personnels virtualisés.
  4. Réseau privé variable.

Question 7 :

Quelle est la meilleure façon de protéger vos appareils personnels?

  1. Installer des mises à jour immédiatement.
  2. Utiliser un gestionnaire de mots de passe.
  3. Télécharger les applications uniquement à partir de magasins d'applications approuvés.
  4. Toutes ces réponses.

Question 8 :

Lorsqu’on travaille à la maison, est-il correct de laisser les documents de travail et les appareils déverrouillés?

Options de réponse :

  1. Oui.
  2. No,.

Question 9 : 

Que devriez-vous faire si votre patron vous envoie un courriel vous demandant d’effectuer un transfert électronique de fonds?

Options de réponse :

  1. Obtempérer immédiatement, puisqu’il est mon patron.
  2. Répondre à son courriel et lui demander si sa demande est réelle.
  3. Utiliser une autre forme de communication, par exemple, en l’appelant, pour vérifier la demande.

Clé de réponse au quiz

Question 1 :

La réponse est 2. Vous pouvez utiliser vos appareils personnels pour accéder à votre réseau et à vos systèmes.

Question 2 :

La réponse est 4. Les trois conseils sont extrêmement importants lorsqu’il s’agit de protéger le Wi-Fi à votre domicile.

Question 3 :

La réponse est 3. Tous les comptes, qu’ils soient personnels ou prévus pour le travail, devraient être assortis de mots de passe uniques.

Question 4 :

La réponse est 1. Vous devriez installer toutes les mises à jour immédiatement, puisqu’elles pourraient être liées à la sécurité.

Question 5 :

La réponse est 1.  Parmi les facteurs multiples, mentionnons savoir (par exemple, le mot de passe), avoir (comme un jeton ou SMS) et être (par exemple, empreinte digitale).

Question 6 : 

La réponse est 2. RPV signifie Réseau privé virtuel.

Question 7 :

La réponse est 4. Les trois conseils sont extrêmement importants lorsqu’il s’agit de protéger vos appareils personnels.

Question 8 :

La réponse est 2. L’information et les appareils liés au travail sont confidentiels. Même les membres de votre famille et vos colocataires ne devraient pas y avoir accès. Ils devraient toujours être protégés lorsque vous ne les utilisez pas.

Question 9 :

La réponse est 3. Vous devriez toujours confirmer vos transactions financières en ayant recours à une autre forme de communication, par exemple, en appelant la personne concernée ou en lui rendant visite.