Veiller au grain
Cet article s’inscrit dans la collection « cybersécurité ».
Par Pascale Guéricolas
Comme bien d’autres organisations, l’Ordre se soucie de la sécurité informatique et est conscient des risques constants d’intrusion.
«Aujourd’hui, on ne se demande pas si l’on va être attaqués, mais plutôt quelles mesures protègent les renseignements personnels, indique Joël Betchem, analyste en sécurité à l’Ordre des ingénieurs du Québec. En effet, les pirates informatiques tentent sans cesse de trouver des brèches dans nos systèmes.»
Investir dans la sécurité
Bien avant que la cyberattaque subie par l’Ordre n’ait lieu, au printemps 2020, un plan d’une cinquantaine d’initiatives avait déjà été élaboré pour protéger l’organisation, parce que les renseignements qu’elle détient sont très précieux. Il suffit de penser, notamment, aux données personnelles concernant les membres et le personnel, aux informations relevant des enquêtes ou des procédures en justice contre d’éventuelles activités illégales. Voilà pourquoi une stratégie de renforcement de la sécurité a été déployée sur trois ans d’ici 2023, ce qui représente un investissement de 1,5 million de dollars, soit 15 % du budget destiné au secteur des technologies de l’information (TI). Certains points spécifiques de ce plan portent sur le renforcement des mécanismes de détection d’activité suspecte, la détection des vulnérabilités ainsi que la mise en place de mesures d’authentification multifacteur, via un texto ou un courriel.
«C’est un travail constant de prévenir de possibles intrusions, car nous avons affaire à des criminels informatiques de plus en plus aguerris.» — Jean-François Legault, ing., directeur des technologies de l’information à l’Ordre des ingénieurs du Québec
«C’est un travail constant de prévenir de possibles intrusions, remarque Jean-François Legault,
ing., directeur des technologies de l’information à l’Ordre, car nous avons affaire à des criminels informatiques de plus en plus aguerris. Voilà pourquoi chaque année nous demandons à une entreprise externe d’essayer de s’introduire dans nos réseaux, à la recherche
des failles possibles.» Si des brèches sont détectées, les experts des TI corrigent la situation.
Sensibiliser le personnel
Le passage au télétravail en mars 2020 n’a pas posé de problèmes particuliers, car l’Ordre dispose d’un réseau privé virtuel (RPV), assurant une connexion sécurisée à distance. Conscients cependant que les utilisateurs constituent une des principales failles en sécurité de l’information, l’équipe des TI a
déployé un programme pour les sensibiliser à ces questions. Une des méthodes consiste à envoyer sur une base régulière au personnel
de courtes capsules pour les tenir en alerte.
«Les employées et employés constituent notre première ligne de défense, affirme Jean-François Legault. On veut qu’ils entendent
tout le temps parler de la sécurité informatique. Malgré toutes les barrières technologiques, les pirates informatiques sont constamment à l’affût des portes que le personnel peut laisser entrouvertes.» Des formations insistent, par exemple, sur les bonnes pratiques en matière de mots de passe et sur les tentatives d’hameçonnage. On incite ainsi les usagers à choisir une phrase de passe comportant des caractères spéciaux, facile à retenir, mais plus complexe qu’un simple mot de passe. L’accent est mis également sur les risques liés à la navigation sur certains sites. Un antivirus de nouvelle génération (Endpoint Detection and Response [EDR]) permet d’anticiper par ailleurs les comportements de fichiers malveillants et de bloquer leur ouverture. Les mises à jour automatisées et constantes aident aussi à lutter contre les vulnérabilités des logiciels.
Les techniques en vogue
De nombreux pirates informatiques utilisent les courriels ou les textos pour tenter de s’introduire dans le système. Une technique très en vogue depuis le début du télétravail, l’hameçonnage, inquiète l’équipe des TI. Il s’agit souvent d’amener l’utilisateur à se rediriger
vers un site, pour qu’il télécharge ensuite un logiciel malveillant dans son ordinateur ; le logiciel se répand ensuite dans l’organisation.
Une autre technique courante : se faire passer pour des techniciens et demander des informations personnelles sous prétexte de
réinitialiser le compte de l’usager. Même si l’employé ne dispose pas de données sensibles, les pirates accumulent avec patience ces renseignements qui leur permettent de s’approcher ensuite de paliers plus protégés. L’Ordre a beau ne pas avoir la même visibilité internationale que certaines organisations, les pirates peuvent quand même venir de n’importe où dans le monde.
« Ils découvrent une faiblesse informatique et tentent ensuite de la repérer sur le Web, en navigant à travers une multitude d’organisations, explique Jean-François Legault. S’ils trouvent cette faiblesse chez nous, ils vont ensuite essayer de l’exploiter, sans nécessairement nous connaître.»
Une équipe mobilisée
Très efficace dans la défense du système, l’équipe des TI se prépare aussi aux conséquences d’une possible intrusion. Ainsi, le Conseil
d’administration et la direction de l’Ordre disposent d’une stratégie très précise concernant les rançongiciels, tout en espérant ne jamais avoir à faire face à cette situation.
Côté technique, l’équipe sait aussi quelles actions prendre pour limiter les dégâts et remettre ensuite les systèmes en place. Elle accorde une attention particulière à ces plans de recouvrement en les testant. Il faut vérifier que ceux-ci sont bien exécutés, et les modifier au besoin. Le but, récupérer le plus rapidement possible la plus grande quantité de données. Toutes ces mesures poursuivent un objectif unique : garantir aux membres et au personnel que la sécurité de leurs données est toujours assurée au sein du réseau de l’Ordre.
Joël Betchem, analyste en sécurité à l’Ordre des ingénieurs du Québec
