La cybersécurité dans la fonction publique

Tous les jours, vous recourrez à votre téléphone intelligent pour effectuer toutes sortes de tâches : programmer une sonnerie, lire vos courriels, consulter les réseaux sociaux, et bien d’autres choses encore. Que votre appareil soit sous Android ou Apple, comme bien des Canadien·nes, vous comptez sur ces outils pour mener vos activités quotidiennes.

Au travail, vous utilisez le système d’exploitation Windows, et probablement le navigateur Microsoft Edge, Google Chrome ou Firefox, selon les directives de votre organisation. Vous suivez aussi les politiques et les procédures du gouvernement du Canada pour stocker et gérer les documents et les données. Vous avez suivi la formation obligatoire sur la sécurité en ligne, et vous faites confiance aux TI pour protéger adéquatement le réseau et les données du gouvernement.

Toutefois, il ne faut pas négliger l’influence de vos habitudes personnelles sur vos pratiques professionnelles en matière de données. Vous êtes l’épicentre d’un réseau d’entreprises privées qui recueillent et exploitent vos données de multiples façons. Chaque entreprise ou service vient avec ses propres conditions, politiques de confidentialité et risques liés à la sécurité. Lorsque vous communiquez vos données personnelles, vous les confiez en fait à diverses entreprises. Mais au travail, vous êtes responsable de protéger l’information sensible du gouvernement et du grand public. En tant que fonctionnaire, il est important que vous compreniez les incidences de vos pratiques en matière de données à la fois sur vous, sur le gouvernement et sur le grand public.

Qu'entend-on par cybersécurité?

La cybersécurité, c’est la protection des données numériques et de l’infrastructure servant à les stocker, ce qui comprend les données et les renseignements de nature délicate vous concernant qui sont enregistrés localement, en ligne et dans l’infonuagique.

L’atteinte à la protection des données, le piratage informatique, les logiciels malveillants, les rançongiciels, les virus, l’hameçonnage – nous entendons tous et toutes parler de ces attaques malfaisantes et de leurs protagonistes. Le monde en ligne est devenu source de crainte et, en tant que fonctionnaire, vous avez été mis·e en garde quant à la nécessité d’adopter de bonnes pratiques de cybersécurité. Pour examiner les différentes attitudes face à la cybersécurité, faites le test ci-après.

Quel est votre profil?

Autant dans notre vie personnelle que professionnelle, nous avons un rôle et des responsabilités. Cependant, malgré ces obligations, notre attitude face à la gestion des données est grandement influencée par nos valeurs personnelles et notre perception de nous-mêmes. Si nous ne nous préoccupons pas de nos propres données, comment pouvons-nous faire preuve de responsabilité et de diligence face aux données qui nous sont confiées au travail?

Les menaces éveillent souvent un sentiment de crainte qui peut nous mettre sur la défensive et nous amener à nous retrancher dans notre zone de confort. Lorsqu’une violation des données ou une cyberattaque survient, vous pouvez avoir tendance à en diminuer l’importance ou à les considérer comme inévitables, en vous disant qu’elle ne vous concerne pas, ou que ce genre d’incident ne vous arrivera pas. Pourtant, en tant que fonctionnaire, consommateur ou consommatrice, ou encore simple citoyen·ne, vous pouvez devenir la cible d’une cyberattaque ou être victime d’une attaque non ciblée.

Est-ce que je risque réellement d’être victime d’une cyberattaque?

En 2024, le Forum économique mondial a évalué la cybersécurité comme l’un des cinq plus grands risques à l’échelle internationale (article en anglais) des deux prochaines années, après la mésinformation et la désinformation qui trônent au premier rang.

L’inquiétude du grand public face à ces menaces est également en hausse. Le Baromètre de confiance Edelman 2024 indique que 75 % de la population canadienne s’inquiète de la peur qu’instille la société face au piratage informatique, une augmentation de 5 % sur douze mois.

À la lumière de ces chiffres, nous devons nous attaquer aux conceptions erronées en matière de cybersécurité. Les cybermenaces ne concernent pas que les ministères de grande taille. Le piratage psychologique, les rançongiciels et les autres types d’attaques représentent un risque pour toutes les organisations, peu importe leur taille. Dans la fonction publique, les données que nous gérons et les systèmes que nous utilisons sont tous des cibles potentielles pour les pirates informatiques et la concurrence.

Nous nous concentrons souvent sur les conséquences financières des cyberattaques, comme les dépenses liées à l’achat de nouveaux systèmes informatiques, de logiciels de sécurité et de matériel, ou encore aux compensations versées aux personnes touchées. Cependant, il est tout aussi important de se pencher sur le tort que ces attaques peuvent causer à la réputation d’une organisation.

Pensez aux potentielles conséquences si :

• des renseignements personnels confiés par la population canadienne étaient perdus ou volés;
• le réseau de votre ministère était victime de piratage, compromis par un logiciel malveillant (article en anglais);
• un des serveurs du gouvernement du Canada était soumis à une augmentation orchestrée de l’achalandage, causant une panne de serveur et l’inaccessibilité du site Web et des services.

Quels effets ces incidents auraient-ils sur l’image du gouvernement? Et quel en serait le fardeau fiscal pour les contribuables?

Voici huit gestes simples pour vous protéger, vous et votre organisation, contre les cybermenaces.

• Sécurisez vos connections et vos appareils.
• Restez à l'affût des courriels et textos suspects : Pouvez-vous repérer les tentatives d’hameçonnage? De nombreux ministères avertissent les membres de leur personnel de ne pas ouvrir les courriels provenant d’adresses électroniques inconnues, même si la source semble digne de confiance. Méfiez-vous des courriels qui contiennent des fautes de grammaire ou d’orthographe, qui s’adressent à vous en utilisant votre nom de famille ou votre adresse électronique, vous invitent à cliquer sur un lien, contiennent des pièces jointes suspectes, vous demandent de l’information sensible, semblent trop beaux pour être vrais, ou font toute demande inhabituelle. En cas de doute, vérifiez auprès de l’organisation expéditrice en utilisant un autre moyen de communication que le courriel ou le texto, par exemple en passant directement par son site Web ou en téléphonant. Suivez les étapes de votre organisation pour rapporter les courriels suspects. Restez à l’affût du piratage psychologique; il se présente sous diverses formes.
• Renforcez vos mots de passe : Choisir de meilleurs mots de passe ou phrases de passe peut prévenir de nombreux délits informatiques. Un long mot de passe (de 12 caractères ou plus) vous protège contre plusieurs types d’attaques liées à la vulnérabilité des mots de passe. N’utilisez pas un même mot de passe plus d’une fois et ne choisissez pas des mots de passe prévisibles, comme Motdepasse123. Le simple fait d’utiliser des mots de passe uniques et complexes est déjà un pas énorme dans la bonne direction.
• Préservez la sécurité physique des appareils de l’organisation et des appareils personnels : Gardez verrouillées les portes extérieures et les pièces qui contiennent les serveurs de fichiers, et refusez l’entrée aux personnes inconnues. Si un ou une pirate informatique réussit à entrer dans le bâtiment et à s’asseoir à un terminal, il lui sera facile de s’introduire dans le serveur.
• Évaluez les risques : Vous devez comprendre l’importance de ce que vous protégez. Prenez des mesures proactives pour comprendre les menaces pouvant planer sur votre organisation, et concentrez-vous en priorité sur la prévention des risques modérés et élevés.
• Prenez conscience des besoins en sécurité : Assurez-vous que vous et votre équipe recevez suffisamment de formation. Même une technologie de pointe ne vous protégera pas contre des faiblesses aussi simples qu’une gestion déficiente des mots de passe ou un mauvais stockage des données. Veillez à ce que vous et vos collègues ayez reçu des directives précises en la matière.
• Mettez en place une stratégie : À l’instar d’un plan d’évacuation en cas d’incendie, planifiez ce qui doit être fait avant, pendant et après une cyberattaque. La stratégie doit correspondre aux objectifs de l’organisation et viser l’amélioration en continu.

Vous protégez-vous bien contre les cyberattaques? Répondez aux questions de l’examen Pensez cybersécurité pour le savoir.

Ressources

• Cour | Decouvrez la cybersecurite (DDN235)
• Cour | Sensibilisation à la sécurité (COR310)
• Article | Ne soyez pas un personnage dans un suspence d'espionnage
• Article | Améliorez vos compétences en cybersécurité : restez a l'affut des menaces qui vous guettent!
• Article | Déjouer le piratage psychologique
• Article | Conseils de cybersécurité pour se protéger
• Web | Signaler un cyberincident (pour le grand public et les organisations)
• Web | Pensez cybersécurité
• Web | Centre canadien pour la cybersécurité