Quatre types d’intrusions à surveiller

Les auteurs de menace n’ont jamais reculé devant les occasions lucratives, même lorsqu’il s’agit d’exploiter la vulnérabilité émotionnelle des gens. Selon le Centre antifraude du Canada (CAFC), les cyberattaquants incitent maintenant les gens à payer des sommes importantes pour éviter la file d’attente pour la vaccination contre la COVID-19, un stratagème qui n’est possible que dans le contexte actuel et unique de crise sanitaire. Ils ont également trouvé des moyens de voler des chèques de Prestation canadienne d’urgence et d’autres renseignements au moyen d’arnaques liées à la pandémie. Le CAFC estime que les Canadiens ont perdu 7,2 millions de dollars à cause des fraudes liées à la COVID-19.

En plus de sembler opportuniste, le fait d’exploiter les craintes des gens face à une pandémie est une preuve de plus que les cyberattaques évoluent au-delà du simple hameçonnage. Au cours des dernières années, les auteurs de menace ont élaboré des stratégies plus sophistiquées pour voler des renseignements. Qu’il s’agisse de faux messages texte, d’appels frauduleux de l’Agence du revenu du Canada (ARC) ou de menaces croissantes de violation de dispositifs de l’Internet des objets (IdO), il existe désormais une foule de moyens pour un cyberattaquant de voler à ses victimes des renseignements personnels très confidentiels.

En effet, les cyberattaquants se sont adaptés au fait que de nombreuses personnes travaillent désormais à domicile. Or, l’idée de pirater le thermostat numérique d’une personne pour s’introduire dans son réseau n’aurait pas effleuré l’esprit d’un auteur de menace il y a un an. Maintenant, si des renseignements confidentiels de l’entreprise se trouvent sur un réseau domestique, la violation de la sécurité d’un dispositif d’IdO offrirait à un attaquant une véritable mine d’or de données prêtes à être vendues sur le marché noir.

La première étape pour les organisations et leurs employés qui souhaitent se protéger consiste à comprendre comment les cyberattaquants volent leurs renseignements. Cela est d’autant plus vrai maintenant que le travail à domicile est devenu, pour certaines personnes, une modalité de travail permanente et que les auteurs de menace continuent d’innover. Voici les quatre principales manières par lesquelles les atteintes à la sécurité se produisent aujourd’hui :

1. L’hameçonnage demeure en tête

L’hameçonnage – par lequel un cyberattaquant envoie un courriel à une cible en vue de l’inciter à utiliser ses renseignements personnels pour ouvrir une session sur un site web ou pour installer un logiciel malveillant sur son ordinateur – demeure la menace la plus répandue. Selon une publication sur le site CSO.com (en anglais seulement), 94 % des logiciels malveillants sont diffusés par courrier électronique et 80 % des incidents de sécurité signalés découlent de l’hameçonnage. Au fil des ans, il est devenu plus difficile de déceler ces menaces. Les faux courriels, autrefois faciles à distinguer, ont désormais l’apparence de courriels provenant réellement de la banque de la personne visée ou de son entreprise. Dans de nombreux cas, les cyberattaquants utilisent des renseignements personnels qu’ils ont volés ou trouvés en ligne – concernant l’état de santé, la famille ou le lieu de travail des personnes visées – pour créer des courriels adaptés à leur situation. Tout cela rend plus difficile la distinction entre ce qui est réel et ce qui ne l’est pas. Bien que l’hameçonnage soit une méthode bien connue, il devient de plus en plus difficile à combattre.

2. Menaces internes à domicile

Les employés sont souvent le talon d’Achille de l’entreprise en ce qui concerne la sécurité des données. Ils peuvent révéler par inadvertance des renseignements confidentiels sur l’entreprise à des amis, à des connaissances, à des concurrents et à d’autres personnes. La menace interne la plus récente, cependant, est celle que représentent les appareils personnels non sécurisés utilisés dans le cadre des activités de l’entreprise. Les employés en télétravail utilisent souvent leur appareil personnel pour accéder à des renseignements confidentiels. Or, la divulgation de tels renseignements pourrait nuire à l’entreprise. Les auteurs de menaces ciblent de plus en plus les réseaux domestiques pour accéder à ces appareils personnels. Les cyberattaquants s’infiltrent également dans les appels virtuels et vont même jusqu’à s’introduire physiquement dans les maisons. En outre, il arrive que les gens jettent des documents papier sans les déchiqueter, ce qui permet à certains fraudeurs de fouiller leurs poubelles. Il s’agit d’une autre méthode de vol de renseignements. La plupart des employés ne sont pas pleinement conscients de ce risque et ne connaissent pas les politiques ou les systèmes conçus pour les protéger.

3. Les fraudes par téléphone se poursuivent

À ce jour, presque tous les Canadiens ont reçu un appel d’une personne se faisant passer pour un agent de l’ARC exigeant qu’ils règlent une facture impayée ou qu’ils fournissent leur numéro d’assurance sociale. Selon la Gendarmerie royale du Canada (GRC), entre 2014 et 2019, l’escroquerie de ce genre a entraîné des pertes de 16,8 millions de dollars pour ses victimes. On assiste aussi à l’émergence de nouvelles arnaques visant les paiements liés à la COVID-19. Les fraudeurs communiquent avec des personnes, en ligne ou par téléphone, dans le but d’obtenir des chèques liés à la pandémie ou des renseignements sur leurs prestations. Ces escrocs, qui se font passer pour des agents du fisc, des médecins ou d’autres professionnels, ciblent souvent les personnes âgées, mais ils peuvent également duper toute autre personne en vue de lui soutirer des renseignements confidentiels concernant une entreprise. Les entreprises doivent donc apprendre à leur personnel à repérer ces escroqueries et à agir en conséquence.

4. Augmentation des violations de dispositifs de l’IdO

Nos maisons sont de plus en plus branchées sur le réseau grâce aux dispositifs de l’IdO, notamment les thermostats intelligents, les caméras vidéo installées aux portes d’entrée, les assistants à reconnaissance vocale, les stores connectés à internet, etc. Ces technologies peuvent certes nous faciliter la vie, mais plusieurs d’entre elles sont également vulnérables aux attaques. Selon le rapport du laboratoire Nokia Threat Intelligence Lab (en anglais seulement) près de 33 % des infections de réseaux mobiles et Wi-Fi découlent de violations de dispositifs de l’IdO, par rapport à 16 % en 2019. La plupart de ces dispositifs ne sont pas équipés de paramètres de sécurité adéquats. Les cyberattaquants ont ainsi trouvé le moyen de s’introduire dans l’ensemble du réseau domestique en commençant par pirater l’un de ces gadgets. Les auteurs de menace peuvent également utiliser les données qui se trouvent dans ces appareils contre leur cible. Par exemple, un thermostat réglé pour abaisser la température tous les jours à la même heure pourrait indiquer qu’une personne n’est pas chez elle à ce moment. De plus, les fraudeurs peuvent pirater une caméra de sécurité et ainsi voir qui se présente à la porte d’entrée ou se trouve à l’intérieur d’une maison.

Protégez votre entreprise contre les menaces croissantes

La protection de votre entreprise, de vos employés, de vos clients ainsi que des nombreuses autres personnes potentiellement touchées par les failles de sécurité de votre entreprise exige un certain effort. Il demeure toutefois important de le faire, sans quoi vous risquez de subir des atteintes à votre réputation et des dommages financiers et juridiques. Commencez par déterminer le type de données que votre entreprise doit protéger. Il peut s’agir de renseignements sur les finances, les clients, les ressources humaines, ou sur tous ces éléments à la fois. Un bon point de départ : pensez aux renseignements que vous ne voudriez pas voir tomber entre de mauvaises mains.

Examinez ensuite les réglementations relatives à la confidentialité des données auxquelles votre entreprise doit se conformer; elles peuvent être nombreuses. La Loi sur la protection de la vie privée des consommateurs, qui sera prochainement édictée, réglementera les activités des entreprises exerçant leurs activités au Canada. Le Règlement général sur la protection des données est, quant à lui, déjà en vigueur en Europe. Certains secteurs peuvent par ailleurs être régis par des normes particulières en matière de protection de la vie privée. 

Une fois que vous aurez compris vos données, ce que vous devez protéger et la législation que vous devez respecter, vous serez en mesure de mettre en place des politiques et des contrôles. Il pourrait s’agir de contrôler plus strictement qui a un accès et à quelles données il peut accéder. Votre entreprise pourrait également choisir de fournir ses ordinateurs portables aux employés plutôt que de leur demander d’utiliser leurs propres appareils. En outre, une évaluation approfondie des mesures de sécurité peut s’avérer très utile et vous aider à déterminer ce que vous pouvez faire de plus pour protéger votre entreprise et vos employés. Une feuille de route et un plan stratégique en matière de cybersécurité peuvent enfin assurer une protection de vos données par les lois sur la protection des renseignements personnels applicables. Il ne s’agit pas de savoir si une attaque aura lieu, mais quand elle aura lieu. Les cyberattaquants sont constamment à la recherche de nouveaux moyens d’exploiter les renseignements. En vous préparant à une attaque potentielle le plus tôt possible, vous et vos clients serez bien équipés pour y réagir.

Remerciements

Vanessa Chan
Directrice principale, Détection et intervention
Services liés aux cyberrisques

Adrian Cheek
Directeur, Renseignements et chasse aux cybermenaces
Centre de Cyber Intelligence de Deloitte