En raison de la grève de Postes Canada, il y aura un délai dans la livraison des livres.

Devenez membre gratuitement Se connecter

JavaScript n'est pas actif sur votre navigateur.

Afin de pouvoir visualiser le contenu de cette page, veuillez l'activer en suivant ces étape.

Piratage informatique : l’humain est le premier rempart

par Alain Thériault | 24 janvier 2024 10:58

Photo : Freepik

Les brèches de sécurité dans l’univers numérique des entreprises n’arrivent jamais seules : 95 % des piratages réussissent en raison d’une erreur humaine.

Dominic Villeneuve

Ces statistiques, Dominic Villeneuve, directeur de la cybersécurité à UV Assurance, l’a révélée lors de la conférence Vos cyberhabitudes et la loi 25 : comment gérer les renseignements personnels de vos clients au quotidien. La conférence s’est déroulée au Congrès de l’assurance de personnes 2023 le 14 novembre.

Elles sont particulièrement inquiétantes au moment où la presque totalité des dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé (Loi 25) sont maintenant en vigueur.

Deuxième conférencière, Joëlle Girouard est devenue la cheffe de la conformité d’UV Assurance à l’âge de 27 ans, en mai dernier. Elle a donné la répartie à M. Villeneuve. L’objectif : démontrer la facilité de pirater et prévenir les entreprises les conséquences légales qu’elles peuvent vivre après brèche de sécurité.

Pirate éthique

D’emblée, Dominic Villeneuve se décrit comme un pirate éthique. « Mon rôle est de penser comme un pirate et de protéger les informations d’UV Assurance. De 13 à 19 ans, j’ai été pirate. Ensuite, je suis devenu pirate éthique. Un pirate éthique a le droit de pirater dans un cadre défini et protégé par des papiers et des garanties », explique M. Villeneuve.

Pour démontrer comment une brèche peut survenir rapidement, le pirate éthique a fait jaillir une notification sur les téléphones intelligents des congressistes réunis dans la salle, dont celui de l’auteur de ces lignes. L’invitation à se connecter est en fait une campagne d’hameçonnage. « Si vous acceptez de vous connecter, je peux entrer dans votre téléphone. J’ai votre attention ? »

Selon lui, dérober l’identité d’une personne est aussi une opération relativement facile. Il en évalue le degré d’aisance à 5, sur une échelle de 1 à 10. Le directeur de la Cybersécurité d’UV Assurance en a fait la démonstration en ciblant le site d’une pétrolière texane aujourd’hui disparue du Canada, Texaco.

L’outil qu’il utilise lui permet de trouver une centaine d’adresses qui permettraient à un pirate de constituer un profil complet d’entreprise. Plusieurs de ces adresses ont été compromises, ajoute Dominic Villeneuve. Il rappelle qu’avec les objets connectés, le pirate a d’autant plus de facilité à pénétrer chez les individus et chez les entreprises. Les pépites d’or recherchées par les pirates sont les renseignements personnels.

Données sensibles

Joëlle Girouard

La vulnérabilité des entreprises à de tels stratagèmes allume un voyant rouge sur le cadran de Joëlle Girouard : le cadran de la Loi 25. « Un renseignement personnel permettra d’identifier quelqu’un directement ou indirectement. On peut voir cela comme un casse-tête : un nom, une adresse ou un salaire peut permettre de faire des liens », prévient-elle.

La Loi 25 exige que l’entreprise dise à quoi serviront les renseignements recueillis auprès de ses clients et obtenir leur consentement à les recueillir. Chaque accès à ces renseignements doit figurer à un registre. Elle doit les détruire lorsqu’ils ne servent plus ses besoins. Autrement, elle doit les anonymiser. Un calendrier de conservation doit aussi être respecté.

Un renseignement comme le nom de la personne permet de l’identifier est une pièce, mais pas le casse-tête complet. La cheffe de la conformité désigne deux autres catégories de renseignements personnels : les informations sensibles comme le dossier de santé ou l’orientation sexuelle ; les informations clés comme le numéro d’assurance sociale ou un mot de passe. « Les informations clés vont vraiment donner un accès direct aux hackers (pirates) », ajoute-t-elle.

Danger conformité

Joëlle Girouard précise les seuls renseignements qui sont exclus de la Loi 25 sont les renseignements professionnels, comme ceux qui figurent sur une carte professionnelle. Si la sécurité des autres types de renseignements personnels est compromise, un incident de confidentialité survient.

Mme Girouard décrit l’incident de confidentialité ainsi :

Un accès non autorisé à un renseignement personnel ;
Une utilisation non autorisée d’un renseignement personnel ;
Une communication non autorisée d’un renseignement personnel ;
Une perte ou toute autre atteinte à la protection d’un renseignement personnel.

Parmi les exemples, elle désigne de situations telles que l’oubli d’un ordinateur dans le train, l’envoi d’un courriel au mauvais destinataire, la consultation de dossier non autorisée, ou un employé qui utilise les données de ses clients pour tester une application qu’il a développée dans ses temps libres.

Joëlle Girouard en appelle à la vigilance. « Les renseignements personnels représentent de l’or pour les entreprises. Il y a des principes importants derrière leur protection », mentionne-t-elle. Elle prône un meilleur contrôle et plus de transparence pour réduire les atteintes à la confidentialité.

Mme Girouard rappelle que la phase 3 de la Loi 25 arrivera en septembre 2024. Il s’agit de la phase sur la portabilité des données.

Les plus populaires en Société

De nouvelles menaces pourraient rendre certains risques plus concrets