Cybersécurité : et si vos employés vous plaçaient à risque?

Par Katherine Poirier

Scénario d’horreur. Une transaction de 2,5 millions de dollars est conclue dans un grand cabinet d’avocats, en lien avec la vente d’une propriété. La transaction est conclue le 30 décembre 2016 et les sommes doivent être libérées le prochain jour ouvrable, soit le 3 janvier 2017. Un avocat junior est en charge de s’assurer que les fonds soient transmis au bon moment, à bon port. L’avocat junior se fait contacter par courriel par un courtier hypothécaire au nom de l’acquéreur, lui indiquant que les sommes doivent être transmises dans un autre compte à Hong Kong, parce que la compagnie de l’acquéreur est actuellement en processus de vérification diligente. Le cabinet d’avocats contacte le courtier hypothécaire afin de confirmer les informations du compte, mais le tout demeure sans réponse. Des courriels additionnels confirment les informations du compte. Le cabinet d’avocats sollicite des lettres d’autorisation et les reçoit par courriel. Les fonds sont dûment transmis… pour réaliser ensuite, lors de l’appel de la véritable maison de courtage, que les sommes ont été transférées à des fraudeurs.

 

Cette situation n’est pas fictive : telle est la trame factuelle du dossier Dentons Canada LLP v. Trisura Guarantee Insurance Company, 2018 ONSC 7311 (http://canlii.ca/t/hwkbb). Le débat consistait à déterminer si la perte subie par le cabinet devait être indemnisée par l’assureur et, le cas échéant, sous quel avenant. Le litige est secondaire aux fins de ce billet, mais la mise en garde, elle, est bien réelle. Selon ses porte-paroles, le grand cabinet avait mis en œuvre des mesures importantes pour prévenir ce type d’incident, dispensant de la formation obligatoire à tous ses collaborateurs en lien avec la protection de la cybersécurité. L’incident serait survenu suite au piratage de l’ordinateur d’un tiers, qui aurait permis aux escrocs de transmettre des courriels ayant l’apparence de courriels en provenance de la firme de courtage impliquée.

crédits:depositphotos.com

Plus que jamais, ce sont donc tous les maillons de la chaîne d’information qui peuvent devenir une porte d’entrée de la cybercriminalité. Que l’entreprise soit de petite taille ou une multinationale, il devient essentiel de s’assurer que tous les coéquipiers puissent reconnaître les courriels factices. Des mesures concrètes visant la sécurité interne (changement fréquent de mots de passe, mots de passe complexes, récupération des ordinateurs au départ des employés, dispositifs permettant de nettoyer à distance un appareil égaré, mesures de sécurité internes bloquant le téléchargement de certains fichiers, pare-feu, etc.) et des processus internes élaborés (formation des employés visant à reconnaître l’hameçonnage, politique d’utilisation du réseau interdisant de transiter certaines informations sur les réseaux non protégés et de partager les appareils en réseau avec les membres de la famille, vérifications préembauche étoffées, etc.) sont donc à mettre en œuvre sans tarder. Parce que la sécurité informatique de votre organisation dépend du plus négligent des collaborateurs de la chaîne…

À proposMentions Légales