Sélection de la langue

Gouvernement du Canada / Government of Canada

Recherche

La cybersécurité dans la fonction publique (DDN2-A39)

Description

Cet article explique les notions de base de la cybersécurité dans le contexte du gouvernement du Canada et décrit les mesures simples qui aideront les organisations à se protéger contre les cybermenaces.

Publié : 24 avril 2024
Type : Article
Contributeur : Académie du numérique

Une forteresse colorée servant de guide contre les menaces imminentes.

La cybersécurité dans la fonction publique

Tous les jours, vous recourrez à votre téléphone intelligent pour effectuer toutes sortes de tâches : programmer une sonnerie, lire vos courriels, consulter les réseaux sociaux, et bien d'autres choses encore. Que votre appareil soit sous Android ou Apple, comme bien des Canadien·nes, vous comptez sur ces outils pour mener vos activités quotidiennes.

Au travail, vous utilisez le système d'exploitation Windows, et probablement le navigateur Microsoft Edge, Google Chrome ou Firefox, selon les directives de votre organisation. Vous suivez aussi les politiques et les procédures du gouvernement du Canada pour stocker et gérer les documents et les données. Vous avez suivi la formation obligatoire sur la sécurité en ligne, et vous faites confiance aux TI pour protéger adéquatement le réseau et les données du gouvernement.

Toutefois, il ne faut pas négliger l'influence de vos habitudes personnelles sur vos pratiques professionnelles en matière de données. Vous êtes l'épicentre d'un réseau d'entreprises privées qui recueillent et exploitent vos données de multiples façons. Chaque entreprise ou service vient avec ses propres conditions, politiques de confidentialité et risques liés à la sécurité. Lorsque vous communiquez vos données personnelles, vous les confiez en fait à diverses entreprises. Mais au travail, vous êtes responsable de protéger l'information sensible du gouvernement et du grand public. En tant que fonctionnaire, il est important que vous compreniez les incidences de vos pratiques en matière de données à la fois sur vous, sur le gouvernement et sur le grand public.

Qu'entend-on par cybersécurité?

Barrière minimaliste en corde rose.

La cybersécurité, c'est la protection des données numériques et de l'infrastructure servant à les stocker, ce qui comprend les données et les renseignements de nature délicate vous concernant qui sont enregistrés localement, en ligne et dans l'infonuagique.

L'atteinte à la protection des données, le piratage informatique, les logiciels malveillants, les rançongiciels, les virus, l'hameçonnage – nous entendons tous et toutes parler de ces attaques malfaisantes et de leurs protagonistes. Le monde en ligne est devenu source de crainte et, en tant que fonctionnaire, vous avez été mis·e en garde quant à la nécessité d'adopter de bonnes pratiques de cybersécurité. Pour examiner les différentes attitudes face à la cybersécurité, faites le test ci-après.

Quel est votre profil?

Votre profil en matière de cybersécurité

Répondez au questionnaire ci-après pour découvrir votre profil en matière de cybersécurité, ainsi que les différentes attitudes et pratiques dans le domaine de la sécurité numérique.

  • Directives

    Directives

    Ce test comprend cinq questions composées de quatre choix de réponse chacune. Sélectionnez la réponse qui correspond le mieux à votre attitude ou à votre réaction initiale à la lecture de chaque question.

  • Test

    Test

    1. Quelle est votre réaction lorsque vous apprenez que des données ont été compromises?

      1. Ça me préoccupe, mais je ne crois pas pouvoir y changer quoi que ce soit.
      2. Que la violation de données me concerne ou non, je m'affole et je me précipite pour vérifier mes réglages de sécurité et changer mes mots de passe.
      3. C'est préoccupant, mais j'ai confiance que les systèmes en place régleront la situation.
      4. Je me garde au courant et je m'assure que mes mesures de sécurité sont à jour.

    2. Comment gérez-vous vos mots de passe?

      1. Je réutilise les mêmes mots de passe; il est trop difficile d'en mémoriser plus.
      2. Je suis constamment sur mes gardes; je me fie largement à mon gestionnaire de mot de passe et je change très souvent mes mots de passe par crainte d'une cyberattaque imminente.
      3. Je fais la rotation entre quelques mots de passe; ça me paraît suffisant.
      4. J'utilise un mot de passe complexe, sécuritaire et unique pour chacun de mes comptes.

    3. Quelle est votre attitude face aux nouveaux services et aux nouvelles applications?

      1. Je ne lis pas les conditions; ça ne changera rien de toute façon.
      2. Je crains une potentielle violation des données, alors j'analyse minutieusement les conditions et j'étudie comme il faut les politiques de sécurité de l'application.
      3. Si ces services et ces applications m'apparaissent utiles ou divertissants, je les essaie sans trop m'inquiéter.
      4. J'aime vérifier quelles sont les forces et les possibles failles de sécurité d'une application avant de l'installer.

    4. Quelle est votre réaction quand vous entendez parler de mesures avancées en cybersécurité?

      1. Ça me paraît trop compliqué; je ne saurais pas par où; commencer.
      2. Je me concentre sur tous les détails techniques et je passe du temps à lire sur les dernières mesures en matière de cybersécurité.
      3. Ces mesures me semblent exagérées par rapport à l'utilisation que je fais de mes outils.
      4. Je me garde au courant et j'applique ce qui m'apparaît utile et pertinent.

    5. Quelle est votre perception de la sécurité en ligne?

      1. C'est une cause perdue d'avance; tout est public de nos jours.
      2. C'est une lutte constante qui requiert une grande vigilance.
      3. Ça ne m'inquiète pas tellement; je n'ai rien à cacher.
      4. Il faut s'en préoccuper, mais on peut se protéger au moyen de mesures adéquates.
Remarque et résultats

Remarque

En cas d'égalité, relisez vos réponses aux questions concernées afin de déterminer la lettre qui vous représente vraiment le mieux.

Résultats

Vous avez une majorité de A : Vous pensez peut-être : « Il est trop tard. La confidentialité est chose du passé, et je n'ai rien à cacher, alors j'ai arrêté de me protéger. Oui, c'est inquiétant, mais je ne peux rien y changer. » Pourtant, vous avez plus de contrôle que vous le croyez, et nous devons mener la lutte ensemble.

Découvrez la cybersécurité (DDN235) est un cours condensé de courte durée recommandé à tous et à toutes comme introduction ou rappel. Si vous connaissez les bases de la cybersécurité et désirez approfondir vos connaissances, nous vous recommandons Cybersécurité pour les petites et moyennes entreprises ou Considérations liées à la cybersécurité pour la gestion des comptes de médias sociaux.

Vous avez une majorité de B : Peut-être vous dites-vous : « La série télévisée Black Mirror est une représentation fidèle de la réalité actuelle. Il existe des groupes malintentionnés qui exploitent nos données à leur profit et qui orchestrent des attaques. Même les personnes comme moi sont à risque. Nous devons lire les conditions d'utilisation de chaque application avant de la télécharger, gérer attentivement nos réglages de sécurité sur chaque appareil, couvrir nos caméras, et considérer que tout ce que nous publions en ligne, écrivons à l'ordinateur ou disons à voix haute peut être utilisé contre nous. » Bien qu'il faille se protéger contre les risques et les menaces, il est tout aussi important de ne pas se laisser gagner par la peur et la paranoïa. En prenant des décisions judicieuses et en adoptant de bonnes pratiques de prévention en matière de cybersécurité, vous vous protégerez sans devoir déployer des efforts indus.

Voici un article qui devrait vous intéresser : Améliorez vos compétences en cybersécurité : restez à l'affût des menaces qui vous guettent (DDN2-A19)

Vous avez une majorité de C : Vous pensez probablement : « Les médias sociaux et les applications sont salutaires dans ma vie. J'adore être en contact avec les autres. Les bienfaits de la vie numérique dépassent largement les risques. Les gens se font parfois escroquer, mais les banques et le gouvernement sont là pour nous protéger, alors les risques sont plutôt faibles. Les trucages vidéo ne touchent que les personnes connues; je ne suis ni riche ni célèbre, alors je ne cours aucun risque. » Vous devriez toutefois soupeser les risques accompagnant ces bienfaits. Vous vous exposez sans doute à un risque plus grand que ce que vous croyez. Limiter votre exposition et adopter des pratiques saines en matière de cybersécurité en valent vraiment la peine. Pour chaque publication, activité ou technologie, demandez-vous si elle vous est véritablement bénéfique.

Voici un article pour vous : Déjouer le piratage psychologique (DDN2-A29).

Vous avez une majorité de D : Vous vous dites probablement ceci : « Je sais que les cybermenaces représentent un risque réel. Cependant, mon niveau de crainte est bas parce que j'ai appris à me protéger et à protéger mon organisation et – encore plus important – je prends les mesures nécessaires au quotidien. » C'est l'attitude idéale pour bien gérer les risques liés à la cybersécurité. Il est important de comprendre les risques et de prendre des mesures judicieuses pour vous protéger. Continuez de vous informer et restez au fait en matière de cybersécurité pour prendre des décisions éclairées.

Voici un article pour continuer sur cette lancée : Conseils de cybersécurité pour se protéger (DDN2-A06).

Autant dans notre vie personnelle que professionnelle, nous avons un rôle et des responsabilités. Cependant, malgré ces obligations, notre attitude face à la gestion des données est grandement influencée par nos valeurs personnelles et notre perception de nous-mêmes. Si nous ne nous préoccupons pas de nos propres données, comment pouvons-nous faire preuve de responsabilité et de diligence face aux données qui nous sont confiées au travail?

Les menaces éveillent souvent un sentiment de crainte qui peut nous mettre sur la défensive et nous amener à nous retrancher dans notre zone de confort. Lorsqu'une violation des données ou une cyberattaque survient, vous pouvez avoir tendance à en diminuer l'importance ou à les considérer comme inévitables, en vous disant qu'elle ne vous concerne pas, ou que ce genre d'incident ne vous arrivera pas. Pourtant, en tant que fonctionnaire, consommateur ou consommatrice, ou encore simple citoyen·ne, vous pouvez devenir la cible d'une cyberattaque ou être victime d'une attaque non ciblée.

Est-ce que je risque réellement d'être victime d'une cyberattaque?

Concept de désinformation et de mésinformation illustrant deux personnes dont le crâne est ouvert, se faisant remplir la tête d'ordures.

En 2024, le Forum économique mondial a évalué la cybersécurité comme l'un des cinq plus grands risques à l'échelle internationale (article en anglais) des deux prochaines années, après la mésinformation et la désinformation qui trônent au premier rang.

L'inquiétude du grand public face à ces menaces est également en hausse. Le Baromètre de confiance Edelman 2024 indique que 75 % de la population canadienne s'inquiète de la peur qu'instille la société face au piratage informatique, une augmentation de 5 % sur douze mois.

À la lumière de ces chiffres, nous devons nous attaquer aux conceptions erronées en matière de cybersécurité. Les cybermenaces ne concernent pas que les ministères de grande taille. Le piratage psychologique, les rançongiciels et les autres types d'attaques représentent un risque pour toutes les organisations, peu importe leur taille. Dans la fonction publique, les données que nous gérons et les systèmes que nous utilisons sont tous des cibles potentielles pour les pirates informatiques et la concurrence.

Nous nous concentrons souvent sur les conséquences financières des cyberattaques, comme les dépenses liées à l'achat de nouveaux systèmes informatiques, de logiciels de sécurité et de matériel, ou encore aux compensations versées aux personnes touchées. Cependant, il est tout aussi important de se pencher sur le tort que ces attaques peuvent causer à la réputation d'une organisation.

Pensez aux potentielles conséquences si :

  • des renseignements personnels confiés par la population canadienne étaient perdus ou volés;
  • le réseau de votre ministère était victime de piratage, compromis par un logiciel malveillant (en anglais seulement);
  • un des serveurs du gouvernement du Canada était soumis à une augmentation orchestrée de l'achalandage, causant une panne de serveur et l'inaccessibilité du site Web et des services.

Quels effets ces incidents auraient-ils sur l'image du gouvernement? Et quel en serait le fardeau fiscal pour les contribuables?

Huit gestes simples

Voici huit gestes simples pour vous protéger, vous et votre organisation, contre les cybermenaces.

  1. Sécurisez vos connexions et vos appareils.
  2. Restez à l'affût des courriels et des textos suspects : Pouvez-vous repérer les tentatives d'hameçonnage? De nombreux ministères avertissent les membres de leur personnel de ne pas ouvrir les courriels provenant d'adresses électroniques inconnues, même si la source semble digne de confiance. Méfiez-vous des courriels qui contiennent des fautes de grammaire ou d'orthographe, qui s'adressent à vous en utilisant votre nom de famille ou votre adresse électronique, vous invitent à cliquer sur un lien, contiennent des pièces jointes suspectes, vous demandent de l'information sensible, semblent trop beaux pour être vrais, ou font toute demande inhabituelle. En cas de doute, vérifiez auprès de l'organisation expéditrice en utilisant un autre moyen de communication que le courriel ou le texto, par exemple en passant directement par son site Web ou en téléphonant. Suivez les étapes de votre organisation pour rapporter les courriels suspects. Restez à l'affût du piratage psychologique; il se présente sous diverses formes.
  3. Renforcez vos mots de passe : Choisir de meilleurs mots de passe ou phrases de passe peut prévenir de nombreux délits informatiques. Un long mot de passe (de 12 caractères ou plus) vous protège contre plusieurs types d'attaques liées à la vulnérabilité des mots de passe. N'utilisez pas un même mot de passe plus d'une fois et ne choisissez pas des mots de passe prévisibles, comme Motdepasse123. Le simple fait d'utiliser des mots de passe uniques et complexes est déjà un pas énorme dans la bonne direction.
  4. Préservez la sécurité physique des appareils de l'organisation et des appareils personnels : Gardez verrouillées les portes extérieures et les pièces qui contiennent les serveurs de fichiers, et refusez l'entrée aux personnes inconnues. Si un ou une pirate informatique réussit à entrer dans le bâtiment et à s'asseoir à un terminal, il lui sera facile de s'introduire dans le serveur.
  5. Évaluez les risques : Vous devez comprendre l'importance de ce que vous protégez. Prenez des mesures proactives pour comprendre les menaces pouvant planer sur votre organisation, et concentrez-vous en priorité sur la prévention des risques modérés et élevés.
  6. Prenez conscience des besoins en sécurité : Assurez-vous que vous et votre équipe recevez suffisamment de formation. Même une technologie de pointe ne vous protégera pas contre des faiblesses aussi simples qu'une gestion déficiente des mots de passe ou un mauvais stockage des données. Veillez à ce que vous et vos collègues ayez reçu des directives précises en la matière.
  7. Mettez en place une stratégie : À l'instar d'un plan d'évacuation en cas d'incendie, planifiez ce qui doit être fait avant, pendant et après une cyberattaque. La stratégie doit correspondre aux objectifs de l'organisation et viser l'amélioration en continu.
  8. Vous protégez-vous bien contre les cyberattaques? Répondez aux questions de l'examen Pensez cybersécurité pour le savoir.

Ressources

En savoir plus

Restez branchés

Date de modification :