Alors que le Mois de la sensibilisation à la cybersécurité tire à sa fin, une violation de données au Yukon nous rappelle qu’il reste encore beaucoup à faire pour s’assurer que les employés sont conscients de la cybersécurité dans tout ce qu’ils font.
Un homme de Whitehorse qui a acheté une clé USB chez un prêteur sur gages l’a branchée à un ordinateur et a découvert que la clé contenait des dossiers confidentiels du ministère de la Santé et des Services sociaux du gouvernement du territoire.
Les données comprennent des dossiers confidentiels de la Direction des services à la famille et à l’enfance, y compris des évaluations de cas, des rapports, des budgets et des coordonnées personnelles.
La ministre de la Santé, Tracy-Anne McPhee, a déclaré cette semaine que les dossiers avaient été retirés du système de santé et de services sociaux par un ancien employé, qui avait « abandonné » ses biens dans une unité de libre entreposage, dont le contenu a fini par être vendu à un prêteur sur gages local. Elle a précisé que l’ancien employé n’était pas autorisé à prendre l’information. Entre 30 et 60 personnes ont été touchées, a-t-elle dit.
Il n’est pas rare que des employés copient des données d’entreprise sensibles sur un disque amovible, a déclaré Theo Zafirakos, CISO de Terranova Security, une entreprise de formation en sensibilisation à la sécurité basée à Laval, au Québec, lors d’une entrevue. Souvent, les employés le font pour pouvoir travailler à domicile ou à distance. « Que les données soient perdues et retrouvées par quelqu’un d’autre, cela arrive, mais nous n’en entendons pas parler très souvent », a-t-il dit, « peut-être parce que cela peut ne pas être annoncé publiquement. »
L’un des incidents les plus tristement célèbres, a-t-il ajouté, s’est produit au Royaume-Uni en 2017 lorsqu’une clé USB trouvée dans une rue de Londres contenait des informations sur la sécurité de l’aéroport international d’Heathrow, notamment des mesures de sécurité et des informations sur le voyage de la reine Elizabeth.
« Nous avons tendance à blâmer la technologie », a déclaré M. Zafirakos, « mais ce n’est pas la technologie, mais la façon dont nous l’utilisons qui est souvent le problème. » Le personnel doit être informé qu’il ne peut pas copier de données sur des disques amovibles ou, s’il doit le faire, que les données doivent être cryptées ou protégées par un mot de passe.
Certains services informatiques bloquent les ports des ordinateurs de bureau avec du matériel ou des logiciels afin que les périphériques USB ne puissent pas être branchés. Cependant, M. Zafirakos a noté que le personnel peut contourner cela en envoyant des fichiers par courrier électronique à un compte de messagerie personnel.
Une autre solution est la mise en œuvre d’un logiciel de prévention des pertes de données, qui inventorie les données sensibles et détecte ensuite comment elles sont utilisées, y compris si elles sont envoyées par courriel ou copiées.
Il n’est pas clair quand les données ont été copiées sur la clé USB. Selon un reportage, le ministère de la Santé a apporté des modifications à son système de gestion des cas qui ont été entièrement mises en œuvre en novembre dernier.
« Si quelqu’un veut accéder à ces [informations], il doit y accéder via un portail sécurisé avec un mot de passe et un identifiant », a déclaré un porte-parole du ministère à la CBC. Les informations ne peuvent pas être vues ou supprimées de ces systèmes sans passer par ce processus.
« Cela pourrait arriver à n’importe qui », a déclaré M. Zafirakos. « Cela ne signifie pas qu’une organisation est moins sûre qu’une autre simplement parce que cela leur est arrivé. Ils ont eu de la chance… que les données ne soient pas tombées entre de mauvaises mains. »
Adaptation et traduction française par Renaud Larue-Langlois.
