Skip to main content

Servir et protéger à l’ère du cybercrime

Ce que Kathy Macdonald, ex-policière et experte en cybercriminalité, a à dire sur l’état de la cybercriminalité et de ses victimes au Canada aujourd’hui.

Kathy Macdonald

Membre de l’Ordre du mérite des corps policiers pour son dévouement à la prévention et à la sensibilisation concernant la cybercriminalité, Kathy Macdonald, ex-policière du service de police de Calgary, se sert de ses 25 années d’expérience en matière d’enquête et de prévention du crime pour sensibiliser le public sur la menace grandissante du cybercrime. Conférencière, auteure, consultante et formatrice dans les universités, Kathy est une professionnelle qui souligne que les petites et moyennes entreprises sont particulièrement vulnérables.. « Je pense qu’il y a beaucoup plus de petites et moyennes entreprises qui sont des victimes », dit-elle. « Elles ne disposent pas des ressources dont elles ont besoin. Elles n’emploient pas du personnel qui s’occupe de la sécurité à l’interne. Souvent, elles sont désavantagées et ne sont même pas au courant du problème. Lorsqu’elles sont touchées par des rançongiciels, elles vont tout simplement payer le 2 000 $ ou le 3 000 $ qui leur est demandé. »

Toutefois, Kathy souligne qu’aucune entreprise, peu importe sa taille, n’est à l’abri, ce qu’elle explique en parlant des centaines de millions de dollars que les grandes entreprises doivent payer après avoir été victimes d’atteintes à la sécurité des données. « Il faut faire un peu plus de travail pour attaquer une grande entreprise, mais en même temps, il y a plus d’employés qui peuvent être des cibles. »

Les demandes de rançons sont souvent le résultat d’une tentative d’hameçonnage ou d’hameçonnage ciblé. Une tentative d’hameçonnage ordinaire se fait à grande échelle, habituellement sous la forme d’un courriel qui semble inoffensif et qui incite un employé à cliquer sur un lien vers un site web malveillant qui lance un rançongiciel ou un autre type de logiciel malveillant. Une tentative d’hameçonnage ciblé vise une personne en particulier.

En tant que tel, l’hameçonnage ciblé est particulièrement sournois et peut entraîner non seulement de graves répercussions financières pour une entreprise, mais aussi de graves conséquences personnelles pour les victimes. « Il y a quelques années, j’ai fait une conférence dans un cabinet d’avocats », se rappelle Kathy. « Pendant que le chef de la direction du cabinet était en vacances en Europe, des cybercriminels ont eu accès à sa boîte de courrier électronique grâce à un réseau sans-fil non sécurisé. Se faisant passer pour lui, ils ont commencé à communiquer avec l’adjointe de direction. Ils l’ont convaincue de transférer 250 000 $ vers un autre pays. Quand j’ai parlé aux membres du cabinet, ils m’ont dit que l’adjointe suivait une thérapie depuis six mois. Elle était totalement dévastée. Elle travaillait à cet endroit depuis plus de 18 ans, mais elle avait l’impression d’avoir perdu la confiance de la direction. »

Alors, que peuvent faire les entreprises? Kathy encourage fortement l’adoption de politiques d’entreprise et la formation des employés. « De nombreuses entreprises offrent maintenant de la formation sur l’hameçonnage et l’hameçonnage ciblé afin que les employés comprennent de quoi il s’agit et comment les pirates informatiques peuvent avoir accès à un réseau », dit-elle. Elle suggère aussi fortement aux entreprises de mettre en place un plan de communication en cas d’atteinte à la sécurité. « Ne pas en avoir un peut vraiment devenir un problème si une attaque se produit et que tout le monde est dans un état de panique pour essayer de trouver ce qu’il faut faire. »

La formation des employés pour éviter le cybercrime est également un enjeu juridique. « Il est vraiment important d’investir dans la formation parce que s’il arrive une atteinte à la protection des données, des commissaires à la protection de la vie privée vous demanderont s’il y a eu des formations lors de leur enquête », dit Kathy. « Vous devriez pouvoir dire le nombre de formations suivies par année et le nom des employés qui y ont participé. »

Kathy dit que les mêmes attentes s’appliquent lorsqu’il est question de technologie. « Je crois que les mêmes questions seront posées », dit-elle. « Vous pouvez lire certaines études de cas ou enquêtes menées par les commissaires à la protection de la vie privée, ils en parlent souvent. Je crois qu’ils en tiendront compte lorsqu’ils décideront si une entreprise sera tenue responsable, et souvent, les médias en parleront aussi. Alors oui, investir dans la technologie est vraiment important. »

La couverture du livre par Kathy Macdonald

Selon Kathy, les investissements technologiques dans la lutte contre la cybercriminalité deviendront de plus en plus importants au fur et à mesure que la technologie évolue. « Seulement avec l’Internet des objets, il y a beaucoup plus d’appareils qui peuvent être connectés à l’Internet, donc il y a plus de choix et d’occasions pour les cybercriminels d’attaquer, » dit-elle. Cependant, elle souligne qu’il y a un revers à la médaille : « Cela offre également aux services policiers l’occasion de trouver de nouvelles méthodes pour contrer et résoudre les cybercrimes. »

Le nouveau livre de Kathy, Cybercrime: Awareness, Prevention, and Response (en anglais seulement), est la première ressource canadienne complète qui explique comment les cybercrimes affectent le corps policier, les personnes, les entreprises, les gouvernements, les institutions et les organisations. Obtenez votre exemplaire aujourd’hui.