Octobre est le mois de la sensibilisation à la cybersécurité, un mois entier consacré à ce sujet important dans notre monde toujours plus connecté. Dans cet article, notre responsable de la cybersécurité, Opeyemi Ore, revient sur les actions que nous menons pour favoriser une solide culture de la cybersécurité au sein de TLScontact, essentielle pour assurer la sécurité de nos systèmes, de nos usagers et de nos employés.
Les professionnels de la cybersécurité sont parfaitement conscients des dangers associés à l’exposition des combinaisons e-mail / mot de passe des utilisateurs. Cela se produit souvent à la suite d’un piratage d’un service web auquel ces utilisateurs ont souscrit.
L’un de ces cas très médiatisés a été rapporté dans la presse en février 2021, lorsqu’une cyberattaque contre un service en ligne populaire a entraîné l’exposition des informations personnelles de ses abonnés, notamment des combinaisons d’adresses électroniques (professionnelles et personnelles) et de mots de passe. Ces données de connexion pourraient potentiellement être utilisées pour accéder à des informations confidentielles sur d’autres plateformes en ligne ou pour s’attaquer aux systèmes d’information d’une entreprise. La lecture de ce type d’incident donne toujours des frissons aux professionnels de la cybersécurité.
C’est dans ce genre de situation que la mise en place de politiques et de pratiques solides en matière de cybersécurité fait toute la différence. Chez TLScontact, nous obligeons nos employés à changer leur mot de passe à intervalles réguliers. Cela signifie que, dans le cas peu probable où l’un de nos employés serait affecté par un tel incident, le risque serait réduit. Nous effectuons également des analyses proactives des journaux d’accès afin de détecter toute activité inhabituelle et de prendre les mesures correctives nécessaires le cas échéant. Dans le cas évoqué ci-dessus, nos employés auraient été protégés.
Winston Churchill a dit un jour : « Il ne faut jamais gaspiller une bonne crise ». Au sein de l’équipe de cybersécurité de TLScontact, nous utilisons ce type de cas comme un exercice d’apprentissage, nous permettant de renforcer les messages de sécurité dans l’ensemble de notre organisation. Dans le cas décrit ci-dessus, nous avons mis en place une lettre d’information et rappelé certaines règles de base. Bien que celles-ci soient reconnues dans le monde de la cybersécurité et au-delà, il vaut néanmoins la peine de les rappeler ici :
- Utiliser l’authentification multifacteur (MFA) dans la mesure du possible : par exemple, une adresse e-mail combinée à un code de connexion temporaire envoyé sur son téléphone mobile, pour prouver son identité. Cela réduit considérablement les risques que son compte soit compromis, même si son mot de passe a été exposé sur une plate-forme particulière ;
- Ne jamais utiliser une adresse e-mail professionnelle pour des services non liés au travail ;
- Utiliser des mots de passe complexes, qui comprennent au moins 8 chiffres, des caractères alphanumériques et spéciaux, et un mélange de minuscules et de majuscules ; ce mot de passe est à changer régulièrement ;
- Ne jamais réutiliser les mêmes mots de passe sur plusieurs systèmes.
Bien que ces directives s’adressent principalement à nos employés, elles sont également pertinentes pour les demandeurs de visa qui utilisent nos services en ligne et constituent un rappel utile des mesures qu’ils peuvent prendre pour protéger leurs données personnelles.
La cybersécurité est l’affaire de tous
Chez TLScontact, bien que nous bénéficions d’une solide équipe de cybersécurité, nous expliquons clairement à nos employés que la cybersécurité est la responsabilité de tous. Au cours des dernières années, nous avons bâti une solide culture de la cybersécurité qui est mise en évidence par un programme complet de sensibilisation s’adressant à tous les membres de notre entreprise, de nos agents à notre équipe de direction. Ce programme utilise des approches pratiques et des exemples concrets pour s’assurer que nos employés sont non seulement informés sur ce qu’ils doivent faire, mais aussi qu’ils comprennent le « pourquoi ». Il s’agit d’un véritable facteur de différenciation par rapport aux programmes de sensibilisation mis en place dans de nombreuses autres organisations.
Nous ne nous contentons pas d’inciter nos employés à regarder des vidéos de sensibilisation à la cybersécurité.
- Nos campagnes d’hameçonnage ciblées aident nos utilisateurs à rester vigilants lorsqu’ils interagissent avec les services de messagerie. Ils ne veulent pas se faire piéger par mon équipe, et encore moins par des pirates informatiques qui pourraient essayer d’accéder à nos systèmes. Grâce à ces campagnes, le nombre d’e-mails de phishing (ndlr, e-mails d’hameçonnage) identifiés correctement a doublé en 6 mois.
- Nos séances de « déjeuner-conférence » exposent nos employés à des démonstrations réelles de la part de cyber-professionnels sur la façon dont les piratages peuvent se produire et sur les mesures simples à mettre en place pour protéger nos systèmes. Pendant ces sessions, ils prennent conscience de la vitesse à laquelle un mot de passe faible peut être corrompu, et comprennent donc mieux l’importance d’opter pour un mot de passe beaucoup plus complexe.
- Nos lettres d’information, affiches et bulletins restent informatifs et utilisent des exemples concrets pour permettre à chacun de comprendre pourquoi certaines mesures de protection sont en place et le rôle de chaque employé dans la sécurité de TLScontact. Par exemple, nos employés savent maintenant qu’ils ne doivent pas communiquer leur adresse personnelle ou leur date de naissance complète sur les réseaux sociaux, car ces informations pourraient être utilisées pour mener une cyberattaque à leur égard.
Caractéristique du monde digital, la cybersécurité est un domaine qui évolue rapidement et nous devons mettre en place les bons processus et outils pour identifier et anticiper les menaces émergentes et prendre les mesures adéquates pour les contrer. Cependant, la cybersécurité dépend finalement des personnes, et donc de chacun d’entre nous. Les employés peuvent être le maillon faible d’une organisation ou, avec une formation et un soutien adéquats, ils peuvent être sa meilleure défense contre les acteurs malveillants. Chez TLScontact, c’est l’approche que nous adoptons. Avec les mesures que j’ai décrites dans cet article, nous engageons quotidiennement nos employés dans nos efforts pour assurer une protection maximale de nos systèmes informatiques et des données personnelles que nous gérons pour le compte de nos demandeurs de visa et de nos clients gouvernementaux du monde entier.
Article écrit par Opeyemi Ore
Responsable de la cybersécurité