Actualités Lois et règlements Protection des renseignements personnels

Méfiez-vous des cyberattaques

5 octobre 2023
Ajouter un commentaire
par Me Martin Villa
Me Martin Villa
Écrit par Me Martin Villa

Octobre étant le mois de la sensibilisation à la cybersécurité, il est d’autant plus important de traiter des cyberattaques. Celles-ci sont menées par des criminels qui se cachent derrière un ordinateur et qui utilisent des stratagèmes pour voler des renseignements personnels, des données confidentielles ou bloquer un réseau informatique. Selon le contexte, il peut être difficile de cerner leurs intentions.

Un.e entrepreneur.e doit être à l’affût pour diminuer les risques de cyberattaques envers son entreprise et ses employé.e.s. Il ou elle doit pouvoir reconnaître certaines formes de cyberattaques pouvant être utilisées. Aussi, il importe de se demander quels sont les types de renseignements qui peuvent intéresser ces criminels.

Dans cet article, il sera question des cyberattaques les plus fréquentes : l’hameçonnage et le rançongiciel. Par contre, puisque cette question est complexe et en évolution, nous discuterons des principaux éléments.

Les renseignements recherchés

Les pirates informatiques s’intéressent aux renseignements personnels d’une personne ou aux données confidentielles d’une entreprise, selon les circonstances.

Pour une personne, on pense notamment aux renseignements personnels suivants : prénom, nom de famille, adresse civique, date de naissance, numéro d’assurance sociale, numéros de cartes de crédit et dates d’expiration, renseignements bancaires et fiscaux et signature manuscrite ou numérique.

Pour une entreprise, les données suivantes peuvent être ciblées : renseignements personnels d’une personne (ex. : employé.e), liste de clients et de fournisseurs, soumissions, contrats, documents de comptabilité, études de recherche, analyses scientifiques et procédés de fabrication.

L’hameçonnage

L’hameçonnage est une technique frauduleuse utilisée par les pirates informatiques. En principe, il consiste à utiliser un stratagème visant à collecter des renseignements personnels à l’égard d’un ensemble de personnes pour voler leur identité et commettre une fraude à leur égard. Le but est de profiter de la vulnérabilité des victimes. Par exemple, des criminels envoient un courriel en référant à un site Web en apparence à celui du gouvernement pour laisser croire à un retour d’impôt selon le respect de certaines formalités. Les victimes accèdent à un lien ou à un fichier malveillant pour communiquer des renseignements tels que : prénom, nom de famille, adresse civique, numéros de téléphone, numéro d’assurance sociale et renseignements financiers.

Par la suite, les criminels utilisent les renseignements pour notamment obtenir une carte de crédit, une marge de crédit ou un prêt d’argent au nom des victimes. Malheureusement pour ces dernières, elles doivent ensuite composer avec une réclamation de remboursement des sommes utilisées.

Par ailleurs, signalons que l’hameçonnage peut cibler une personne en particulier, par exemple, un.e employé.e ou un.e dirigeant.e d’entreprise. L’objectif peut consister à leur soutirer un mot de passe ou un code d’accès d’un ordinateur, permettant ainsi à des cybercriminels de détourner des fonds de l’entreprise pour leur bénéfice.

Le rançongiciel

Une des formes de cyberattaque est connue sous le nom de rançongiciel. Elle peut notamment viser les gouvernements, municipalités, universités, collèges, hôpitaux, centres de recherche et les entreprises. Habituellement, ce type d’attaque est relié à l’hameçonnage. En fait, il peut consister à utiliser un subterfuge lors de l’envoi d’un courriel en y joignant un lien ou un fichier. L’objectif est de pouvoir infiltrer un logiciel malveillant ou un virus dans l’ordinateur. Ainsi, des renseignements personnels et/ou des données confidentielles peuvent être volés, ou l’accès à l’ordinateur ou aux fichiers bloqués.

Pour récupérer les renseignements et données ou retrouver l’accès à l’ordinateur, les pirates informatiques demandent le paiement d’une rançon. Un avis de rançon apparait sur l’écran de l’ordinateur indiquant que les données contenues dans les fichiers ont été chiffrées et que pour retrouver de nouveau l’accès, il faut payer le montant dans un délai indiqué.

La rançon vise non seulement à payer ces criminels, mais aussi à financer leurs activités pour développer d’autres formes d’attaques. Le paiement d’une rançon ne garantit pas la récupération de toutes les données et encore moins d’être à l’abri d’une autre attaque. En cas de refus de payer la rançon, les criminels peuvent menacer de détruire les données ou de les rendre publiques.

La conclusion

Personne n’est à l’abri d’une cyberattaque. Il est primordial de rester vigilant et d’être sensibilisé.e aux différentes formes de cyberattaques et à leurs finalités. Certes, il faut avoir un système informatique sécuritaire muni de logiciels performants qui détectent les tentatives de cyberattaques. Mais surtout, il faut adopter des comportements appropriés, notamment en sensibilisant les employé.e.s de l’entreprise dans le cadre de formations sur la cybersécurité. Attention aux subterfuges. La prudence et la diligence s’imposent en toutes circonstances.

Pour en connaître davantage sur la protection des renseignements personnels, vous pouvez consulter les articles suivants :

Dois-je procéder à une évaluation des facteurs relatifs à la vie privée?

La protection des renseignements personnels : êtes-vous prêt à faire face à vos obligations?

Quels sont les types de renseignements prévus par la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels?

Serez-vous prêt à exercer la fonction de responsable de la protection des renseignements personnels?

Quels sont les critères à respecter avant de collecter un renseignement personnel?

Quelles sont vos obligations lorsqu’un incident de confidentialité présente un risque de préjudice sérieux?

Registre des incidents de confidentialité : quels renseignements doit-il contenir?

Dois-je adopter des politiques et des pratiques en matière de protection des renseignements personnels?

Loi 25 : obligation d’information en matière de renseignements personnels

Loi 25 : consentement et exceptions

Quelles sont les conditions pour communiquer un renseignement personnel sans le consentement de la personne concernée dans le cadre d’un mandat ou contrat?

Loi 25 : la politique de confidentialité

Loi 25 : sanctions administratives pécuniaires

Loi 25 : les sanctions pénales

SOURCES :

Savez-vous identifier les menaces qui guettent vos renseignements personnels? | Commission d’accès à l’information du Québec (gouv.qc.ca)

Hameçonnage (antifraudcentre-centreantifraude.ca)

Hameçonnage, une introduction – Pensez cybersécurité (pensezcybersecurite.gc.ca)

Ne mordez pas à l’hameçon : Reconnaître et prévenir les attaques par hameçonnage – ITSAP.00.101 – Centre canadien pour la cybersécurité

Les formes les plus courantes d’hameçonnage – Pensez cybersécurité (pensezcybersecurite.gc.ca)

Avez-vous été victime de cybercriminalité? – Centre canadien pour la cybersécurité

Rançongiciel 101 : Comment assurer votre cybersécurité – Pensez cybersécurité (pensezcybersecurite.gc.ca)

Rançongiciels : comment les prévenir et s’en remettre (ITSAP.00.099) – Centre canadien pour la cybersécurité

Guide sur les rançongiciels (ITSM.00.099) – Centre canadien pour la cybersécurité

Soyez préparé : comment votre entreprise peut se protéger contre les attaques par rançongiciels – Pensez cybersécurité (pensezcybersecurite.gc.ca)

Articles suggérés

À propos de l'auteur

Me Martin Villa

Me Martin Villa

Voir tous les articles de l'auteur

Laissez un commentaire

Restez informé!

Recevez chaque mois, par courriel, les nouveautés du blogue et les dernières actualités de l’industrie.