Dossier cybersécurité: La notion de sécurité se transforme

Dans le cadre de la thématique du mois de mars portant sur la cybersécurité, j’accueille cette semaine Mathieu Decelles St-Pierre, à titre de commentateur-expert. Mathieu nous partage aujourd’hui ses impressions et commente, dans cet article, le sondage mené tout au long du mois auprès des lecteurs du blogue Le feu sacré.


Mathieu Decelles St-Pierre

Mathieu Decelles St-Pierre

Les outils web sont de plus en plus omniprésents et le “cloud” en général est là pour rester, qu’on le veuille ou non. Bientôt, la plupart des logiciels que nous utilisons aujourd’hui par le biais d’un installateur traditionnel seront migrés vers une version 100% web. Il ne faut pas en avoir peur. Les notions de sécurité ont toujours été présentes, elles se transforment simplement au fil du temps et des nouvelles technologies.

Prenons d’abord conscience que la notion de sécurité est toujours relative à son contexte. Une mesure de sécurité pour une personne ou pour une entreprise peut être essentielle, superflue ou optionnelle. Il faut gérer le risque selon le niveau de confort et de confiance que nous avons en nos pratiques sans jamais oublier que la plus grande source d’insécurité informatique reste l’humain.

Un sondage révélateur

Ci-dessous, on peut voir les résultats du sondage-maison en ligne depuis 3 semaines sur le blogue Le feu sacré. Sans être hautement scientifiques, les résultats sont tout de même intéressants.

Capture d’écran 2015-03-22 à 19.57.38

Mes réactions:

1- Le stockage d’information sensible sur les serveurs en ligne:
Je suis un peu surpris du pourcentage de gens craintifs d’utiliser le cloud pour y stocker des données sensibles. J’aurais même tendance à croire que ce pourcentage serait beaucoup plus faible si ce sondage avait été mené à grande échelle, et non restreint au lectorat du blogue Le feu sacré. La tendance ne va que s’accroître au fil du temps. De plus en plus de gens vont graduellement stocker leurs données sensibles en ligne, de la même manière que de plus en plus de gens procèdent désormais à leurs transactions bancaires en ligne. La confiance, ça se gagne doucement, et les résultats de ce sondage en font foi!

2- L’accès à nos comptes et contacts par des applications:
Donner accès à vos comptes de réseaux sociaux à des applications sur ces mêmes réseaux sociaux, spécifiquement les applications Facebook, peut devenir toxique pour le respect de votre vie privée. Il n’y a rien de gratuit dans le monde. Si un service est gratuit, vous en êtes le produit. Ces applications “gratuites” se nourrissent des informations personnelles fournies dans votre profil pour revendre ces précieuses données à fort prix, très souvent pour des études marketing financées par des leaders de toutes les industries confondues.

3- Les applications permettant de sauvegarder les mots de passe:
Il existe deux types d’applications pouvant stocker vos mots de passe en toute sécurité: les applications en ligne ou installées localement sur votre ordinateur. Si l’application pour stocker vos mots de passe est une application web ou une extension de navigateur (extension pour Chrome ou Firefox notamment), il y a de fortes chances que ce soit dans le but de revendre votre historique de navigation web, encore une fois, à des fins d’études marketing. À vous de voir, dans ce cas, si cette perspective vous est moralement acceptable ou non.

4- L’utilisation d’outils de gestion et autres outils destinés aux activités d’affaires:
Les outils de gestion en ligne pour la comptabilité et l’administration générale en affaires sont de plus en plus en vogue. Plusieurs des meneurs dans cette industrie sont d’ailleurs canadiens. Les services offerts en ligne vont de la préparation de budget, suivi des dépenses jusqu’à l’automatisation de la paie et du transport des biens vendus. Pas surprenant que cette nouvelle industrie gagne rapidement du terrain. Moins de papier, moins d’erreurs humaines, moins de tâches ennuyantes manuelles; qui s’opposerait à ça? Encore faut-il bien s’informer sur les mesures de sécurité prises par les compagnies offrant ce genre de services. Quickbooks Online et Wave sont respectés dans ce domaine et sont appuyés par plusieurs institutions financières ce qui contribue aussi à leur crédibilité.

5- Le téléchargement illégal de fichiers-médias:
À mon avis, le téléchargement illégal est un phénomène de société surtout générationnel. Ce ne sont pas nos grands-parents ou même nos parents baby-boomers qui “downloadent” illégalement, dans la grande majorité des cas. Le résultat approximatif de 11% dévoilé dans le sondage ne nous aide pas vraiment à dresser une réelle tendance. Par ailleurs, il est clair que les nouvelles mesures plus coercitives appliquées depuis le début de l’année 2015, notamment pour contrer le téléchargement illégal de films, peuvent en freiner certains. Reste à savoir pour combien de temps par contre… Le populaire site de téléchargement par BitTorrents Pirate Bay, qui avait suspendu ses activités en novembre 2014 suite à l’arrestation de Neij, son 3e co-fondateur en cavale, a repris du galon depuis belle lurette!

6- Les transactions importantes en ligne:
Les grosses transactions en ligne le sont par le biais d’institutions financières crédibles qui prennent leurs responsabilités en termes de sécurité informatique très au sérieux. Il y a toujours moyen d’utiliser les Bitcoins pour des transactions légales ou illégales, mais les règles de sécurité entourant cette monnaie virtuelle sont parfois, même souvent, bâclées. À utiliser avec prudence, en toute connaissance de cause, donc!

À propos des “toolbars” et anti-virus

Avez-vous déjà eu des barres d’outils, des « toolbars », qui se sont installées bien malgré vous dans vos navigateurs web? La plupart de celles-ci sont malveillantes et vous épient. À moins que vous n’ayez un besoin très spécifique que seule une « toolbar » spécifique peut remplir, je vous conseille fortement de ne pas en installer. Si vous en avez une (ou peut-être même plus) dans un de vos navigateurs, désinstallez-les. Votre ordinateur s’en portera mieux et vous diminuerez les risques que vos informations personnelles soient transmises à des compagnies peu scrupuleuses.

Aussi, les anti-virus ne sont pas tous égaux, mais ils ont au moins une caractéristique commune: aucun n’est sûr à 100% de détecter et de vous débarrasser de tous les virus connus. Si vous n’êtes pas un expert en informatique, un anti-virus est fortement recommandé. Plusieurs peuvent faire l’affaire, mais inutile de payer trop cher pour un combo anti-virus/pare-feu si vous avez déjà un pare-feu (firewall) inclus à même votre système d’opération. Windows, Mac et Linux ont tous aujourd’hui un pare-feu bien plus que décent. En ajouter un autre par dessus ne fera que ralentir vos transferts sur le net, la création et la modification de n’importe quel fichier et votre ordinateur globalement.

Critiques constructives

En terminant, je vous invite également à voir mes commentaires suite aux propos tenus par les 3 entrepreneurs au cours du mois, sous le thème de la cybersécurité. À chacun, je propose une critique constructive accompagnée de quelques recommandations qui pourraient être appropriées, particulièrement dans leurs contextes d’affaires, mais également dans tous les types d’environnements.

Lire l’article et mes commentaires à Andry Lant Rakoto des produits fins Marclan
Lire l’article et mes commentaires à Frédéric René de Likisoft
Lire l’article et mes commentaires à Isabelle Moïse, de iMoïse Conseils


À ne pas manquer mardi la semaine prochaine:

Nouvelle thématique sur le blogue: L’auto-promotion en affaires!
Pas toujours évident d’assurer sa propre promotion quand on démarre son entreprise. C’est tout un art que de savoir se positionner, doser nos interventions dans les réseaux sociaux, mettre à profit nos activités et intérêts pour définir notre « branding » personnel!

Tout au long du mois d’avril, je publierai comme toujours mes entrevues avec les 3 entrepreneurs habituels, interrogés sur leurs habitudes en termes d’auto-promotion, mais également des entrevues spéciales avec trois personnalités publiques, confrontées au quotidien avec leur image personnelle dans l’exercice de leur métier. Pour partir le bal, mon entrevue avec l’animatrice Sophie Bérubé.

Donc, c’est un rendez-vous!

Karina Brousseau, éditrice du blogue

Publicités

Connection + cloud + cybersécurité = un trio encore souvent boiteux sur le terrain

shutterstock_131635730

Dans le milieu de l’événementiel, du marketing et des communications, les technologies ont beaucoup évolué depuis une dizaine d’années. Les applications facilitant la vente de billets virtuels, l’organisation des événements et la gestion de leurs invités, la gestion de dons ou la tenue de conférences en ligne et webinaires, entre autres, se sont multipliées. Isabelle Moïse, en sait quelque chose puisqu’elle oeuvre depuis plus de 15 ans dans le milieu de l’organisation d’événements corporatifs, notamment. Régulièrement en déplacement, en consultation, au bureau de ses clients ou sur le terrain, durant ses congrès ou autres événements, ses habitudes de travail ont entraîné une augmentation de son usage du cloud.

Confiance et cybersécurité VS connection

Quand on lui parle de son usage du cloud et de la confiance qu’elle lui porte pour ses activités d’affaires ou pour stocker des fichiers, Isabelle rétorque: « Ce n’est pas tant une question de confiance au web, mais plutôt une question de confiance en la connection web et à la fiabilité du réseau!». Même en 2015 où la plupart des grands centres offrent une bonne connection wi-fi, une série d’irritants peuvent faire en sorte que l’on ne puisse pas accéder (assez) rapidement à nos données, voir même pas du tout. Pour ne pas y être tributaire, elle multiplie les copies de dossiers sur ses différents serveurs ou appareils (disque dur externe, laptop, cloud, etc.).

«Quand on est en événement à l’étranger, par exemple, on n’est pas toujours certain à quel point la connection sera facile à établir ou si notre ordi va nous « lâcher ». L’obtention de codes pour profiter du réseau local, les settings de notre ordinateur, la durée de nos piles, le type de bâtiment où se tiennent physiquement les événements (en béton, par exemple) et leur position géographique (loin des grands centres) …, tout peut être prétexte aux problèmes de connectivité. Je prends toujours des précautions, et j’imprime aussi mes dossiers cruciaux sur papier, sinon, ça peut parfois être fatal pour le bon déroulement des événements! » détaille-t-elle.

Des outils qui ont la cote en gestion d’événements

« Généralement, ma confiance aux outils et aux applications web-based vient avec l’usage qu’en font mes homologues, mes partenaires ou encore mes clients. Et plus le besoin se fait sentir pour les nouveaux outils en ligne, plus on veut faire confiance aux outils! J’attends souvent d’être référée à certains outils avant de les utiliser et je prends en considération le niveau de confort de mes acolytes pour en faire l’usage. Je ne suis pas de ceux qui vont au devant des tendances et qui recherchent d’emblée des solutions web à tout prix pour leurs activités de gestion», précise Isabelle.

Pour ses besoins d’affaires, c’est le côté pratique qui dicte avant tout son utilisation régulière des outils suivants:

Eventbrite, pour la gestion des inscriptions à un événement unique: « Super facile à utiliser et très pratique, mais pas pour les congrès, car ça devient rapidement insuffisant. La question du « secrétariat » offert par les outils – service à la clientèle pour gérer les changements de programmes lors de congrès, modification des inscriptions ou gestion des bases de données – ont également leur importance dans le choix de ces outils », ajoute Isabelle.

Doodle, pour déterminer la date et l’heure idéale d’une rencontre avec plusieurs invités: «  Un must! On sauve un temps fou pour trouver les plages horaires disponibles pour tous! »

Wetransfer, pour le transfert de fichiers lourds: « … idéal pour envoyer des maquettes, des photos ou vidéos d’événements, entre autres! »

Evernote, pour la prise de notes lors de rencontres avec des clients ou sur le terrain avec son ipad: «  C’est super, car ça synchronise tout avec mon laptop… »

Travailler directement sur le cloud n’est pas encore dans la routine, d’Isabelle. Elle apporte plutôt son laptop pour aller chez les clients. Par contre, elle n’aime pas transporter son laptop sur le terrain, en événement. Elle accédera à ses fichiers sur Dropbox avec son iPad, moins encombrant.

« Je fais une utilisation ponctuelle du cloud, mais je retire ensuite les fichiers déposés, car ça devient rapidement l’enfer de gérer tous ces doublons de fichiers et ça dédouble le classement de ces derniers. Mais pour un plan de salle, le scénario ou l’horaire d’un événement, je le fais sans problème », explique-t-elle.

Du côté personnel

Comme des milliers d’entre nous, Isabelle Moïse était très méfiante, jadis, à utiliser sa carte de crédit en ligne, mais a, depuis 10 ans, peu à peu laisser tomber la garde vis-à-vis l’utilisation du web; elle fait confiance aux institutions bancaires pour protéger ses transactions et défendre ses intérêts en cas de recours. Elle effectue donc ses transactions en ligne et procède à des achats également.

Nul besoin d’outils de gestion de mots de passe pour l’instant: elle est capable de se souvenir de ces derniers.

Elle n’utilise pas d’extranet ni d’intranet non plus, puisque ses effectifs ne le justifient pas encore.        

Comme elle fait sa comptabilité avec de bons vieux fichiers excel, et qu’elle fait sa facturation à la main, elle n’utilise pas non plus de logiciel de comptabilité particulier pour l’instant. Mais éventuellement, elle verrait d’un bon oeil d’utiliser une appli comptable en ligne.

Sondage-éclair:

————

À ne pas manquer mardi prochain:

Mathieu Decelles St-Pierre, programmeur et entrepreneur originaire de Montréal présentement basé à Baltimore, nous met en garde contre nous-mêmes et vulgarise plusieurs notions essentielles à l’usage adéquat du « cloud » en affaires.

Donc c’est un rendez-vous,

Karina Brousseau, éditrice du blogue Le feu sacré

Cybersécurité, hacking et plateformes e-commerce: enjeu de taille pour les jeunes startups

Comment les jeunes startups se protègent-ils contre les cyber-attaques? C’est le dossier spécial du mois de mars sur le blogue Le feu sacré. Cette semaine, le profil comportemental d’un entrepreneur en e-commerce, Frédéric René.  


Co-fondateur de LikiSoft, une plate-forme de plus en plus populaire offrant des services de boutiques électroniques simplifiée, Frédéric René est de ceux qui ne barrent pas leurs portes d’auto et qui font d’emblée confiance au genre humain. Il est originaire de Chambly. Paradoxalement, et certainement par déformation professionnelle, il est extrêmement conscient des risques encourus dans l’utilisation des plateformes transactionnelles et de l’utilisation du cloud comme bureau virtuel. La cybersécurité représente pour LikiSoft, comme pour toutes les entreprises web-based, un enjeu de taille.

anonymous-275870_1280

Etre attaqué et apprendre à la dure

Son frère partenaire et lui ont appris « à la dure » les revers de la cybersécurité, dans leur précédente startup Les enchères Bidou.
À l’époque, ils étaient régulièrement victimes d’attaques DDOS, ces attaques où les hackers envoient des milliers de requêtes aux serveurs visés pour faire « planter » un site.

Ils ont également essuyé des pertes financières suite à des fraudes téléphoniques pour leur ancienne ligne 1-900. Ils ont donc investi temps et argent sur le développement d’un algorithme de sécurité pour contrer les fraudes en ligne. Cet algorithme a même contribué à la vente de cette entreprise, en 2013.

Frédéric se rappelle:
« Dans le temps, les hackers travaillaient rapidement, procédaient par « hit and run » vite faits bien faits, comme on dit. Les gens sont donc devenus plus prudents, plus alertes. Mais comme les hackers sont des gens très brillants, ils ont bien entendu raffiné leurs coups et ont graduellement mis en place des méthodes très élaborées. Les hackers sont beaucoup plus patients surtout. Par exemple, les fraudeurs peuvent utiliser les informations recueillies lors d’un hameçonnage plusieurs mois après leur attaque. Il est alors beaucoup plus difficile d’identifier la cause des problèmes occasionnés et les auteurs de l’attaque. »

Chat échaudé….

Chez Liki, tout a été mis en place pour limiter les attaques, et les normes les plus strictes sont instaurées sur la plateforme pour s’assurer d’une sécurité accrue pour les marchands et les clients.

La gestion de l’information des cartes de crédit et des bases de données est faite en suivant les standards PCI. Ainsi, par exemple, tout est encrypté et inaccessible pour les employés de Liki. Les mises à jour de ces normes se font de façon régulière. 

De plus, l’embauche d’une « syst admin » a été judicieuse pour mieux établir les règles et processus administratifs entourant les mots de passe et la gestion des accès divers des membres de l’équipe. Elle pourra documenter les standards de sécurité sous forme de charte et assurer la formation requise à tous les nouveaux employés de surcroît.

Cordonnier bien chaussé

Comme consommateur, Frédéric ne baisse pas la garde. Il est extrêmement ancré dans ses habitudes et seuls certains sites méritent sa confiance pour ses transactions en ligne.

Il s’assure du respect des normes PCI par les sites qu’il fréquente.

Comme Andry Lant Rakoto des produits fins Marclan (voir l’article de la semaine dernière), il effectue sans problème ses transactions bancaires personnelles et corporatives, utilise Google Drive pour transférer des documents et utilise divers outils en ligne pour les communications avec ses clients et ses employés (Prezi, Doodle, Evernote, Jira, Lucidchart, Harvest). Il envisage aussi d’utiliser un nouvel outil de comptabilité cloud-based (Quickbooks).

Comme Andry également, il est extrêmement réticent à y déposer des fichiers sensibles comme des dossiers disciplinaires d’employés, des contrats, des rapports d’impôt ou des conventions d’actionnaires.

Il précise: « Ce n’est pas par manque de confiance en la plateforme de Google Drive que je ne le fais pas, cela dit. C’est plutôt parce que je trouve que le tri des fichiers et les règles d’accès aux fichiers, dans les documents partagés, sont inadéquats. Le « mur » entre les gestionnaires en cas d’erreur de classement, entre autres, est un peu trop « mince » à mon goût . Puis, comme je me déplace toujours avec mon laptop, le besoin n’y est pas crucial. »

À défaut de barrer ses portes d’auto…

Frédéric barre ses mots de passe. Il utilise systématiquement un nouveau mot de passe à chaque nouvelle ouverture de compte et prend soin de l’encrypter dans un fichier lui-même encrypté. Il serait enclin à utiliser le logiciel Password box.

S’il prête son ordinateur, c’est uniquement après avoir ajouté un profil usager « d’invité » pour empêcher les ratés. Conséquemment, jamais il n’accède à ses comptes bancaires sur l’ordinateur de quelqu’un d’autre.

Avant d’utiliser une nouvelle application, il se renseigne, prend des références sur ce nouvel outil en vogue.

Il ne fréquente pas les sites de jeux et paris en ligne, et serait hésitant à le faire s’il ne pouvait pas valider la solidité des plateformes.

Dans les réseaux sociaux, il en dit moins que plus.

« Les Facebook et Twitter de ce monde sont des mines d’informations décortiquées avec soin par les hackers. Jamais je n’oserais mentionner que j’ai un chat, qu’il s’appelle Kleenex et que la fête de Joanie, ma dernière qui vient d’avoir 10 ans, était dimanche dernier… à titre d’exemple. Ils font beaucoup de millage, avec ces informations, car elles sont loin d’être anodines. »  rappelle-t-il, prudent.

——————

Et vous, comment vous protégez-vous?

Avez-vous d’autres trucs à partager pour aider les jeunes entrepreneurs à adopter des bonnes pratiques en matière de cybersécurité?

Laissez-nous vos commentaires!

À ne pas manquer mardi prochain:

Cybersécurité et mobilité: Isabelle Moïse, consultante en marketing événementiel, en entrevue. On abordera la question des limites vécus sur le terrain, lors d’événements.

Dossier Cybersécurité: Mon bureau dans le cloud!

À quel point les jeunes entrepreneurs en démarrage d’entreprise font-ils usage du « cloud » dans leur quotidien en 2015? Tout au long du mois de mars,  je mets le spotlight sur le lien de confiance que les 3 entrepreneurs suivis dans le blogue Le feu sacré entretiennent avec Internet, les données sensibles, les outils web-based et la cybersécurité en général. Cette semaine, mon entrevue avec Andry Lant Rakoto, des produits fins Marclan. Cette jeune entrepreneur dans la trentaine d’origine malgache est immigrée au Québec depuis 4 ans. Elle nous décrit l’usage qu’elle fait des outils en ligne pour la gestion de son entreprise de commerce au détail, mais également de ses pratiques en matière de hiérarchie des données, entre autres, afin de limiter les risques liés au vol d’identité.


matrix-434036__180Que ce soit dans le cadre de ses anciennes fonctions de développement international pour le compte de diverses organisations, ou dans le cadre de ses activités d’importation de produits d’épicerie d’origine malgache, Andry Lant Rakoto a toujours été à l’aise de profiter du côté pratique qu’offre le « cloud » globalement.

« Le cloud a pratiquement toujours tenu ses promesses »

Pour Andry, la confiance s’est établie au fil des ans, puisque les outils utilisés ont toujours tenu leurs promesses.

Après s’être faite infecter par un virus qui n’a (heureusement) « que ralentit un peu son ordinateur », elle s’est dotée d’un anti-virus « commun » pour son ordinateur personnel (partagé avec les membres de sa famille) et d’un anti-virus plus « solide » (du fabricant réputé McAfee) pour son ordinateur d’entreprise.

Pour ses besoins d’affaires ou pour ses besoins personnels, Andry n’hésitent pas à faire ses transactions bancaires en ligne, acheter et vendre ses produits en ligne, utiliser le cloud pour stocker des fichiers et utiliser des outils web-based. Elle négocie également sans réserve, avec ses partenaires et clients, via des outils de communications vidéo.

Au quotidien, Andry mentionne qu’elle utilise particulièrement 3 outils:

« Quickbooks pour la comptabilité, la gestion des opérations et des ventes, la création de factures, l’émission de bons de commande, m’est super pratique. Google Drive me permet d’avoir accès de partout à mes dossiers, ça me sauve beaucoup d’espace sur mon ordinateur et me permet de faire des mises à jour. Puis Skype m’est essentiel, pour entretenir mes relations et communiquer « en face » entre autres avec mes fournisseurs et clients basés en Afrique, nécessairement! »

Cela dit, elle sauvegarde également tout sur son disque externe pour faire des backups.

À des fins de traçabilité, elle retranscrit par courriel les tenants et aboutissants des discussions en ligne, puisqu’elle ne les enregistre pas.

Elle n’a pas d’extranet, n’en a pas encore eu le besoin – merci à Google Drive! – mais n’hésitera pas à en implanter un si nécessaire le temps venu.

Pour les mots de passe, Andry ne se casse pas la tête: elle n’en a qu’un, mais « super complexe », pour l’ensemble de ses identifiants et outils, mais le change systématiquement aux 6 mois.

Et… elle a un système d’alarme!

Données sensibles: bureau seulement!

Par contre, elle hiérarchise les informations qui pourront transiger par le cloud. Elle a retenu cette pratique appliquée à la Banque Mondiale, alors qu’elle y travaillait. Un protocole devait être respecté pour le classement et le traitement des informations relatives aux accords non encore signés entre les pays.

« Avec la faille informatique Heartbleed l’an dernier, et toutes les attaques de hackers qu’ont connues même les plus grandes compagnies comme Google Chine (Opération Aurora), Sony, etc., je suis par ailleurs très sensible à ce qui pourrait donner prise au vol d’identité. Autant je suis confiante pour l’utilisation du cloud pour le bureau, autant je suis réticente à y stocker des données personnelles (les miennes ou celles de mes clients), des contrats, des infos en lien avec les assurances ou les comptes bancaires. »

Usine intelligente et commerce au détail

Andry est enthousiaste à tout ce qui se développe en matière d’emballage intelligent et reste toujours à l’affût des subventions pour l’intégration de ces nouvelles techniques dans son usine de production.

«  L’Institut des technologies de l’emballage et du génie alimentaire (ITEGA), entre autres, développe des matériaux innovateurs et écoresponsables, des emballages « intelligents »,  procurant une meilleure sécurité des produits. Par exemple, éventuellement, je pourrais suivre, grâce à des puces intégrées, les livraisons des produits, l’heure d’arrivée des colis, être connectée en tout temps, connaître les conditions de température traversées par les épices ou autres produits Marclan, dans le futur. C’est très excitant! Si j’en ai la possibilité, j’aimerais bien profiter de ces nouveaux outils 4.0.»

——————-

Cet article vous fait réagir? N’hésitez pas à commenter cet article ci-dessous. 

À suivre la semaine prochaine:

Toujours sous le thème de la cybersécurité: La sécurité des plateformes de e-commerce a son prix! J’aborderai la question avec Frédéric René, co-fondateur de LikiSoftUne entrevue à ne pas manquer!

Donc c’est un rendez-vous!

Karina Brousseau, éditrice du blogue Le feu sacré