Produits À propos Blogue
Page d’accueil Blogue Cap sur la cybersécurité avec Sherry Rumbolt

Cap sur la cybersécurité avec Sherry Rumbolt

Cet article a été publié sur la page LinkedIn du SNC en Octobre 2023. Consultez le billet original.

« C’est important que tout le monde “ pense cybersécurité ”, car 90 % des cyberattaques qui réussies commencent par de l’hameçonnage. Beaucoup de gens l’ignorent, mais les attaques d’hameçonnage par téléphone, vocales ou non, sont trois fois plus efficaces que les attaques par courriel… »

 — Sherry Rumbolt, conseillère stratégique principale en cybersécurité à Services partagés Canada (SPC).

Octobre est le Mois de la sensibilisation à la cybersécurité et la campagne de sensibilisation « Pensez cybersécurité » du gouvernement du Canada offre au public canadien les clés de la cybersécurité. Ce sujet passionne bon nombre de fonctionnaires, les inspirant à créer du contenu éducatif. Cheyenne Arrowsmith, ingénieure principale de l’IFS, organise ainsi les « bouchées de sécurité » du SNC

Sherry Rumbolt, de SPC, compte elle aussi parmi les fonctionnaires qui plaident en faveur de la cybersécurité. Elle nous a confié ses pensées et quelques conseils.

Pouvez-vous nous parler de vous et de votre travail ?

Je m’appelle Sherry Rumbolt et je viens de Mary’s Harbour, une toute petite ville de Terre-Neuve-et-Labrador. 

J’ai servi dans les Forces armées canadiennes (FAC) / le ministère de la Défense nationale (MDN) durant plus de 21 ans, avec une spécialisation en technologies de l’information (TI) et en gestion de l’information (GI). Lors d’un déploiement en Égypte, j’ai eu l’occasion de diriger des équipes de TI et de cybersécurité. En 2011, j’ai pris ma retraite auprès des FAC et du MDN, mais j’ai poursuivi ma carrière dans la fonction publique. J’ai occupé divers rôles axés sur la cybersécurité au sein du gouvernement de la Colombie-Britannique, du MDN et maintenant de SPC. 

Actuellement, je fais partie d’une nouvelle et fantastique équipe au sein de SPC : opérations intégrées de la sécurité des TI. En tant que conseillère principale en cybersécurité, j’aide les équipes à créer, à développer et à faire évoluer des initiatives sur le plan cyberopérationnel. Cela ne concerne pas seulement les opérations relatives à la sécurité de l’information, mais également les initiatives de service et de soutien opérationnels au sein de SPC. 

Pour moi, il est très important de lutter pour que les différents groupes visés par l’équité en matière d’emploi et les vétérans disposent d’occasions professionnelles égales dans le domaine de la cybersécurité. Pour aider ces personnes à réussir sur le plan professionnel au Canada, je suis membre de divers conseils et comités consultatifs à titre bénévole. J’ai été nommée parmi les 20 meilleures femmes en cybersécurité au Canada en 2020 et l’une des 25 meilleures femmes dans le domaine de la défense en 2021. Récemment, j’ai reçu un prix récompensant l’ensemble de ma carrière dans le cadre de l’évènement « Women in Cybersecurity » de SiberX.

Quels aspects de la cybersécurité ont piqué votre intérêt et en quoi ce domaine a-t-il évolué au fil de votre carrière ?

À un certain stade de ma carrière militaire, j’ai occupé un rôle au Centre d’opérations des réseaux des Forces canadiennes, un endroit vraiment fantastique. C’est là, au sein de l’équipe d’intervention en cas d’incidents informatiques, que j’ai su que je ferais carrière dans la cybersécurité. J’ai travaillé avec une équipe de professionnel·le·s d’un talent exceptionnel et j’ai été fascinée par les outils de sécurité et les processus analytiques complexes utilisés pour surveiller, détecter, prévenir et examiner les évènements et incidents potentiels en matière de cybersécurité. Lorsque je me suis engagée dans cette voie, le secteur n’avait pas la popularité qu’il connaît aujourd’hui. Je suis heureuse de constater le développement que cette profession a connu. 

Au cours des dix dernières années et plus, le nombre d’outils interconnectés et d’appareils destinés à une connexion à Internet a augmenté de façon impressionnante. Les réseaux informatiques se sont développés pour répondre aux besoins et aux objectifs opérationnels du public. Il y a donc davantage de cibles potentielles à protéger. En réponse à cette situation, les outils de TI et de cybersécurité ont connu une croissance exponentielle au fil des années, aussi bien en volume qu’en complexité. Mais l’entretien de ces systèmes requiert des professionnel·le·s de la cybersécurité hautement qualifié·e·s. Le personnel de ce domaine est donc très demandé dans le monde entier : le travail ne manque pas. 

Quelles nouvelles tendances avez-vous remarquées dans la cybersécurité de la fonction publique ?

Je ne peux pas me prononcer sur les tendances particulières à la fonction publique en matière de cybersécurité. En revanche, je peux parler de ce que je considère comme des tendances émergentes en fonction de ce qui a été publié dans des rapports publics et dans les médias. 

Au niveau mondial, il semble que nous assistions à un déferlement de menaces persistantes, perfectionnées, sophistiquées, automatisées et basées sur l’intelligence artificielle. Des menaces que l’on peut mettre longtemps à détecter. Les hypertrucages et les campagnes de mésinformation ou de désinformation gagnent du terrain. Les attaques par rançongiciels semblent également se multiplier, ce qui pourrait conduire à des atteintes à la vie privée à grande échelle, et donc à des interruptions d’activité coûteuses. Les cybermenaces sont inquiétantes, d’autant plus que la pénurie de main-d’œuvre persiste dans le domaine de la cybersécurité au niveau mondial.

Pourquoi jugez-vous si important que tout le monde « pense cybersécurité » ?

C’est important que tout le monde « pense cybersécurité », car 90 % des cyberattaques qui réussies commencent par de l’hameçonnage. Beaucoup de gens l’ignorent, mais les attaques d’hameçonnage par téléphone, vocales ou non, sont trois fois plus efficaces que les attaques par courriel. Cela reste une des principales techniques de fraude psychologique pour obtenir des identifiants ou pour accéder à un système en incitant à une réinitialisation de mot de passe.

Les outils et technologies de sécurité jouent un rôle essentiel dans la protection des réseaux. Mais, seuls, ils ne suffisent pas à garantir la sécurité de systèmes cruciaux. Pour obtenir des résultats, il faut miser sur des campagnes d’éducation, de formation et de sensibilisation visant le grand public. Malheureusement, les erreurs humaines continuent d’être l’une des principales faiblesses dans le viseur des auteur·rice·s de menaces.

Pouvez-vous nous donner quelques astuces pour renforcer la cybersécurité ?

  1. Deux étapes valent mieux qu’une. Dès que vous le pouvez, utilisez l’authentification à deux ou à plusieurs facteurs pour protéger vos comptes personnels et vos accès aux systèmes que vous utilisez.
  1. Faites preuve de vigilance. Si quelque chose vous semble suspect, il y a sûrement une bonne raison. N’ouvrez pas et ne téléchargez pas de pièces jointes provenant d’expéditeur·rice·s inconnu·e·s ou suspect·e·s. Avant de cliquer sur un lien, survolez-le avec votre curseur pour vous assurer qu’il dirige bien vers le site que vous cherchez à visiter.
  1. Variez les mots de passe. La réutilisation de mots de passe continue de poser problème. Le fait d’utiliser le même mot de passe sur plusieurs systèmes, plateformes et applications représente une vulnérabilité que les pirates informatiques vont toujours tenter d’exploiter pour accéder à de multiples points d’entrée. Assurez votre sécurité en ligne en utilisant des mots de passe robustes et uniques pour chacun de vos différents comptes. Un outil de gestion de mots de passe est un atout fantastique pour la génération et la sauvegarde de mots de passe unique pour tous vos comptes.
  1. Vérifiez les fuites de données. L’outil « Have I Been Pwned (en anglais) » entretient une base de données de combinaisons d’identifiants et de mots de passe provenant de fuites publiques. Ces données sont tirées d’atteintes rendues publiques via divers sites du Web ou du Web clandestin. 

Apprenez-en plus !

Vous souhaitez en savoir plus sur la cybersécurité et les moyens de vous protéger ? Explorez les ressources de « Pensez cybersécurité ».