Scénario 5 - La sécurité et les voyages

Marc est un chercheur qui assiste à une conférence internationale à l'étranger où on discutera de sa recherche. Marc a amené son ordinateur avec lui, ainsi qu'une clé USB qui renferme des renseignements concernant sa recherche. Pendant la conférence, il a pris contact avec quelques partenaires internationaux, où il a échangé des renseignements et des données en introduisant sa clé USB dans les appareils de ses collègues. Lorsque Marc est revenu de la conférence, il a branché la même clé USB sur le réseau de son établissement.

Risques pour Marc et l'établissement

Pendant qu'elle était connectée à un appareil non approuvé, la clé USB de Marc aurait pu être copiée, entraînant ainsi :

  • La perte de renseignements ou de données de recherche;
  • La perte de recherches exclusives destinées à une publication dans une revue à comité de lecture, à une commercialisation potentielle, ou à d'autres fins; et
  • En fonction de la nature des données de recherche, la contravention potentielle à l'éthique de la recherche en raison de la divulgation potentielle de renseignements confidentiels provenant de partenaires de recherche ou de participants à la recherche.

La clé USB aurait également pu être infectée par la charge d'un ou de plusieurs logiciels malveillants, dont certaines ne sont pas toujours détectables par les anti-maliciels installés sur un ordinateur personnel. Par exemple :

  • L'espiogiciel vise généralement à recueillir et à transmettre des renseignements.
  • Les maliciels visent à interrompre le fonctionnement d'un système et même à le détruire lorsqu'ils sont activés.
  • Le rançongiciel peut entraîner le versement de paiements financiers pour recouvrir les fichiers qui ont été verrouillés ou chiffrés par l'auteur de l'attaque.

Lorsque la clé USB a été introduite dans un appareil branché sur le réseau de l'établissement, la charge utile aurait pu être activée ou aurait pu se reproduire dans d'autres ordinateurs ou réseaux connectés.

Bien qu'un collègue n'ait pas consciemment tenté de voler ou de compromettre des données, son appareil aurait pu être infecté d'un espiogiciel ou d'un maliciel à son insu.

Conséquences possibles pour Marc

Le détournement des données ou des résultats de la recherche de Marc risque d'attribuer incorrectement à un tiers la reconnaissance de sa recherche et de porter atteinte à la capacité de Marc de faire publier ses travaux de recherche et de les commercialiser. Une telle situation peut entacher la réputation et avoir des répercussions néfastes sur la carrière de toutes les personnes impliquées dans le projet.

Par ailleurs, l'incident peut enfreindre les dispositions en matière de propriété intellectuelle ou de confidentialité qui font partie du projet de Marc et des fonds qu'il touche, et donc entraîner l'imposition de mesures disciplinaires.

Répercussions possibles sur l'établissement

Une atteinte à la cybersécurité des réseaux de l'établissement risque d'avoir des répercussions graves sur les ressources informatiques de celui-ci pendant une certaine période ou suivant le but de l'intrusion, de passer inaperçue dans le réseau et causer des pertes continues de données.

Un détournement de renseignements confidentiels ou exclusifs de l'établissement risque de gravement entacher la réputation de celui-ci. Un rançongiciel est susceptible d'entraîner des pertes financières et d'autres conséquences si l'établissement souhaite récupérer les renseignements, ou risque de perdre à jamais l'accès aux fonds de renseignements ou aux dépôts, si la rançon n'est pas payée.

Pratiques exemplaires

  1. Avant de quitter votre établissement d'attache, prévoyez les données dont l'échange pourrait être nécessaire, ainsi que les destinataires et les mécanismes de cet échange. N'hésitez pas à consulter les ressources de cybersécurité pour déterminer le plan d'action optimal ou à consulter travel.gc.ca à la recherche d'avertissements concernant des pays de destination particuliers
  2. Limiter le transport de données, y compris sur votre ordinateur portatif, aux données qui sont nécessaires ou publiquement accessibles.
  3. Lorsque vous voyagez avec des renseignements, stockez les renseignements sensibles sur une clé USB protégée (ou encodée).
  4. Gardez les dispositifs de stockage en lieu sûr en tout temps et ne les connectez pas à des appareils non sécurisés.

Ressources et pratiques exemplaires applicables