Guide de cybersécurité à l'intention des équipes chargées des campagnes électorales

2e étape : Le stockage des données

Pour protéger vos données et vos documents, vous devez savoir où ils sont stockés. Voici quelques points à considérer à ce sujet.

Il est recommandé d’adopter des mesures de sécurité adaptées à votre tolérance au risque et à votre budget. Vous pouvez retenir les services d’un professionnel ou d’une entreprise de services informatiques pour gérer la mise en place de vos réseaux informatiques, par exemple faire affaire avec un fournisseur de services gérés pour stocker vos données dans un nuage informatique. Il y a au Canada des solutions de stockage infonuagique conçues spécialement pour les campagnes électorales. Cette option est privilégiée. Ces solutions libèrent l’équipe de campagne de certains risques liés à la protection des données qui sont alors transposés à des professionnels. Cela dit, les services infonuagiques ne sont pas tous équivalents. La section intitulée « Services infonuagiques » contient des conseils pour évaluer et choisir les services infonuagiques.

Si vous n’optez pas pour une solution infonuagique, sachez qu’il y a d’autres options qui s’offrent à vous. Vous pouvez par exemple choisir le partage de fichiers sur réseau ou serveur ou sauvegarder tous vos fichiers sur un nombre limité d’appareils. Vous pouvez aussi recourir à la fois au stockage infonuagique et au partage de fichiers locaux. Peu importe la solution que vous choisissez, vous devez appliquer les mêmes principes de cybersécurité pour déterminer les droits d’accès à l’information propre à la campagne et pour protéger cette information.

La façon d’accéder à l’information au moment voulu aura probablement une incidence sur la conduite de votre campagne. Comment l’accès aux documents essentiels à la campagne permettra‑t‑il de satisfaire aux objectifs de la campagne? Comment allez-vous mener vos activités quotidiennes? Devez-vous acheminer chaque jour les derniers messages du parti? Le cas échéant, à qui devez-vous les acheminer? Est-il préférable de les stocker sur un lecteur partagé ou sur un appareil de communication en particulier? Allez-vous communiquer souvent les stratégies actualisées ou vaut-il mieux les stocker dans le nuage?

Enfin, pour pouvoir décider où stocker vos données, vous devez connaître la répartition des responsabilités au sein de l’équipe. La répartition a-t-elle une incidence sur le lieu de stockage des données?

 

3e étape : La protection des données et de la technologie

La cybersécurité est une affaire de couches, car chaque mesure de cybersécurité que vous prenez ajoute une couche de protection à votre campagne.

Dans les prochaines pages, vous trouverez des outils et des mesures de cybersécurité que vous pouvez appliquer dès maintenant tant dans les bureaux que sur la route, car tout dispositif de technologie peut être une cible attrayante lors d’une campagne. Les conseils sont groupés par sections : appareils; médias sociaux et messagerie; données et réseaux; et espace physique.

Appareils

L’équipe de campagne et le candidat feront certainement grand usage des appareils mobiles, qui sont des cibles attrayantes pour les auteurs de menaces. Ceux-ci se servent d’appareils égarés, volés ou compromis pour accéder sans autorisations à votre réseau et donc compromettre l’information personnelle ou liée au travail. Protégez vos appareils en prenant les mesures décrites ci-dessous.

• Verrouillez vos appareils mobiles au moyen d’un mot de passe robuste, d’un NIP ou de données biométriques.
• Appliquez les mises à jour au système d’exploitation et aux applications dès qu’elles sont offertes. Cela vaut aussi pour les applications tierces qui peuvent servir d’intermédiaire vers des comptes de médias sociaux comme Twitter et Facebook. Étant donné que les mises à jour contiennent souvent d’importantes mises à niveau de sécurité, installez‑les dès que vous êtes invité à le faire.
• Activez un antivirus sur vos appareils (ordinateurs de bureau et portables et appareils mobiles).
• Ne cochez pas l’option « Mémoriser » qui sauvegarde votre nom d’utilisateur et votre mot de passe sur les sites Web et les applications mobiles.
• Faites régulièrement des copies de sauvegarde du contenu de votre appareil mobile.
• Désactivez diverses fonctions (comme la géolocalisation, le Bluetooth ou le Wi-Fi) lorsque vous ne les utilisez pas.
• Évitez de connecter vos appareils à des réseaux sans fil non protégés ou gratuits. Abonnez-vous plutôt à un forfait de données auprès d’un fournisseur de bonne réputation.
• Chargez votre appareil dans une prise d’alimentation électrique ou au moyen d’un chargeur portatif plutôt que dans la prise USB d’un ordinateur ou d’une station de charge gratuite. Il est déconseillé d’utiliser les stations de charge par prise USB non fiables, car elles peuvent servir à transmettre de l’information à l’appareil branché ou à lui en soutirer.
• Si vous croyez que votre appareil a été compromis, ne le branchez pas à votre ordinateur ou à tout ordinateur en réseau, surtout si vous ne voulez que le charger. Le fait de brancher un appareil compromis peut infecter tout le réseau. Si vous croyez que votre appareil a été compromis, demandez à un membre de l’équipe ou à un professionnel des TI de l’examiner.
• Ne laissez pas un appareil sans surveillance dans un lieu public.
• Empêchez d’autres personnes - même vos proches - de se servir de vos appareils mobiles.
• Évitez le débridage (modification du téléphone pour y installer un logiciel non autorisé) ou la désactivation des mesures de sécurité imposées par le fabricant de votre appareil.
• N’installez pas d’applications sur vos appareils de travail sans connaître les politiques pertinentes de la campagne.
• Examinez les politiques de confidentialité et les exigences d’accès (p. ex., accès à l’appareil-photo, au micro, au calendrier et à la géolocalisation) des applications approuvées avant de les installer sur un appareil mobile.
• Soyez conscient de ce qui se passe autour de vous lorsque vous utilisez un appareil, surtout lorsque vous entrez des mots de passe ou partagez de l’information sensible.
• Soyez aux aguets des comportements étranges de l’appareil (p. ex., pile rapidement à plat, textos ou courriels étranges), car ils peuvent être un signe de compromission.

Mots et phrases de passe

Les mots de passe contrôlent l’accès aux appareils mobiles ainsi qu’aux comptes de médias sociaux et de courriel. S’ils sont faibles ou compromis, ils peuvent mener au vol de données liées à la campagne. Il est recommandé d’opter pour des phrases de passe, plus longues que les mots de passe et plus faciles à mémoriser. Toutefois, les sites Web, les applications et les services sont tous différents et vous devrez respecter leurs règlements respectifs pour la création de mot de passe. Si vous pouvez choisir une phrase de passe, faites-le. Sinon, sélectionnez un mot de passe robuste.

Tenez compte des éléments suivants lorsque vous choisissez un mot ou une phrase de passe :

• Évitez les expressions populaires, les titres ou paroles de chansons, les titres de films, les citations, etc. Choisissez des mots aléatoires.
• Prenez des mots de différentes langues.
• Ne changez vos mots ou vos phrases de passe que lorsque vous avez une bonne raison de le faire (p. ex., lors d’une compromission présumée ou connue).
• N’utilisez pas vos mots ou vos phrases de passe pour différents comptes ou appareils.
• Lorsque vous changez un mot ou une phrase de passe, ne faites pas que remplacer le chiffre à la fin par un autre (p. ex., fauxmaisonlivrerapide1 à fauxmaisonlivrerapide2).

Pour les phrases de passe :

• Choisissez quatre mots au hasard pour composer une phrase d’au moins 15 lettres minuscules.
• Appliquez une technique d’association qui consiste à scruter une salle et à y énumérer des choses qu’on y voit, par exemple, « commode lampe chambre toile ».
• Évitez de choisir le nom de vos enfants ou des membres de votre équipe sportive préférée. Un auteur de menace pourrait facilement les deviner en étudiant vos comptes de médias sociaux.

Pour les mots de passe :

• Créez des mots de passe complexes composés d’au moins 12 caractères (si les règles en vigueur le permettent).
• Composez des mots de passe complexes à partir d’une phrase dont vous allez vous souvenir (p. ex., la phrase « Lorsque je jouais au soccer compétitif, je portais le numéro 27! » peut servir à se souvenir du mot de passe « Ljjascjp#27! »).
• Évitez les mots de passe simples comme « Motdepasse01 ». Ne remplacez pas des lettres par des chiffres ou des symboles (p. ex., M0tdepa$$e01).

Pour les codes de verrouillage :

• N’utilisez les codes de verrouillage que lorsque cela est nécessaire, sinon, optez pour les phrases ou les mots de passe.
• Si possible, utilisez des NIP générés au hasard.
• Évitez les combinaisons faciles à deviner. (p. ex., 1111, votre date d’anniversaire, votre numéro de téléphone).

Authentification multifacteur

L’authentification multifacteur emploie une combinaison des facteurs suivants pour authentifier un utilisateur :

• Quelque chose que vous connaissez : Il s’agit généralement de votre phrase de passe, de votre mot de passe ou de votre NIP. Comme il est facile de compromettre ce facteur, il est fortement recommandé d’en ajouter un autre si cela s’avère possible;
• Quelque chose que vous avez : Il peut s’agir d’un jeton matériel, comme une clé USB ou une carte d’accès, ou encore d’un jeton logiciel, comme un logiciel d’authentification;
• Quelque chose qui vous caractérise : Ce facteur repose sur une caractéristique biométrique unique comme la lecture rétinienne, des empreintes digitales ou de l’iris.

Comme l’hameçonnage et le vol de mots de passe sont très répandus, de nombreux services, dont la plupart des plateformes de médias sociaux, offrent l’option de l’authentification multifacteur.

Il est fortement recommandé d’appliquer l’authentification à multifacteur pour ces plateformes, surtout pour les comptes publics bien connus. Vérifiez auprès du fournisseur de services pour savoir comment activer l’authentification multifacteur.

Il en va de même pour toute infrastructure du bureau de campagne qui permet peut‑être d’accéder à distance à des réseaux privés virtuels ou à des services de courriel qui contiennent du matériel de campagne de nature délicate ou qui y donnent accès. En effet, il est préférable de protéger convenablement tout système qui contient de l’information de nature délicate au moyen d’une solution d’authentification multifacteur plutôt que d’un simple mot de passe. Certaines solutions sont plus efficaces que d’autres, mais elles amélioreront toutes votre posture de cybersécurité.

Chiffrement

Le chiffrement convertit l’information lisible en texte chiffré illisible pour en dissimuler le contenu et empêcher l’accès non autorisé. Le chiffrement peut se produire lorsque les données sont en transit (comme dans le cas du trafic Web HTTPS) ou inactives (comme le contenu du disque dur d’un téléphone ou d’un ordinateur portable ou de bureau). Le chiffrement est le mécanisme clé pour assurer la sécurité et la confidentialité de l’information liée à la campagne qui transite sur l’internet. Il s’agit aussi d’une des principales façons de protéger le contenu des appareils qui pourraient être égarés ou volés.

La plupart des appareils actuels offrent l’option de chiffrer les données. Il est conseillé d’activer l’option de chiffrement lorsque possible. Par exemple, sur la plupart des appareils mobiles, l’instauration d’un code de verrouillage chiffre les données de l’appareil. Consultez un professionnel de la sécurité informatique pour déterminer si vous devriez chiffrer vos cartes mémoires, vos clés USB, vos sites Web et tout autre dispositif utilisé pour stocker ou transmettre de l’information liée à la campagne.

Capuchon d'appareil-photo

Si vous autorisez une application à accéder à l’appareil-photo et au microphone de votre appareil mobile et qu’un auteur de menace accède à l’application en question, il peut alors utiliser les lentilles avant et arrière de l’appareil-photo, vous enregistrer dès que l’application est ouverte, prendre des photos et des vidéos sans autorisations et les verser en ligne instantanément et même diffuser en ligne les images captées par l’appareil‑photo en direct.

• Songez à vous procurer un capuchon pour couvrir les lentilles de l’appareil‑photo de votre téléphone et à refuser l’accès de l’application à l’appareil-photo. Le capuchon est un petit mécanisme qui se place par-dessus les lentilles de l’appareil‑photo. Ces capuchons sont en vente dans les boutiques d’électronique et permettent d’utiliser l’appareil‑photo plus facilement que si les lentilles sont couvertes de ruban ou autre.

Mesures de sécurité ‑ Approche prenez vos appareils personnels (PAP)

Si les employés et les bénévoles peuvent se servir de leurs appareils personnels pour mener des activités officielles liées à la campagne, ils pourraient partir en ayant de l’information sensible de stocker sur leurs appareils. Ils n’ont peut-être pas installé les dernières mises à jour de logiciel et de sécurité sur leurs appareils personnels, ce qui augmente la vulnérabilité de l’information sensible. De plus, les appareils ne chiffrent pas nécessairement l’information sensible. Tous les utilisateurs d’un appareil personnel doivent appliquer les mesures suivantes :

• Suivre les politiques relatives à l’approche PAP pour adopter les comportements attendus et gérer les risques connexes.
• Assister à la formation en cybersécurité offerte par les responsables de la campagne. Ces derniers devraient profiter de ces séances pour demander à tous les membres de l’équipe de prendre les dernières mesures de cybersécurité.
• Demander aux membres de l’équipe d’installer un antivirus sur leurs appareils (si ce n’est pas déjà fait).

Menaces téléphoniques

La plupart des téléphones mobiles et filaires ne sont pas protégés. Ils sont susceptibles aux intrusions et peuvent être surveillés par des auteurs de menaces au moyen de dispositifs d’interception de communications qui simulent les tours cellulaires. Idéalement, les conversations de nature sensible devraient avoir lieu à des endroits privés, à l’écart de tout appareil électronique. Si cela n’est pas possible, gardez en tête que vos communications téléphoniques ne sont pas nécessairement protégées.

Si votre équipe participe régulièrement à des téléconférences, soit à titre d’organisateur ou d’invité, songez à changer le numéro d’identification de la conférence sur une base prédéterminée. Décidez à qui les numéros d’appel doivent être envoyés et comment leur en faire part.

Vulnérabilités du Bluetooth

Les auteurs de menaces peuvent exploiter des vulnérabilités du Bluetooth pour dérober votre information. Ils peuvent profiter du Bluetooth pour prendre le contrôle de vos appareils.

La technologie Bluetooth continue d’évoluer. Les nouvelles versions Bluetooth font augmenter la portée de connexion et la vitesse de transmission, ce qui facilite le transfert de données. Même si la technologie ne cesse de changer, vous pouvez protéger vos données et vos dispositifs en prenant quelques mesures simples :

• Désactivez la fonction Bluetooth lorsque vous ne l’utilisez pas. Sur de nombreux appareils, pour accéder à la fonction d’activation et de désactivation du Bluetooth, il suffit de balayer vers le bas à partir de l’écran d’accueil.
• Désactivez le mode découverte lorsque vous n’avez pas besoin de connecter des dispositifs.
• Évitez de jumeler des dispositifs dans des lieux publics.
• Ne jumelez vos dispositifs qu’avec des appareils de confiance que vous connaissez.
• Ne transmettez jamais des données sensibles par l’intermédiaire de connexions Bluetooth.
• Évitez de taper de l’information sensible ou des mots de passe sur un clavier Bluetooth.
• Retirez les dispositifs perdus ou volés de votre liste d’appareils jumelés.
• Supprimez toutes les données et tous les dispositifs stockés dans la mémoire des systèmes Bluetooth de voitures.

Boîte vocale

Les auteurs de menaces peuvent accéder à votre boîte vocale et ainsi compromettre votre campagne. Les boîtes vocales ne sont souvent protégées que par des NIP à quatre chiffres, faciles à deviner ou à percer. Ne conservez pas le NIP attribué par défaut et changez-le régulièrement. Si possible, optez pour un NIP plus long pour avoir une meilleure protection.

---

Médias sociaux et messagerie

Les activités menées sur les comptes de médias sociaux de votre équipe de campagne ont une incidence sur votre image publique. Un auteur de menace qui parvient à accéder à vos comptes peut diffuser de l’information sensible ou fausse qui discréditera le candidat ou le mettra dans l’embarras et qui mettra votre campagne en péril.

• Choisissez des mots de passe robustes et uniques pour tous les comptes de médias sociaux pour éviter que tous vos comptes soient compromis d’un seul coup.
• Lorsque possible, appliquez l’authentification multifacteur.
• Limitez l’accès aux plateformes de médias sociaux. Autorisez seulement un petit nombre d’employés à publier ou à modifier du contenu dans les médias sociaux.
• Informez-vous des choix de délégation des pouvoirs et d’approbation du contenu (c.-à-d. la marche à suivre lorsque plusieurs utilisateurs doivent accéder à un compte).

Applications de messagerie instantanée et de messagerie texte

Les applications de messagerie instantanée et de clavardage sont très utiles pour communiquer rapidement. Nombreuses sont celles qui offrent diverses caractéristiques comme le chiffrement de bout en bout pour protéger les conversations, la messagerie éphémère et la confirmation de l’identité pour assurer la confidentialité. Sachez toutefois que les conversations soi-disant privées peuvent tout de même être exposées et que l’exposition ne vient pas nécessairement de la compromission de l’application ou des systèmes. Même si des mesures de sécurité ont été appliquées à l’appareil et que l’application chiffre les communications, un destinataire indigne de confiance peut faire une capture d’écran de la conversation et la publier en ligne. Avant d’envoyer un message, prenez un instant pour réfléchir à son contenu sensible, peu importe les mesures de sécurité appliquées à votre appareil.

Piratage psychologique

Il ne faut jamais oublier que la cybersécurité comporte une dimension humaine qui pourrait compromettre votre campagne ou vous‑même, et ce, même si vous avez pris toutes les mesures techniques pour protéger vos réseaux et vos appareils.

Le piratage psychologique repose sur la capacité d’un auteur de menace à exploiter l’utilisation de la technologie. Plutôt que de prendre des moyens techniques pour s’introduire dans un système ou un compte, l’auteur de menace va tenter de manipuler une cible. Par exemple, il peut prétendre avoir un lien légitime avec vous en se faisant passer pour un électeur de votre circonscription, un donateur éventuel ou un journaliste. Il peut vous demander, à des fins malveillantes, de lui fournir de l’information (p. ex., des numéros de téléphone ou de l’information sur des comptes), d’ouvrir des pièces jointes dans des courriels ou de visiter certains sites Web.

Le taux de succès du piratage psychologique est élevé.

• Méfiez-vous des personnes qui vous appellent, vous rendent visite ou vous envoient des courriels pour obtenir de l’information sur vous et vos connaissances et pour s’enquérir sur ce que vous savez.
• Confirmez toujours l’identité d’une personne avant de lui fournir de l’information en ligne. Par exemple, si une personne prétend appartenir à un organisme communautaire ou à un média, demandez-lui de vous présenter une pièce d’identité officielle.
• Ne cliquez jamais sur un hyperlien. Accédez plutôt à une page Web à partir de votre navigateur.

Messages malveillants (y compris les courriels)

Le courriel est peut‑être votre principal mode de communication et est donc, par conséquent, une cible très attrayante pour les auteurs de menaces. Sachez que les courriels malveillants, comme les pourriels et les courriels d’hameçonnage et de harponnage, pourraient vous compromettre et compromettre vos appareils et votre information. Les messages malveillants peuvent aussi provenir de textos et d’applications.

Vous allez probablement recevoir des messages, particulièrement par courriel, d’organismes et de membres du public que vous ne connaissez pas ou avec qui vous n’avez jamais travaillé. L’équipe de campagne doit donc pouvoir distinguer les messages légitimes de ceux qui sont malveillants. À première vue, les messages malveillants peuvent sembler légitimes.

Il est recommandé de communiquer avec votre fournisseur de service de courriel pour recourir à l’authentification des messages fondée sur le domaine, rapports et conformité (en anglais Domain-based Message Authentication, Reporting & Conformance [DMARC]). Par exemple, un service DMARC vous indique si un courriel reçu de l’Agence du revenu du Canada (ARC) provient réellement d’un compte de courriel de l’ARC. En effet, il vérifie la légitimité du domaine de l’expéditeur.

Pourriels

Les pourriels désignent tous les messages électroniques non sollicités. Ils véhiculent souvent des arnaques et du contenu offensant et peuvent contenir des liens malveillants vers un site Web faux ou dangereux qui dissimule des maliciels ou demande de l’information sensible (p. ex., des mots de passe). Les pourriels peuvent aussi contenir des pièces jointes malveillantes qui pourraient infecter vos appareils au moyen d’un maliciel.

Hameçonnage et harponnage

Les messages d’hameçonnage ciblent un groupe de personnes en simulant un message légitime envoyé par un expéditeur de confiance, comme un courriel ou un texto provenant de votre parti politique ou d’un groupe communautaire de votre circonscription. Ils peuvent être porteurs de bonnes nouvelles (p. ex., une personne contribue financièrement à votre campagne) ou véhiculer une menace (p. ex., une personne détient de l’information sur vous qu’elle va dévoiler aux médias). Dans les deux cas, l’objectif est d’inciter les destinataires à divulguer de l’information personnelle ou à ouvrir des pièces jointes ou des hyperliens malveillants.

Les messages de harponnage ressemblent à ceux d’hameçonnage, mais ils ciblent une personne en particulier en fonction de son domaine de travail, de ses intérêts ou de ses traits de caractère. Comme vous contribuez ouvertement à une campagne, les auteurs de menaces peuvent facilement recueillir de l’information sur vous pour concevoir un message de harponnage personnalisé.

Les messages d’hameçonnage et de harponnage ciblent des gens comme vous. À première vue, ces messages semblent tout à fait légitimes : ils affichent de vrais logos ou sont conçus avec des couleurs, des modèles de documents et des polices de caractères que l’on reconnaît facilement. L’hameçonnage par courriel est la méthode privilégiée par les auteurs de menaces pour propager un rançongiciel ou un maliciel.

La section « Repérer les messages malveillants et savoir quoi en faire  » contient des conseils sur les façons de repérer et de traiter les messages malveillants

 

---

Données et réseaux

Services infonuagiques

Les services infonuagiques offrent divers services qui pourraient rendre votre équipe de campagne plus productive, entre autres des services de logiciel, de stockage de dossiers, de courriel et d’accès à distance à des documents. Il est recommandé à l’équipe de campagne de consulter un fournisseur de services infonuagiques pour mettre en place les réseaux de TI qui répondront à ses besoins.

Choisissez un fournisseur de bonne réputation. Pour le choisir, consultez des commentaires de clients et obtenez des recommandations.

• Demandez à votre fournisseur où sont stockées physiquement vos données et vos copies de sauvegarde. Les fournisseurs se servent souvent d’installations situées à l’extérieur du Canada qui sont donc assujetties aux lois du pays hôte et qui pourraient tomber entre les mains des services de sécurité de ce pays.
• Assurez-vous que votre fournisseur a recours aux mesures suivantes : protection contre les maliciels, application de correctifs, chiffrement et alimentation redondante (de réserve).
• Chiffrez les dossiers de nature délicate stockés dans un nuage. Plusieurs fournisseurs de services infonuagiques offrent le chiffrement de fichiers par défaut.

Réseaux sans fil dans le bureau de campagne

Si vous décidez d’installer un réseau sans fil dans le bureau de campagne, renforcez-le en prenant les mesures techniques suivantes.

• Changez le nom par défaut du réseau sans fil et le mot de passe d’accès au routeur sur le routeur réseau. Le nom de réseau est aussi appelé identifiant SSID (SSID, de l’anglais Service Set Identifier). Vous pouvez habituellement le changer en ligne en suivant les instructions du fabricant du routeur.
• Installez un pare-feu logiciel ou matériel sur votre réseau et vos appareils (p. ex., un pare-feu logiciel sur les ordinateurs portables).
• Appliquez l’accès protégé Wi-Fi 2 (WPA2-Enterprise) à votre routeur sans fil.
• Créez un point d’accès Wi-Fi pour les invités pour qu’ils ne puissent accéder à l’information sensible. Il y a deux façons de créer un point d’accès Wi-Fi :
  • Communiquez avec votre fournisseur de services pour obtenir une ligne de données distincte. Il s’agit de la solution privilégiée, car les deux réseaux (des invités et de la campagne) sont totalement séparés.
  • Utilisez un routeur qui a un réseau d’invités séparé. Cette solution nécessite un entretien régulier et n’élimine pas complètement la menace de compromission à partir du compte des invités.
• Veillez à ce que le micrologiciel du routeur soit à jour.
• Optez pour du matériel pris en charge par le fournisseur et appliquez toutes les mises à jour de sécurité.
• Mettez en place un réseau privé virtuel (RPV) pour que les employés puissent accéder à distance aux réseaux et aux systèmes de la campagne.

Réseaux sans fil à l'extérieur du bureau de campagne

Donnez comme consigne à vos employés et à vos bénévoles de ne pas se connecter à des réseaux sans fil non protégés ou gratuits.

Les réseaux sans fil non protégés ou gratuits sont commodes, mais ils facilitent la tâche de ceux qui auraient l’intention d’épier vos communications (p. ex., intercepter vos communications ou vos données). Par exemple, même si le café du coin donne un mot de passe commun à ses clients pour le réseau sans fil, celui-ci n’est pas protégé pour autant. Il est très difficile de protéger les téléphones et les divers appareils lorsqu’ils sont connectés à un point d’accès sans fil non protégé ou gratuit. Des auteurs de menaces peuvent insérer des maliciels dans une fausse page Web créée sur le réseau local qui incite les utilisateurs à s’inscrire pour pouvoir se brancher au réseau sans fil gratuit. Le maliciel se propagera alors facilement et les auteurs de menaces obtiendront le contrôle complet de l’appareil, même si le réseau est muni d’un mot de passe.

• Veillez à ce que tous les employés et les bénévoles aient un forfait de données offert par un fournisseur de bonne réputation et qu’ils s’en servent, surtout pour le travail de nature délicate. Ils ne doivent pas se connecter à des réseaux sans fil non protégés ou gratuits.
• Sur vos appareils, désactivez la fonction de connexion automatique aux réseaux sans fil.
• Les appareils ayant été connectés à des réseaux sans fil non protégés ou gratuits ne doivent pas être branchés à des ressources de TI sensibles utilisées dans le cadre de la campagne. Ne permettez donc pas aux employés et aux bénévoles de procéder ainsi. Ils doivent utiliser des appareils distincts qui n’ont pas été connectés à un réseau non protégé ou gratuit.

Si un employé ou un bénévole est contraint de connecter un appareil personnel ou de campagne à un réseau sans fil non protégé ou gratuit, il doit à tout prix éviter de taper de l’information sensible alors qu’il est branché au réseau. Par information sensible, on entend notamment les mots de passe pour les comptes de médias sociaux et les justificatifs d’accès pour des sites spéciaux.

Pour diminuer les risques liés à l’utilisation d’un réseau sans fil non protégé ou gratuit, vous pouvez recourir aux RPV ou aux services antimaliciels de la campagne. Un RPV est un réseau de communication privée créé par l’entremise d’un réseau partagé ou public moins protégé. Certains organismes se servent d’un RPV en tant que réseau fermé et restreint et n’autorisent l’accès qu’aux utilisateurs autorisés. Les communications par RPV sont habituellement chiffrées ou codées pour empêcher les personnes non autorisées à accéder aux données transmises sur le réseau public. Malgré tout, il est possible que les appareils connectés au RPV et les données transmises sur celui-ci soient compromis.

Pour créer ou utiliser un RPV, optez pour un dispositif RPV commercial ou un produit infonuagique installé à cette fin sur votre réseau. Sachez toutefois que certains « services RPV » commerciaux ne font que masquer les identités pour augmenter la confidentialité, mais n’améliore en rien la sécurité des données.

Copies de sauvegarde et récupération des données

Vous devriez avoir un plan pour vous relever après avoir été victime de cyberattaques (p. ex., rançongiciel, déni de service, dégradation de sites Web). Conservez des copies de sauvegarde de votre information pour vous remettre d’une attaque ou de la perte d’un appareil égaré ou volé.

Les deux premières étapes du présent guide devraient vous avoir aidé à repérer l’information et les données essentielles à votre campagne. Un fournisseur de services informatiques ou infonuagiques peut vous donner un coup de main pour assurer la sauvegarde régulière de l’information désignée et la récupération rapide de celle-ci au besoin.

Supports de stockage de données portatifs

Vous pouvez sauvegarder des copies de vos fichiers sur des supports de stockage de données portatifs, comme des clés USB, pour pouvoir travailler de n’importe où. Toutefois, à défaut de protéger convenablement vos supports et votre information, un auteur de menace pourrait y accéder et copier l’information.

• Utilisez uniquement des clés USB neuves et fournies par l’équipe chargée de votre campagne.
• Réservez l’usage des clés USB au travail lié à la campagne. Évitez d’utiliser une clé USB de la campagne sur un appareil personnel, car les maliciels peuvent se transmettre d’un appareil à un autre.
• Ne branchez pas de clés USB de fiabilité inconnue dans vos appareils, car elles pourraient contenir des maliciels préinstallés.
• Signalez à l’équipe de campagne la perte ou le vol d’un support.
• Songez à chiffrer le contenu de vos supports.

Une clé USB de fiabilité inconnue peut s’entendre d’une clé que vous avez reçue à une conférence ou que quelqu’un vous a remise. Souvenez‑vous : s’il ne s’agit pas d’une clé neuve achetée par l’équipe de campagne, vous devez soit la jeter, soit la faire analyser pour des virus et des maliciels.

---

Espaces physiques

Les bénévoles et les employés n’ont pas tous besoin d’un accès égal au bureau et aux appareils. Déterminez qui doit avoir accès au matériel et aux installations. Comme le vol et l’altération du matériel sont une source de préoccupation en ce qui a trait à la cybersécurité, vous devriez tenir compte des mesures de sécurité suivantes :

• Déterminez qui doit avoir accès aux serveurs, aux ordinateurs portables et au matériel de téléconférence.
• Veillez à ce qu’un nombre limité de personnes connaissent les combinaisons des cadenas utilisés pour la campagne.
• Gardez une liste des personnes qui ont besoin d’une clé du bureau et qui en ont une en leur possession et déterminez qui est responsable de verrouiller à la fin de la journée.
• Trouvez une façon de verrouiller le matériel ou de le placer en lieu sûr pour éviter qu’il ne disparaisse.

Définissez des zones où il est interdit d’apporter des appareils électroniques pour y tenir des discussions privées. En effet, le micro ou la caméra d’un appareil compromis peut être activé à distance à l’insu du propriétaire. La seule façon d’assurer la confidentialité d’une discussion est de tenir tout appareil à l’écart.

4e étape : La prestation de formation en cybersécurité

La plupart des gens qui contribuent à votre campagne seront à l’aise avec la technologie, mais ne connaîtront probablement pas autant la cybersécurité et les répercussions de l’utilisation de leurs appareils sur la campagne.

La mise en place des meilleurs outils et mesures de cybersécurité n’enrayent pas entièrement les atteintes à la sécurité qui sont souvent attribuables au maillon faible du processus : les utilisateurs. Il est tout à fait naturel qu’un document ou un lien suscite de la curiosité, mais le fait de suivre le lien ou d’ouvrir le document peut causer une compromission.

Maintenant que vous avez une bonne idée du type de données et de technologies auxquelles vous avez affaire, vous devez voir à ce que tous les membres de votre équipe suivent une formation de sensibilisation à la cybersécurité. Ne sous‑estimez surtout pas les bienfaits d’une formation adéquate.

Premièrement, établissez le besoin de connaître des bénévoles. En ayant une idée précise du rôle confié à chaque personne ou à chaque groupe, vous pourrez déterminer leur droit d’accès aux différents appareils. Chaque membre de l’équipe doit connaître les attentes à son égard.

Ensuite, servez-vous du présent guide pour établir les politiques et les procédures relatives aux données et aux technologies liées à la campagne. Si les chefs d’équipe seront les seuls à pouvoir accéder aux dossiers ou si seulement quelques personnes pourront sauvegarder ou modifier des documents, faites-le savoir clairement.

Une culture de cybersécurité peut contribuer à la sécurité de la campagne. En effet, les membres de l’équipe devraient mettre en pratique les politiques et les procédures en place. Les raccourcis sont attrayants, mais ils peuvent rendre la campagne vulnérable. Faites en sorte que les membres de l’équipe soient à l’aise d’admettre leurs erreurs pouvant avoir une incidence sur la sécurité. Il est préférable qu’ils soulèvent les éventuels problèmes de cybersécurité sur‑le‑champ pour que vous puissiez les régler avant qu’ils ne compromettent la campagne. Ils doivent aussi signaler tout ce qu’ils trouvent suspect.

Enfin, faites suivre des formations de cybersécurité à tous les membres de l’équipe. Ils doivent connaître les conséquences de la réutilisation d’un mot de passe, du clic sur un lien inconnu ou de la connexion à un réseau sans fil gratuit. Pendant la formation, présentez leur des scénarios précis et faites part des mesures à prendre en cas d’ennuis.

5e étape : L’élimination et l’archivage

Les trois premières étapes, qui consistaient à vous faire prendre conscience des données et des technologies avec lesquelles vous allez travailler tout au long de la campagne, mènent à la dernière étape : après la campagne, que faire avec les documents créés et les appareils utilisés? La cinquième étape est relativement simple si vous savez à quoi vous avez affaire, d’où l’importance des trois premières étapes.

Sur le plan de la cybersécurité, le nettoyage après la campagne est aussi important que le début de la campagne. L’abandon de documents dans un nuage ou un serveur de réseau risque de nuire à la réputation de la campagne et du candidat. Dans le même ordre d’idée, les documents laissés dans un ordinateur portable risquent d’être consultés par des personnes n’ayant pas les autorisations nécessaires, selon l’endroit où l’appareil se retrouvera après la campagne. En procédant à l’élimination, ou à l’archivage de vos données, vous savez qui en a le contrôle et éliminez ainsi les risques qui pèsent sur vous.

Pour déterminer ce que vous devez conserver ou détruire, vous devez tenir compte de certains éléments. Votre parti ou votre bureau de circonscription a peut-être des consignes concernant la conservation de l’information, et les responsables des élections, comme Élections Canada, exigent que certains types d’information lui soient soumis. Des contraintes juridiques vous obligent aussi peut-être à conserver ou à éliminer certaines informations. Les exigences diffèrent selon l’ordre de gouvernement que visaient les élections (municipal, provincial/territorial, fédéral).

Enfin, prévoyez les données dont vous ou votre parti aurez besoin pour les prochaines élections. Cela ne semble peut‑être pas poser problème à la fin d’une campagne, mais il suffit de prendre quelques mesures de planification pour que l’information et les données protégées soient à votre disposition au moment où vous vous relancerez dans le processus démocratique.

Les mesures à prendre en cas de problème

Perte de contrôle des comptes de médias sociaux

La compromission d’un compte de média social peut avoir des effets dévastateurs. Si cela vous arrive, prenez les mesures suivantes : passer à l’action, évaluer et atténuer les dommages et prendre les mesures de protection appropriées.

Si vous devez récupérer l’accès à un média social, sachez que les auteurs de menaces se servent souvent des mécanismes de récupération pour accéder à un compte. Tout compte secondaire devant servir à la récupération, comme un compte de courriel, doit être protégé par un mot de passe unique et par l’authentification multifacteurs. Si la récupération du compte se fait avec des questions personnelles, la réponse aux questions ne doit pas se trouver facilement dans vos comptes de médias sociaux.

Repérer les messages malveillants et savoir quoi en faire

Tous les membres de l’équipe de campagne devraient pouvoir repérer des messages malveillants et savoir quoi en faire lorsqu’ils en reçoivent.

Ressources additionnelles

Pour reprendre possession de comptes de médias sociaux

En cas de compromission d’un compte de média social, suivez les liens ci-dessous.

Facebook

• Compromission de compte :
  Signaler un problème de sécurité lié à votre compte Facebook
• Usurpation d’identité :
  Comment signaler un compte ou une Page Facebook qui se fait passer pour moi ou pour quelqu’un d’autre

Twitter

• Compromission de compte :
  Aide sur les comptes Twitter piratés
  Aide sur les comptes compromis
• Usurpation d’identité :
  Signaler les comptes Twitter usurpant une identité

Instagram

• Compromission de compte :
  Signaler un compte Instagram piraté
• Usurpation d’identité :
  Signaler les comptes Instagram usurpant une identité

YouTube

• Compromission de compte :
  Résoudre un problème de compte YouTube piraté
• Usurpation d’identité :
  Règles concernant l'usurpation d'identité sur YouTube

LinkedIn

• Compromission de compte :
  Signaler un compte LinkedIn compromis
• Usurpation d’identité :
  Signaler des faux profils LinkedIn

Snapchat

• Compromission de compte :
  Mon compte Snapchat a été piraté
  Mon compte Snapchat est bloqué
• Usurpation d’identité :
  Envoyer une demande d’aide à Snapchat