Sélection de la langue

Guide de cybersécurité à l'intention des équipes chargées des campagnes électorales

Introduction : L’importance du présent guide pour la planification de votre campagne

Voici le Guide de cybersécurité à l’intention des équipes chargées des campagnes électorales que le Centre canadien pour la cybersécurité (Centre pour la cybersécurité) a préparé pour aider les équipes de campagne de partout au Canada en vue d’élections fédérales, provinciales, territoriales ou municipales.

En 2017, 2019, puis en 2021, le Centre pour la cybersécurité a prévenu les Canadiens que des acteurs étrangers tenteront vraisemblablement de s’ingérer dans les processus électoraux canadiens en recourant à des systèmes informatiques pour cibler les candidats et leur campagne.

Alors si vous participez à la vie politique ‑ que ce soit en tant que bénévole, que collaborateur rémunéré ou que candidat - vous risquez davantage d’être une cible, surtout à la veille d’élections.

Il suffit de penser à l’information nécessaire à la tenue d’une campagne. Il faut commencer par établir une stratégie et un plan. L’équipe aura aussi accès à des listes de donateurs, de partisans et d’électeurs inscrits ainsi qu’aux résultats des recherches que vous pouvez avoir commandées.

La morale : en tant que membre d’une équipe chargée d’une campagne électorale, vous détenez de l’information stratégique précieuse que d’autres personnes convoitent et que vous devez donc protéger. Les systèmes et les appareils d’information que vous gérez et utilisez dans le cadre de la campagne font partie intégrante du processus électoral. Pour cette raison, vous devez faire de la cybersécurité une de vos priorités, et ce, avant, pendant et après la campagne.

C’est à vous de prendre les décisions relatives aux investissements en matière de cybersécurité en fonction des besoins de la campagne. Toutefois, si vous prenez ces décisions avant que la campagne batte son plein, vous n’aurez pas à vous en soucier lorsque chaque minute comptera et que la pression sera forte.

Dans le Guide de cybersécurité à l’intention des équipes chargées des campagnes électorales, le Centre pour la cybersécurité présente des avis et des conseils pratiques en matière de cybersécurité qui s’appliquent à toutes les campagnes. Votre équipe pourra le consulter pour tout ce qui a trait à la cybersécurité liée au candidat, aux stratégies, aux données et à la technologie. En suivant le Guide, l’équipe sera plus à même de protéger la campagne de toute compromission de cybersécurité et de ce qui s’ensuit.

Le Centre pour la cybersécurité est heureux d’avoir préparé le présent Guide pour vous aider à protéger votre campagne contre les cybermenaces.

Table des matières

Pour débuter, des mesures pratiques pour tous

Voici cinq moyens pratiques à mettre en œuvre dès maintenant avec tous les appareils pour vous aider à planifier vos mesures de cybersécurité et rendre votre campagne plus sécuritaire. Vous trouverez de plus amples informations dans le présent guide ou consultez nos conseils en matière de cybersécurité.

Assurez la sécurité de vos mots de passe

  • Optez pour des phrases de passe uniques et des mots de passe complexes.
  • Ne dévoilez jamais vos mots de passe. N’utilisez pas le même mot de passe pour différents comptes, sites Web ou appareils.
  • Utilisez l’authentification à multifacteur lorsqu’elle est offerte.

Mettez à jour vos appareils mobiles, vos ordinateurs et vos applications

  • Les mises à jour sont essentielles à la sécurité, car elles contiennent les correctifs de sécurité. Ne les ignorez jamais.
  • Assurez-vous d’appliquer les mises à jour non seulement aux systèmes d’exploitation, mais aussi aux applications mobiles. Optez pour les mises à jour automatiques.
  • Conviez tous les membres de l’équipe chargée de votre campagne à une séance de formation obligatoire au cours de laquelle ils devront mettre à jour leurs appareils et les applications qu’ils contiennent.

Sécurisez vos comptes de médias sociaux

  • Activez tous les paramètres de sécurité offerts dans chacun de vos comptes de médias sociaux.
  • Soyez au courant de vos options de délégation des pouvoirs (c.-à-d. la marche à suivre lorsque plusieurs utilisateurs doivent accéder à un même compte).

Soyez à l’affût des messages d’hameçonnage et de harponnage

  • Sachez reconnaître les messages qui sont des tentatives d’hameçonnage ou de harponnage.
  • Méfiez-vous des liens suspects, ne cliquez jamais dessus.
  • Utilisez un antivirus ou un antimaliciel sur vos ordinateurs.

Stockez vos données de façon sécuritaire et sachez comment récupérer les copies de sauvegarde

  • Utilisez uniquement des clés USB neuves et fournies par l’équipe responsable de votre campagne. Utilisez ces clés uniquement pour le travail lié à votre campagne. Ne branchez jamais vos clés USB à un ordinateur suspect.
  • Sécurisez les données stockées dans le nuage ou en ligne en activant toutes les mesures de sécurité à votre disposition. Recourez à des solutions de stockage à accès restreint.
  • Faites des copies de sauvegarde de l’information importante et sachez où elles se trouvent.
  • Exercez-vous au moins une fois à récupérer vos copies de sauvegarde. Vous saurez ainsi quoi faire si jamais vous êtes victime d’une attaque par rançongiciel.
 

1re étape : L’importance de la cybersécurité pour votre campagne

Comme les données dont dispose votre équipe et les technologies qu’elle utilise sont uniques à votre campagne, vous devez savoir ce que vous protégez. Le tableau de planification ci‑ dessous vous guidera dans les prochaines étapes. Mais commençons par la création de trois listes importantes.

Données : Établissez d’abord une liste des données qui seront essentielles à votre équipe pendant la campagne. Courriels? Stratégies? Plans? Listes? Photos? Vidéos? Recherche? Assurez-vous d’énumérer tous les ensembles de données et les documents, car vous devez établir, pour chacun d’eux, les mesures à prendre et les moyens de protection à adopter.

Technologies : Pensez ensuite aux technologies et aux appareils que votre équipe emploiera pendant la campagne. Le candidat aura-t-il son propre appareil? À quels membres de l’équipe va-t-on remettre un téléphone intelligent? Les bénévoles utiliseront-ils leurs propres appareils? Qu’en est-il des ordinateurs portables ou de bureau et des tablettes?

Plateformes : De quelles plateformes de communication votre équipe se servira-t-elle? Votre équipe créera probablement des comptes de courriel qui seront utilisés pendant la campagne. Comme vous allez sans doute recourir aux médias sociaux, énumérez chaque plateforme qui sera utilisée. Si vous comptez employer des applications (de clavardage ou de messagerie, par exemple), incluez-les dans la liste. N’oubliez pas d’énumérer les réseaux de partage de fichiers et les bases de données de vidéos et de photos. Assurez-vous de ne pas en oublier.

Maintenant que vous avez dressé les trois listes, passez à la phase suivante.

Comment votre équipe procédera-t-elle pour communiquer ou conserver les données propres à la campagne? Par exemple, vous n’allez pas dévoiler le budget de la campagne à tous les bénévoles, mais vous allez peut-être permettre à ceux qui s’occupent des communications d’accéder à vos comptes de médias sociaux.

  • Déterminez à quelle information chaque membre de l’équipe de campagne devra avoir accès et faites part de votre décision. Pour protéger convenablement la campagne, vous devez établir clairement les droits d’accès accordés à chacun.
  • Qu’en sera-t-il des éléments qui seront ajoutés aux listes ou qui en seront modifiés en cours de campagne? Quelle nouvelle information ou technologie comptez-vous obtenir ou créer pendant la campagne? Un nouveau discours électoral? De nouvelles vidéos? Des résultats de sondages? Un nouvel ordinateur portable ou un mini-enregistreur? Il sera plus facile de faire des ajouts aux listes si vous les avez déjà prévus. Grâce à l’établissement au préalable des droits d’accès, l’équipe de campagne saura précisément qui peut accéder à la nouvelle information ou technologie.
  • Établissez les politiques et les normes et faites-en part aux personnes intéressées. Par exemple, les bénévoles seront impatients de vous aider, mais vous devez leur expliquer clairement qu’ils ne sont pas autorisés à copier les listes électorales sur leurs appareils, sinon, vous risquez de subir une atteinte de sécurité.
  • Comment procéderez-vous pour sensibiliser les membres de votre équipe à la cybersécurité? Peut‑être connaissent‑ils déjà le message à livrer lorsqu’ils feront du porte-à-porte, mais savent-ils comment procéder pour utiliser une clé USB sur un ordinateur portable dans le bureau de campagne électorale? Savent-ils exactement ce qu’ils doivent faire s’ils reçoivent des courriels contenant des hyperliens?

La mise sur pied de votre équipe de champagne devrait se faire en parallèle à l’établissement d’une culture de cybersécurité. En fixant des attentes claires d’entrée de jeu, vous risquez moins de subir des atteintes de sécurité tout au long de la campagne.

Pour en apprendre davantage sur le contexte des cybermenaces au Canada ou pour avoir une vue d’ensemble des cybermenaces qui vous guettent, consultez le rapport produit par le Centre de la sécurité des télécommunications intitulé Cybermenaces contre le processus démocratique du Canada : Mise à jour de juillet 2021 et sa version, ainsi que l’Évaluation des cybermenaces nationales 2023‑2024, publiée par le Centre canadien pour la cybersécurité à la fin de 2022.

Exemple de tableau de planification

Stratégie électorale

Droits d'accès

  • Candidat
  • Directeur de campagne
  • Agent financier

Stockage

  • Fournisseur de services infonuagiques

Sécurité

  • Créer des listes des droits d’accès pour les personnes figurant dans la colonne « Droits d’accès »

Élimination et archivage

  • Envoyer au bureau de l’association de circonscription
  • Effacer de tout autre lieu de stockage

Plan lié aux médias sociaux

Droits d'accès

  • Candidat
  • Directeur de campagne
  • Directeur des communications
  • Responsable des médias sociaux
  • Bénévoles pour les médias sociaux

Stockage

  • Fichier de réseau
  • Appareil réservé aux communications

Sécurité

  • Créer des listes des droits d’accès pour les personnes figurant dans la colonne « Droits d’accès »

Élimination et archivage

  • Envoyer au bureau de l’association de circonscription
  • Effacer de tout autre appareil

Liste des donateurs

Droits d'accès

  • Candidat
  • Directeur de campagne
  • Coordonnateur des dons
  • Agent financier

Stockage

  • Appareils de la direction de campagne

Sécurité

  • Créer des listes des droits d’accès pour les personnes figurant dans la colonne « Droits d’accès »

Élimination et archivage

  • Envoyer au bureau de l’association de circonscription
  • Effacer de tout autre appareil

Liste des électeurs

Droits d'accès

  • Directeur de campagne
  • Coordonnateur des électeurs

Stockage

  • Fichier de réseau

Sécurité

  • Créer des listes des droits d’accès pour les personnes figurant dans la colonne « Droits d’accès »

Élimination et archivage

  • Retourner à la permanence du parti
  • Détruire les copies locales

Appareils utilisés pour la campagne

Droits d'accès

  • Tels que définis par la direction de campagne

Stockage

  • Avec les bénévoles désignés
  • Dans le bureau de la campagne

Sécurité

  • Contrôler l’accès aux appareils, configurer les paramètres de sécurité et appliquer toutes les mises à jour nécessaires

Élimination et archivage

  • Effacer tout le contenu
  • Nettoyer les appareils

Appareils des bénévoles (mode PAP)

Droits d'accès

  • Bénévoles autorisés par la direction de campagne

Stockage

  • Avec les bénévoles
  • Entreposés ailleurs que dans le bureau de campagne

Sécurité

  • Configurer les paramètres de sécurité et appliquer les mises à jour lors des séances de formation

Élimination et archivage

  • Favoriser l’élimination des documents liés à la campagne
  • Changer les droits d’accès (changer les mots de passe, enlever l’accès aux réseaux, etc.)
 

2e étape : Le stockage des données

Pour protéger vos données et vos documents, vous devez savoir où ils sont stockés. Voici quelques points à considérer à ce sujet.

Il est recommandé d’adopter des mesures de sécurité adaptées à votre tolérance au risque et à votre budget. Vous pouvez retenir les services d’un professionnel ou d’une entreprise de services informatiques pour gérer la mise en place de vos réseaux informatiques, par exemple faire affaire avec un fournisseur de services gérés pour stocker vos données dans un nuage informatique. Il y a au Canada des solutions de stockage infonuagique conçues spécialement pour les campagnes électorales. Cette option est privilégiée. Ces solutions libèrent l’équipe de campagne de certains risques liés à la protection des données qui sont alors transposés à des professionnels. Cela dit, les services infonuagiques ne sont pas tous équivalents. La section intitulée « Services infonuagiques » contient des conseils pour évaluer et choisir les services infonuagiques.

Si vous n’optez pas pour une solution infonuagique, sachez qu’il y a d’autres options qui s’offrent à vous. Vous pouvez par exemple choisir le partage de fichiers sur réseau ou serveur ou sauvegarder tous vos fichiers sur un nombre limité d’appareils. Vous pouvez aussi recourir à la fois au stockage infonuagique et au partage de fichiers locaux. Peu importe la solution que vous choisissez, vous devez appliquer les mêmes principes de cybersécurité pour déterminer les droits d’accès à l’information propre à la campagne et pour protéger cette information.

La façon d’accéder à l’information au moment voulu aura probablement une incidence sur la conduite de votre campagne. Comment l’accès aux documents essentiels à la campagne permettra‑t‑il de satisfaire aux objectifs de la campagne? Comment allez-vous mener vos activités quotidiennes? Devez-vous acheminer chaque jour les derniers messages du parti? Le cas échéant, à qui devez-vous les acheminer? Est-il préférable de les stocker sur un lecteur partagé ou sur un appareil de communication en particulier? Allez-vous communiquer souvent les stratégies actualisées ou vaut-il mieux les stocker dans le nuage?

Enfin, pour pouvoir décider où stocker vos données, vous devez connaître la répartition des responsabilités au sein de l’équipe. La répartition a-t-elle une incidence sur le lieu de stockage des données?

 

Tolérance au risque

Comme il a été mentionné précédemment, les besoins propres à votre campagne sont uniques, tout comme votre tolérance au risque. Si vous connaissez votre niveau de tolérance au risque, il vous sera plus facile de choisir les mesures à prendre pour protéger vos données et votre technologie.

Pour déterminer votre niveau de tolérance, il faut évaluer toutes les possibilités et les résultats envisageables. Quelle information êtes-vous prêt à perdre et laquelle voulez-vous conserver à tout prix? Pour procéder à cette évaluation, vous devriez convoquer les membres de votre équipe à une réunion pour examiner tous les risques qui pourraient planer sur votre sécurité informatique et sur tout autre élément de votre campagne.

Songez aux leçons tirées des campagnes précédentes et tenez compte des changements qui se sont produits depuis, de l’évolution des technologies et des pratiques de communication actuelles.

 

3e étape : La protection des données et de la technologie

La cybersécurité est une affaire de couches, car chaque mesure de cybersécurité que vous prenez ajoute une couche de protection à votre campagne.

Dans les prochaines pages, vous trouverez des outils et des mesures de cybersécurité que vous pouvez appliquer dès maintenant tant dans les bureaux que sur la route, car tout dispositif de technologie peut être une cible attrayante lors d’une campagne. Les conseils sont groupés par sections : appareils; médias sociaux et messagerie; données et réseaux; et espace physique.

Appareils

L’équipe de campagne et le candidat feront certainement grand usage des appareils mobiles, qui sont des cibles attrayantes pour les auteurs de menaces. Ceux-ci se servent d’appareils égarés, volés ou compromis pour accéder sans autorisations à votre réseau et donc compromettre l’information personnelle ou liée au travail. Protégez vos appareils en prenant les mesures décrites ci-dessous.

  • Verrouillez vos appareils mobiles au moyen d’un mot de passe robuste, d’un NIP ou de données biométriques.
  • Appliquez les mises à jour au système d’exploitation et aux applications dès qu’elles sont offertes. Cela vaut aussi pour les applications tierces qui peuvent servir d’intermédiaire vers des comptes de médias sociaux comme Twitter et Facebook. Étant donné que les mises à jour contiennent souvent d’importantes mises à niveau de sécurité, installez‑les dès que vous êtes invité à le faire.
  • Activez un antivirus sur vos appareils (ordinateurs de bureau et portables et appareils mobiles).
  • Ne cochez pas l’option « Mémoriser » qui sauvegarde votre nom d’utilisateur et votre mot de passe sur les sites Web et les applications mobiles.
  • Faites régulièrement des copies de sauvegarde du contenu de votre appareil mobile.
  • Désactivez diverses fonctions (comme la géolocalisation, le Bluetooth ou le Wi-Fi) lorsque vous ne les utilisez pas.
  • Évitez de connecter vos appareils à des réseaux sans fil non protégés ou gratuits. Abonnez-vous plutôt à un forfait de données auprès d’un fournisseur de bonne réputation.
  • Chargez votre appareil dans une prise d’alimentation électrique ou au moyen d’un chargeur portatif plutôt que dans la prise USB d’un ordinateur ou d’une station de charge gratuite. Il est déconseillé d’utiliser les stations de charge par prise USB non fiables, car elles peuvent servir à transmettre de l’information à l’appareil branché ou à lui en soutirer.
  • Si vous croyez que votre appareil a été compromis, ne le branchez pas à votre ordinateur ou à tout ordinateur en réseau, surtout si vous ne voulez que le charger. Le fait de brancher un appareil compromis peut infecter tout le réseau. Si vous croyez que votre appareil a été compromis, demandez à un membre de l’équipe ou à un professionnel des TI de l’examiner.
  • Ne laissez pas un appareil sans surveillance dans un lieu public.
  • Empêchez d’autres personnes - même vos proches - de se servir de vos appareils mobiles.
  • Évitez le débridage (modification du téléphone pour y installer un logiciel non autorisé) ou la désactivation des mesures de sécurité imposées par le fabricant de votre appareil.
  • N’installez pas d’applications sur vos appareils de travail sans connaître les politiques pertinentes de la campagne.
  • Examinez les politiques de confidentialité et les exigences d’accès (p. ex., accès à l’appareil-photo, au micro, au calendrier et à la géolocalisation) des applications approuvées avant de les installer sur un appareil mobile.
  • Soyez conscient de ce qui se passe autour de vous lorsque vous utilisez un appareil, surtout lorsque vous entrez des mots de passe ou partagez de l’information sensible.
  • Soyez aux aguets des comportements étranges de l’appareil (p. ex., pile rapidement à plat, textos ou courriels étranges), car ils peuvent être un signe de compromission.

Mots et phrases de passe

Les mots de passe contrôlent l’accès aux appareils mobiles ainsi qu’aux comptes de médias sociaux et de courriel. S’ils sont faibles ou compromis, ils peuvent mener au vol de données liées à la campagne. Il est recommandé d’opter pour des phrases de passe, plus longues que les mots de passe et plus faciles à mémoriser. Toutefois, les sites Web, les applications et les services sont tous différents et vous devrez respecter leurs règlements respectifs pour la création de mot de passe. Si vous pouvez choisir une phrase de passe, faites-le. Sinon, sélectionnez un mot de passe robuste.

Phrase de passe

Une phrase composée de mots aléatoires ou d’une autre forme de texte. Utilisez une phrase de passe lorsque possible.
(p. ex., « commodelampechambretoile »)

Mot de passe

Une série de caractères utilisée pour accéder à des données sensibles ou à un appareil.
(p. ex., « Ljjascjp#27! »)

Code de verrouillage

Un code court composé de nombres.
(p. ex., « 385462 »)

Tenez compte des éléments suivants lorsque vous choisissez un mot ou une phrase de passe :

  • Évitez les expressions populaires, les titres ou paroles de chansons, les titres de films, les citations, etc. Choisissez des mots aléatoires.
  • Prenez des mots de différentes langues.
  • Ne changez vos mots ou vos phrases de passe que lorsque vous avez une bonne raison de le faire (p. ex., lors d’une compromission présumée ou connue).
  • N’utilisez pas vos mots ou vos phrases de passe pour différents comptes ou appareils.
  • Lorsque vous changez un mot ou une phrase de passe, ne faites pas que remplacer le chiffre à la fin par un autre (p. ex., fauxmaisonlivrerapide1 à fauxmaisonlivrerapide2).

Pour les phrases de passe :

  • Choisissez quatre mots au hasard pour composer une phrase d’au moins 15 lettres minuscules.
  • Appliquez une technique d’association qui consiste à scruter une salle et à y énumérer des choses qu’on y voit, par exemple, « commode lampe chambre toile ».
  • Évitez de choisir le nom de vos enfants ou des membres de votre équipe sportive préférée. Un auteur de menace pourrait facilement les deviner en étudiant vos comptes de médias sociaux.

Pour les mots de passe :

  • Créez des mots de passe complexes composés d’au moins 12 caractères (si les règles en vigueur le permettent).
  • Composez des mots de passe complexes à partir d’une phrase dont vous allez vous souvenir (p. ex., la phrase « Lorsque je jouais au soccer compétitif, je portais le numéro 27! » peut servir à se souvenir du mot de passe « Ljjascjp#27! »).
  • Évitez les mots de passe simples comme « Motdepasse01 ». Ne remplacez pas des lettres par des chiffres ou des symboles (p. ex., M0tdepa$$e01).

Pour les codes de verrouillage :

  • N’utilisez les codes de verrouillage que lorsque cela est nécessaire, sinon, optez pour les phrases ou les mots de passe.
  • Si possible, utilisez des NIP générés au hasard.
  • Évitez les combinaisons faciles à deviner. (p. ex., 1111, votre date d’anniversaire, votre numéro de téléphone).

Authentification multifacteur

L’authentification multifacteur emploie une combinaison des facteurs suivants pour authentifier un utilisateur :

  • Quelque chose que vous connaissez : Il s’agit généralement de votre phrase de passe, de votre mot de passe ou de votre NIP. Comme il est facile de compromettre ce facteur, il est fortement recommandé d’en ajouter un autre si cela s’avère possible;
  • Quelque chose que vous avez : Il peut s’agir d’un jeton matériel, comme une clé USB ou une carte d’accès, ou encore d’un jeton logiciel, comme un logiciel d’authentification;
  • Quelque chose qui vous caractérise : Ce facteur repose sur une caractéristique biométrique unique comme la lecture rétinienne, des empreintes digitales ou de l’iris.

Comme l’hameçonnage et le vol de mots de passe sont très répandus, de nombreux services, dont la plupart des plateformes de médias sociaux, offrent l’option de l’authentification multifacteur.

Il est fortement recommandé d’appliquer l’authentification à multifacteur pour ces plateformes, surtout pour les comptes publics bien connus. Vérifiez auprès du fournisseur de services pour savoir comment activer l’authentification multifacteur.

Il en va de même pour toute infrastructure du bureau de campagne qui permet peut‑être d’accéder à distance à des réseaux privés virtuels ou à des services de courriel qui contiennent du matériel de campagne de nature délicate ou qui y donnent accès. En effet, il est préférable de protéger convenablement tout système qui contient de l’information de nature délicate au moyen d’une solution d’authentification multifacteur plutôt que d’un simple mot de passe. Certaines solutions sont plus efficaces que d’autres, mais elles amélioreront toutes votre posture de cybersécurité.

Chiffrement

Le chiffrement convertit l’information lisible en texte chiffré illisible pour en dissimuler le contenu et empêcher l’accès non autorisé. Le chiffrement peut se produire lorsque les données sont en transit (comme dans le cas du trafic Web HTTPS) ou inactives (comme le contenu du disque dur d’un téléphone ou d’un ordinateur portable ou de bureau). Le chiffrement est le mécanisme clé pour assurer la sécurité et la confidentialité de l’information liée à la campagne qui transite sur l’internet. Il s’agit aussi d’une des principales façons de protéger le contenu des appareils qui pourraient être égarés ou volés.

La plupart des appareils actuels offrent l’option de chiffrer les données. Il est conseillé d’activer l’option de chiffrement lorsque possible. Par exemple, sur la plupart des appareils mobiles, l’instauration d’un code de verrouillage chiffre les données de l’appareil. Consultez un professionnel de la sécurité informatique pour déterminer si vous devriez chiffrer vos cartes mémoires, vos clés USB, vos sites Web et tout autre dispositif utilisé pour stocker ou transmettre de l’information liée à la campagne.

Capuchon d'appareil-photo

Si vous autorisez une application à accéder à l’appareil-photo et au microphone de votre appareil mobile et qu’un auteur de menace accède à l’application en question, il peut alors utiliser les lentilles avant et arrière de l’appareil-photo, vous enregistrer dès que l’application est ouverte, prendre des photos et des vidéos sans autorisations et les verser en ligne instantanément et même diffuser en ligne les images captées par l’appareil‑photo en direct.

  • Songez à vous procurer un capuchon pour couvrir les lentilles de l’appareil‑photo de votre téléphone et à refuser l’accès de l’application à l’appareil-photo. Le capuchon est un petit mécanisme qui se place par-dessus les lentilles de l’appareil‑photo. Ces capuchons sont en vente dans les boutiques d’électronique et permettent d’utiliser l’appareil‑photo plus facilement que si les lentilles sont couvertes de ruban ou autre.

Mesures de sécurité ‑ Approche prenez vos appareils personnels (PAP)

Si les employés et les bénévoles peuvent se servir de leurs appareils personnels pour mener des activités officielles liées à la campagne, ils pourraient partir en ayant de l’information sensible de stocker sur leurs appareils. Ils n’ont peut-être pas installé les dernières mises à jour de logiciel et de sécurité sur leurs appareils personnels, ce qui augmente la vulnérabilité de l’information sensible. De plus, les appareils ne chiffrent pas nécessairement l’information sensible. Tous les utilisateurs d’un appareil personnel doivent appliquer les mesures suivantes :

  • Suivre les politiques relatives à l’approche PAP pour adopter les comportements attendus et gérer les risques connexes.
  • Assister à la formation en cybersécurité offerte par les responsables de la campagne. Ces derniers devraient profiter de ces séances pour demander à tous les membres de l’équipe de prendre les dernières mesures de cybersécurité.
  • Demander aux membres de l’équipe d’installer un antivirus sur leurs appareils (si ce n’est pas déjà fait).

Menaces téléphoniques

La plupart des téléphones mobiles et filaires ne sont pas protégés. Ils sont susceptibles aux intrusions et peuvent être surveillés par des auteurs de menaces au moyen de dispositifs d’interception de communications qui simulent les tours cellulaires. Idéalement, les conversations de nature sensible devraient avoir lieu à des endroits privés, à l’écart de tout appareil électronique. Si cela n’est pas possible, gardez en tête que vos communications téléphoniques ne sont pas nécessairement protégées.

Si votre équipe participe régulièrement à des téléconférences, soit à titre d’organisateur ou d’invité, songez à changer le numéro d’identification de la conférence sur une base prédéterminée. Décidez à qui les numéros d’appel doivent être envoyés et comment leur en faire part.

Vulnérabilités du Bluetooth

Les auteurs de menaces peuvent exploiter des vulnérabilités du Bluetooth pour dérober votre information. Ils peuvent profiter du Bluetooth pour prendre le contrôle de vos appareils.

Attaques connues menées par l'entremise du Bluetooth
  • Intrusion Bluetooth (bluejacking)— Un auteur de menace envoie un message non sollicité aux appareils mobiles compatibles Bluetooth. Si vous répondez au message ou que vous ajoutez l’expéditeur à votre liste de contacts, l’auteur de menace pourra se connecter à votre appareil, car vous venez de l’établir comme contact connu, et le contrôler à distance.
  • Détournement Bluetooth (bluebugging)— Un auteur de menace se fait passer pour un dispositif auquel vous voulez vous connecter (comme des écouteurs). Vous ne vous rendrez peut-être pas compte que vous venez de vous connecter à un faux dispositif. Une fois connecté, ce faux dispositif aura accès à votre appareil et à vos données tant qu’il restera dans la liste de vos appareils jumelés.
  • Logiciel Car Whisperer— Ce logiciel permet à un auteur de menace d’utiliser l’adaptateur mains libres de votre véhicule pour envoyer ou recevoir des transmissions audios. Les auteurs de menaces qui exploitent cette vulnérabilité pourraient alors écouter vos conversations par l’entremise du microphone de la voiture.
  • Crackle— Un auteur de menace exploite les failles dans le processus de jumelage pour récupérer des clés et ainsi accéder à vos appareils.
  • GATTack— Un auteur de menace lance une attaque de l’intercepteur (MITM pour Man-In-The-Middle), ce qui lui permet de s’interposer clandestinement dans les communications entre l’expéditeur et le destinataire et même de modifier ces communications, dans le but d’intercepter, de cloner, de bloquer ou de modifier des messages.

La technologie Bluetooth continue d’évoluer. Les nouvelles versions Bluetooth font augmenter la portée de connexion et la vitesse de transmission, ce qui facilite le transfert de données. Même si la technologie ne cesse de changer, vous pouvez protéger vos données et vos dispositifs en prenant quelques mesures simples :

  • Désactivez la fonction Bluetooth lorsque vous ne l’utilisez pas. Sur de nombreux appareils, pour accéder à la fonction d’activation et de désactivation du Bluetooth, il suffit de balayer vers le bas à partir de l’écran d’accueil.
  • Désactivez le mode découverte lorsque vous n’avez pas besoin de connecter des dispositifs.
  • Évitez de jumeler des dispositifs dans des lieux publics.
  • Ne jumelez vos dispositifs qu’avec des appareils de confiance que vous connaissez.
  • Ne transmettez jamais des données sensibles par l’intermédiaire de connexions Bluetooth.
  • Évitez de taper de l’information sensible ou des mots de passe sur un clavier Bluetooth.
  • Retirez les dispositifs perdus ou volés de votre liste d’appareils jumelés.
  • Supprimez toutes les données et tous les dispositifs stockés dans la mémoire des systèmes Bluetooth de voitures.
Boîte vocale

Les auteurs de menaces peuvent accéder à votre boîte vocale et ainsi compromettre votre campagne. Les boîtes vocales ne sont souvent protégées que par des NIP à quatre chiffres, faciles à deviner ou à percer. Ne conservez pas le NIP attribué par défaut et changez-le régulièrement. Si possible, optez pour un NIP plus long pour avoir une meilleure protection.


Médias sociaux et messagerie

Les activités menées sur les comptes de médias sociaux de votre équipe de campagne ont une incidence sur votre image publique. Un auteur de menace qui parvient à accéder à vos comptes peut diffuser de l’information sensible ou fausse qui discréditera le candidat ou le mettra dans l’embarras et qui mettra votre campagne en péril.

  • Choisissez des mots de passe robustes et uniques pour tous les comptes de médias sociaux pour éviter que tous vos comptes soient compromis d’un seul coup.
  • Lorsque possible, appliquez l’authentification multifacteur.
  • Limitez l’accès aux plateformes de médias sociaux. Autorisez seulement un petit nombre d’employés à publier ou à modifier du contenu dans les médias sociaux.
  • Informez-vous des choix de délégation des pouvoirs et d’approbation du contenu (c.-à-d. la marche à suivre lorsque plusieurs utilisateurs doivent accéder à un compte).

Applications de messagerie instantanée et de messagerie texte

Les applications de messagerie instantanée et de clavardage sont très utiles pour communiquer rapidement. Nombreuses sont celles qui offrent diverses caractéristiques comme le chiffrement de bout en bout pour protéger les conversations, la messagerie éphémère et la confirmation de l’identité pour assurer la confidentialité. Sachez toutefois que les conversations soi-disant privées peuvent tout de même être exposées et que l’exposition ne vient pas nécessairement de la compromission de l’application ou des systèmes. Même si des mesures de sécurité ont été appliquées à l’appareil et que l’application chiffre les communications, un destinataire indigne de confiance peut faire une capture d’écran de la conversation et la publier en ligne. Avant d’envoyer un message, prenez un instant pour réfléchir à son contenu sensible, peu importe les mesures de sécurité appliquées à votre appareil.

Piratage psychologique

Il ne faut jamais oublier que la cybersécurité comporte une dimension humaine qui pourrait compromettre votre campagne ou vous‑même, et ce, même si vous avez pris toutes les mesures techniques pour protéger vos réseaux et vos appareils.

Le piratage psychologique repose sur la capacité d’un auteur de menace à exploiter l’utilisation de la technologie. Plutôt que de prendre des moyens techniques pour s’introduire dans un système ou un compte, l’auteur de menace va tenter de manipuler une cible. Par exemple, il peut prétendre avoir un lien légitime avec vous en se faisant passer pour un électeur de votre circonscription, un donateur éventuel ou un journaliste. Il peut vous demander, à des fins malveillantes, de lui fournir de l’information (p. ex., des numéros de téléphone ou de l’information sur des comptes), d’ouvrir des pièces jointes dans des courriels ou de visiter certains sites Web.

Le taux de succès du piratage psychologique est élevé.

  • Méfiez-vous des personnes qui vous appellent, vous rendent visite ou vous envoient des courriels pour obtenir de l’information sur vous et vos connaissances et pour s’enquérir sur ce que vous savez.
  • Confirmez toujours l’identité d’une personne avant de lui fournir de l’information en ligne. Par exemple, si une personne prétend appartenir à un organisme communautaire ou à un média, demandez-lui de vous présenter une pièce d’identité officielle.
  • Ne cliquez jamais sur un hyperlien. Accédez plutôt à une page Web à partir de votre navigateur.

Maliciel

Un maliciel est conçu pour infiltrer ou endommager un système informatique à l’insu du propriétaire. Il peut provenir d’un logiciel, d’une pièce jointe d’un courriel, du contenu téléchargé sur un site Web, d’un hyperlien dans un texte ou du contenu multimédia infecté transmis entre utilisateurs.

Messages malveillants (y compris les courriels)

Le courriel est peut‑être votre principal mode de communication et est donc, par conséquent, une cible très attrayante pour les auteurs de menaces. Sachez que les courriels malveillants, comme les pourriels et les courriels d’hameçonnage et de harponnage, pourraient vous compromettre et compromettre vos appareils et votre information. Les messages malveillants peuvent aussi provenir de textos et d’applications.

Vous allez probablement recevoir des messages, particulièrement par courriel, d’organismes et de membres du public que vous ne connaissez pas ou avec qui vous n’avez jamais travaillé. L’équipe de campagne doit donc pouvoir distinguer les messages légitimes de ceux qui sont malveillants. À première vue, les messages malveillants peuvent sembler légitimes.

Il est recommandé de communiquer avec votre fournisseur de service de courriel pour recourir à l’authentification des messages fondée sur le domaine, rapports et conformité (en anglais Domain-based Message Authentication, Reporting & Conformance [DMARC]). Par exemple, un service DMARC vous indique si un courriel reçu de l’Agence du revenu du Canada (ARC) provient réellement d’un compte de courriel de l’ARC. En effet, il vérifie la légitimité du domaine de l’expéditeur.

Pourriels

Les pourriels désignent tous les messages électroniques non sollicités. Ils véhiculent souvent des arnaques et du contenu offensant et peuvent contenir des liens malveillants vers un site Web faux ou dangereux qui dissimule des maliciels ou demande de l’information sensible (p. ex., des mots de passe). Les pourriels peuvent aussi contenir des pièces jointes malveillantes qui pourraient infecter vos appareils au moyen d’un maliciel.

Hameçonnage et harponnage

Les messages d’hameçonnage ciblent un groupe de personnes en simulant un message légitime envoyé par un expéditeur de confiance, comme un courriel ou un texto provenant de votre parti politique ou d’un groupe communautaire de votre circonscription. Ils peuvent être porteurs de bonnes nouvelles (p. ex., une personne contribue financièrement à votre campagne) ou véhiculer une menace (p. ex., une personne détient de l’information sur vous qu’elle va dévoiler aux médias). Dans les deux cas, l’objectif est d’inciter les destinataires à divulguer de l’information personnelle ou à ouvrir des pièces jointes ou des hyperliens malveillants.

Les messages de harponnage ressemblent à ceux d’hameçonnage, mais ils ciblent une personne en particulier en fonction de son domaine de travail, de ses intérêts ou de ses traits de caractère. Comme vous contribuez ouvertement à une campagne, les auteurs de menaces peuvent facilement recueillir de l’information sur vous pour concevoir un message de harponnage personnalisé.

Les messages d’hameçonnage et de harponnage ciblent des gens comme vous. À première vue, ces messages semblent tout à fait légitimes : ils affichent de vrais logos ou sont conçus avec des couleurs, des modèles de documents et des polices de caractères que l’on reconnaît facilement. L’hameçonnage par courriel est la méthode privilégiée par les auteurs de menaces pour propager un rançongiciel ou un maliciel.

La section « Repérer les messages malveillants et savoir quoi en faire  » contient des conseils sur les façons de repérer et de traiter les messages malveillants

 

Rançongiciel

Le rançongiciel est un type de maliciel utilisé par un auteur de menace pour empêcher un utilisateur d’accéder à ses systèmes ou à ses données jusqu’à ce qu’il lui verse la somme d’argent demandée. Même si la victime verse la rançon, l’auteur de menace peut continuer de lui soutirer plus d’argent. Il est déconseillé aux victimes de payer la rançon, mais la décision doit être fondée sur l’évaluation de sa tolérance au risque.


Données et réseaux

Services infonuagiques

Les services infonuagiques offrent divers services qui pourraient rendre votre équipe de campagne plus productive, entre autres des services de logiciel, de stockage de dossiers, de courriel et d’accès à distance à des documents. Il est recommandé à l’équipe de campagne de consulter un fournisseur de services infonuagiques pour mettre en place les réseaux de TI qui répondront à ses besoins.

Choisissez un fournisseur de bonne réputation. Pour le choisir, consultez des commentaires de clients et obtenez des recommandations.

  • Demandez à votre fournisseur où sont stockées physiquement vos données et vos copies de sauvegarde. Les fournisseurs se servent souvent d’installations situées à l’extérieur du Canada qui sont donc assujetties aux lois du pays hôte et qui pourraient tomber entre les mains des services de sécurité de ce pays.
  • Assurez-vous que votre fournisseur a recours aux mesures suivantes : protection contre les maliciels, application de correctifs, chiffrement et alimentation redondante (de réserve).
  • Chiffrez les dossiers de nature délicate stockés dans un nuage. Plusieurs fournisseurs de services infonuagiques offrent le chiffrement de fichiers par défaut.

Réseaux sans fil dans le bureau de campagne

Si vous décidez d’installer un réseau sans fil dans le bureau de campagne, renforcez-le en prenant les mesures techniques suivantes.

  • Changez le nom par défaut du réseau sans fil et le mot de passe d’accès au routeur sur le routeur réseau. Le nom de réseau est aussi appelé identifiant SSID (SSID, de l’anglais Service Set Identifier). Vous pouvez habituellement le changer en ligne en suivant les instructions du fabricant du routeur.
  • Installez un pare-feu logiciel ou matériel sur votre réseau et vos appareils (p. ex., un pare-feu logiciel sur les ordinateurs portables).
  • Appliquez l’accès protégé Wi-Fi 2 (WPA2-Enterprise) à votre routeur sans fil.
  • Créez un point d’accès Wi-Fi pour les invités pour qu’ils ne puissent accéder à l’information sensible. Il y a deux façons de créer un point d’accès Wi-Fi :
    • Communiquez avec votre fournisseur de services pour obtenir une ligne de données distincte. Il s’agit de la solution privilégiée, car les deux réseaux (des invités et de la campagne) sont totalement séparés.
    • Utilisez un routeur qui a un réseau d’invités séparé. Cette solution nécessite un entretien régulier et n’élimine pas complètement la menace de compromission à partir du compte des invités.
  • Veillez à ce que le micrologiciel du routeur soit à jour.
  • Optez pour du matériel pris en charge par le fournisseur et appliquez toutes les mises à jour de sécurité.
  • Mettez en place un réseau privé virtuel (RPV) pour que les employés puissent accéder à distance aux réseaux et aux systèmes de la campagne.

Réseaux sans fil à l'extérieur du bureau de campagne

Donnez comme consigne à vos employés et à vos bénévoles de ne pas se connecter à des réseaux sans fil non protégés ou gratuits.

Les réseaux sans fil non protégés ou gratuits sont commodes, mais ils facilitent la tâche de ceux qui auraient l’intention d’épier vos communications (p. ex., intercepter vos communications ou vos données). Par exemple, même si le café du coin donne un mot de passe commun à ses clients pour le réseau sans fil, celui-ci n’est pas protégé pour autant. Il est très difficile de protéger les téléphones et les divers appareils lorsqu’ils sont connectés à un point d’accès sans fil non protégé ou gratuit. Des auteurs de menaces peuvent insérer des maliciels dans une fausse page Web créée sur le réseau local qui incite les utilisateurs à s’inscrire pour pouvoir se brancher au réseau sans fil gratuit. Le maliciel se propagera alors facilement et les auteurs de menaces obtiendront le contrôle complet de l’appareil, même si le réseau est muni d’un mot de passe.

  • Veillez à ce que tous les employés et les bénévoles aient un forfait de données offert par un fournisseur de bonne réputation et qu’ils s’en servent, surtout pour le travail de nature délicate. Ils ne doivent pas se connecter à des réseaux sans fil non protégés ou gratuits.
  • Sur vos appareils, désactivez la fonction de connexion automatique aux réseaux sans fil.
  • Les appareils ayant été connectés à des réseaux sans fil non protégés ou gratuits ne doivent pas être branchés à des ressources de TI sensibles utilisées dans le cadre de la campagne. Ne permettez donc pas aux employés et aux bénévoles de procéder ainsi. Ils doivent utiliser des appareils distincts qui n’ont pas été connectés à un réseau non protégé ou gratuit.

Si un employé ou un bénévole est contraint de connecter un appareil personnel ou de campagne à un réseau sans fil non protégé ou gratuit, il doit à tout prix éviter de taper de l’information sensible alors qu’il est branché au réseau. Par information sensible, on entend notamment les mots de passe pour les comptes de médias sociaux et les justificatifs d’accès pour des sites spéciaux.

Pour diminuer les risques liés à l’utilisation d’un réseau sans fil non protégé ou gratuit, vous pouvez recourir aux RPV ou aux services antimaliciels de la campagne. Un RPV est un réseau de communication privée créé par l’entremise d’un réseau partagé ou public moins protégé. Certains organismes se servent d’un RPV en tant que réseau fermé et restreint et n’autorisent l’accès qu’aux utilisateurs autorisés. Les communications par RPV sont habituellement chiffrées ou codées pour empêcher les personnes non autorisées à accéder aux données transmises sur le réseau public. Malgré tout, il est possible que les appareils connectés au RPV et les données transmises sur celui-ci soient compromis.

Pour créer ou utiliser un RPV, optez pour un dispositif RPV commercial ou un produit infonuagique installé à cette fin sur votre réseau. Sachez toutefois que certains « services RPV » commerciaux ne font que masquer les identités pour augmenter la confidentialité, mais n’améliore en rien la sécurité des données.

Copies de sauvegarde et récupération des données

Vous devriez avoir un plan pour vous relever après avoir été victime de cyberattaques (p. ex., rançongiciel, déni de service, dégradation de sites Web). Conservez des copies de sauvegarde de votre information pour vous remettre d’une attaque ou de la perte d’un appareil égaré ou volé.

Les deux premières étapes du présent guide devraient vous avoir aidé à repérer l’information et les données essentielles à votre campagne. Un fournisseur de services informatiques ou infonuagiques peut vous donner un coup de main pour assurer la sauvegarde régulière de l’information désignée et la récupération rapide de celle-ci au besoin.

Supports de stockage de données portatifs

Vous pouvez sauvegarder des copies de vos fichiers sur des supports de stockage de données portatifs, comme des clés USB, pour pouvoir travailler de n’importe où. Toutefois, à défaut de protéger convenablement vos supports et votre information, un auteur de menace pourrait y accéder et copier l’information.

  • Utilisez uniquement des clés USB neuves et fournies par l’équipe chargée de votre campagne.
  • Réservez l’usage des clés USB au travail lié à la campagne. Évitez d’utiliser une clé USB de la campagne sur un appareil personnel, car les maliciels peuvent se transmettre d’un appareil à un autre.
  • Ne branchez pas de clés USB de fiabilité inconnue dans vos appareils, car elles pourraient contenir des maliciels préinstallés.
  • Signalez à l’équipe de campagne la perte ou le vol d’un support.
  • Songez à chiffrer le contenu de vos supports.

Une clé USB de fiabilité inconnue peut s’entendre d’une clé que vous avez reçue à une conférence ou que quelqu’un vous a remise. Souvenez‑vous : s’il ne s’agit pas d’une clé neuve achetée par l’équipe de campagne, vous devez soit la jeter, soit la faire analyser pour des virus et des maliciels.


Espaces physiques

Les bénévoles et les employés n’ont pas tous besoin d’un accès égal au bureau et aux appareils. Déterminez qui doit avoir accès au matériel et aux installations. Comme le vol et l’altération du matériel sont une source de préoccupation en ce qui a trait à la cybersécurité, vous devriez tenir compte des mesures de sécurité suivantes :

  • Déterminez qui doit avoir accès aux serveurs, aux ordinateurs portables et au matériel de téléconférence.
  • Veillez à ce qu’un nombre limité de personnes connaissent les combinaisons des cadenas utilisés pour la campagne.
  • Gardez une liste des personnes qui ont besoin d’une clé du bureau et qui en ont une en leur possession et déterminez qui est responsable de verrouiller à la fin de la journée.
  • Trouvez une façon de verrouiller le matériel ou de le placer en lieu sûr pour éviter qu’il ne disparaisse.

Définissez des zones où il est interdit d’apporter des appareils électroniques pour y tenir des discussions privées. En effet, le micro ou la caméra d’un appareil compromis peut être activé à distance à l’insu du propriétaire. La seule façon d’assurer la confidentialité d’une discussion est de tenir tout appareil à l’écart.

 

4e étape : La prestation de formation en cybersécurité

La plupart des gens qui contribuent à votre campagne seront à l’aise avec la technologie, mais ne connaîtront probablement pas autant la cybersécurité et les répercussions de l’utilisation de leurs appareils sur la campagne.

La mise en place des meilleurs outils et mesures de cybersécurité n’enrayent pas entièrement les atteintes à la sécurité qui sont souvent attribuables au maillon faible du processus : les utilisateurs. Il est tout à fait naturel qu’un document ou un lien suscite de la curiosité, mais le fait de suivre le lien ou d’ouvrir le document peut causer une compromission.

Maintenant que vous avez une bonne idée du type de données et de technologies auxquelles vous avez affaire, vous devez voir à ce que tous les membres de votre équipe suivent une formation de sensibilisation à la cybersécurité. Ne sous‑estimez surtout pas les bienfaits d’une formation adéquate.

Premièrement, établissez le besoin de connaître des bénévoles. En ayant une idée précise du rôle confié à chaque personne ou à chaque groupe, vous pourrez déterminer leur droit d’accès aux différents appareils. Chaque membre de l’équipe doit connaître les attentes à son égard.

Ensuite, servez-vous du présent guide pour établir les politiques et les procédures relatives aux données et aux technologies liées à la campagne. Si les chefs d’équipe seront les seuls à pouvoir accéder aux dossiers ou si seulement quelques personnes pourront sauvegarder ou modifier des documents, faites-le savoir clairement.

Une culture de cybersécurité peut contribuer à la sécurité de la campagne. En effet, les membres de l’équipe devraient mettre en pratique les politiques et les procédures en place. Les raccourcis sont attrayants, mais ils peuvent rendre la campagne vulnérable. Faites en sorte que les membres de l’équipe soient à l’aise d’admettre leurs erreurs pouvant avoir une incidence sur la sécurité. Il est préférable qu’ils soulèvent les éventuels problèmes de cybersécurité sur‑le‑champ pour que vous puissiez les régler avant qu’ils ne compromettent la campagne. Ils doivent aussi signaler tout ce qu’ils trouvent suspect.

Enfin, faites suivre des formations de cybersécurité à tous les membres de l’équipe. Ils doivent connaître les conséquences de la réutilisation d’un mot de passe, du clic sur un lien inconnu ou de la connexion à un réseau sans fil gratuit. Pendant la formation, présentez leur des scénarios précis et faites part des mesures à prendre en cas d’ennuis.

5e étape : L’élimination et l’archivage

Les trois premières étapes, qui consistaient à vous faire prendre conscience des données et des technologies avec lesquelles vous allez travailler tout au long de la campagne, mènent à la dernière étape : après la campagne, que faire avec les documents créés et les appareils utilisés? La cinquième étape est relativement simple si vous savez à quoi vous avez affaire, d’où l’importance des trois premières étapes.

Sur le plan de la cybersécurité, le nettoyage après la campagne est aussi important que le début de la campagne. L’abandon de documents dans un nuage ou un serveur de réseau risque de nuire à la réputation de la campagne et du candidat. Dans le même ordre d’idée, les documents laissés dans un ordinateur portable risquent d’être consultés par des personnes n’ayant pas les autorisations nécessaires, selon l’endroit où l’appareil se retrouvera après la campagne. En procédant à l’élimination, ou à l’archivage de vos données, vous savez qui en a le contrôle et éliminez ainsi les risques qui pèsent sur vous.

Pour déterminer ce que vous devez conserver ou détruire, vous devez tenir compte de certains éléments. Votre parti ou votre bureau de circonscription a peut-être des consignes concernant la conservation de l’information, et les responsables des élections, comme Élections Canada, exigent que certains types d’information lui soient soumis. Des contraintes juridiques vous obligent aussi peut-être à conserver ou à éliminer certaines informations. Les exigences diffèrent selon l’ordre de gouvernement que visaient les élections (municipal, provincial/territorial, fédéral).

Enfin, prévoyez les données dont vous ou votre parti aurez besoin pour les prochaines élections. Cela ne semble peut‑être pas poser problème à la fin d’une campagne, mais il suffit de prendre quelques mesures de planification pour que l’information et les données protégées soient à votre disposition au moment où vous vous relancerez dans le processus démocratique.

 

Les mesures à prendre en cas de problème

Perte de contrôle des comptes de médias sociaux

La compromission d’un compte de média social peut avoir des effets dévastateurs. Si cela vous arrive, prenez les mesures suivantes : passer à l’action, évaluer et atténuer les dommages et prendre les mesures de protection appropriées.

Passer à l’action : reprendre possession du compte compromis

  • Signalez la présumée compromission au fournisseur de média social. La plupart des fournisseurs ont mis en place des mécanismes (hyperliens ou numéros de téléphone) pour signaler les compromissions.
  • Commencez la récupération du compte en suivant les instructions de la page prévue à cet effet (compte oublié ou récupération d’un compte).
  • Trouvez un nouveau mot de passe robuste et unique. Mieux encore, utilisez une phrase de passe.
  • Vérifiez l’adresse de courriel et le numéro de téléphone liés au compte.
  • Accédez à tout compte de courriel lié au compte de média social compromis et changez le mot de passe. Le nouveau mot de passe doit être robuste et unique.
  • Signalez toute compromission ou usurpation d’identité à la police ou au bureau du parti.

Évaluer et atténuer les dommages

  • Effacez toute information publiée par l’auteur de menace dès que vous avez repris possession de votre compte.
  • Si le mot de passe compromis sert aussi à d’autres comptes, changez-le immédiatement, car l’auteur de menace pourrait s’en servir pour accéder à d’autres comptes.
  • Utilisez les services de vérification des comptes de médias sociaux qui signalent par exemple les activités récentes et les appareils utilisés pour se connecter au compte.
  • Consultez un conseiller en communication de la campagne.
  • Assurez-vous que les paramètres de sécurité et de confidentialité n’ont pas été changés.
  • Vérifiez la liste des applications et des appareils connectés au compte.
  • Vérifiez toute information personnelle sauvegardée dans le compte, car elle pourrait avoir été compromise.

Prendre les mesures de protection appropriées

  • Méfiez-vous des messages personnels, des courriels et des textos inhabituels ou non sollicités, surtout s’ils contiennent un hyperlien ou une pièce jointe ou s’ils demandent de l’information sur un compte, comme un mot de passe.
  • Activez la fonction de notification d’accès.
  • Choisissez des mots de passe différents pour tous les comptes de médias sociaux.
  • Utilisez l’authentification à deux facteurs lorsqu’elle est offerte.
  • Ajustez vos paramètres de sécurité. Réglez les paramètres de confidentialité au niveau le plus élevé.
  • N’accédez à vos comptes en ligne qu’à partir d’un appareil fiable. Les appareils non fiables, comme les postes de travail dans les hôtels, peuvent être infectés par des maliciels conçus pour saisir de l’information sensible.
  • Stockez l’information sensible, comme les mots de passe, sur des jetons matériels. Vous pourrez aussi vous servir de jetons aux fins d’authentification dans certains médias sociaux.
  • Fermez les comptes de médias sociaux ou de courriel qui ne servent plus, car les auteurs de menaces pourraient s’en servir pour recueillir de l’information, cibler des contacts ou usurper votre identité.

Si vous devez récupérer l’accès à un média social, sachez que les auteurs de menaces se servent souvent des mécanismes de récupération pour accéder à un compte. Tout compte secondaire devant servir à la récupération, comme un compte de courriel, doit être protégé par un mot de passe unique et par l’authentification multifacteurs. Si la récupération du compte se fait avec des questions personnelles, la réponse aux questions ne doit pas se trouver facilement dans vos comptes de médias sociaux.

Repérer les messages malveillants et savoir quoi en faire

Tous les membres de l’équipe de campagne devraient pouvoir repérer des messages malveillants et savoir quoi en faire lorsqu’ils en reçoivent.

Comment repérer les messages malveillants

  • Assurez-vous de reconnaître l’expéditeur et, si possible, de confirmer que le ton employé dans le message correspond à celui que cet expéditeur utiliserait normalement.
  • Validez l’adresse de l’expéditeur. Les auteurs de menaces utilisent parfois des adresses de courriel qui ressemblent à des adresses de courriel d’entreprises légitimes, mais les modifient que très légèrement.
  • Vérifiez si le corps du message contient des fautes d’orthographe. C’est un truc qui permet de contourner les filtres de pourriel.
  • Vérifiez si le message contient des formulations inhabituelles, ce qui pourrait mettre en doute la légitimité de son auteur.
  • Méfiez-vous des offres qui sont trop belles pour être vraies.
  • Soyez aux aguets des menaces et des demandes d’information sensible (p. ex., information personnelle ou financière).
  • Si le message est envoyé à une adresse liée à la campagne, veillez à ce que le contenu du message ait trait aux activités de la campagne.
  • Veillez à ce que les hyperliens et les pièces jointes correspondent au contenu du message.

Que faire avec les messages malveillants

  • Ne cliquez jamais sur un lien compris dans un message malveillant ou suspect, même si on vous offre de supprimer votre adresse d’une liste de distribution. Si vous recevez un lien (p. ex., vers un communiqué), entrez l’adresse vous-même ou faites une recherche sur le navigateur Web.
  • N’ouvrez jamais de pièces jointes contenues dans des messages malveillants. Elles contiennent souvent des maliciels.
  • Si vous devez ouvrir une pièce jointe, servez-vous d'un ordinateur qui n'est pas branché à l'infrastructure TI de la campagne.
  • Ne répondez pas aux messages suspects ou aux pourriels. Cela ne fera que confirmer la validité de votre adresse de courriel et aura pour effet de multiplier les pourriels.
  • Ne fournissez jamais de l’information confidentielle (p. ex., nom d’utilisateur et mot de passe), même si le message semble légitime. Lorsque le message donne l’impression d’être légitime, communiquez avec l’expéditeur par un autre moyen (p. ex., par téléphone) avant de fournir toute information, ce qui a pour but de vérifier la légitimité de la demande.
  • Ne réacheminez jamais un message suspect à un autre destinataire. Si vous souhaitez le montrer à quelqu’un, demandez à la personne de venir le voir à l’écran ou montrez-lui une copie papier.
  • Supprimez les pourriels ou déplacez-les dans un dossier de courrier indésirable. Si vous avez des doutes ou ne savez pas quoi faire avec le message, adressez-vous au responsable de l’équipe.

 

Que faire avec des messages de nature criminelle ou en cas de cybercrime?

La Gendarmerie royale du Canada (GRC) considère généralement que la cybercriminalité concerne tout délit commis principalement au moyen des technologies de l’information et de l’internet, comme un ordinateur, une tablette, un assistant numérique personnel ou un dispositif mobile. Cette définition comprend les crimes commis au moyen de techniques plus sophistiquées pour exploiter les vulnérabilités dans les technologies numériques ainsi que les crimes plus traditionnels qui prennent de nouvelles formes dans le cyberespace.

Si vous recevez un message outrancier ou offensant ou encore un message de nature criminelle (qu’il s’agisse d’un pourriel, d’un courriel d’hameçonnage, ou autres), ou si vous estimez que des criminels vous demandent de divulguer des renseignements personnels, informez-en la police locale ou la GRC. Conservez le message suspect, car les autorités pourraient vous demander d’en produire une copie aux fins d’enquête. Ne réacheminez jamais un message suspect à d’autres destinataires.

 

Ressources additionnelles

Pour reprendre possession de comptes de médias sociaux

En cas de compromission d’un compte de média social, suivez les liens ci-dessous.

Facebook

Twitter

Instagram

YouTube

LinkedIn

Snapchat

 

Nous avons tous un rôle à jouer pour assurer la cybersécurité du Canada. Les documents suivants contiennent de l’information additionnelle sur certaines cybermenaces qui planent actuellement sur le Canada.

 
Date de modification :