« On est une petite école, personne ne s'intéressera à nous. » « Notre municipalité n'a rien de valeur pour les pirates. » Ces phrases, le Centre canadien pour la cybersécurité les entend souvent — et les contredit régulièrement.
Pourquoi les pirates ne cherchent pas toujours une cible célèbre
Les rançongiciels ne visent pas la renommée. Ils visent l'efficacité. Une ville de 5 000 habitants, une école primaire ou une PME de 20 employés a souvent moins de protections qu'une grande banque — mais autant de données sensibles et de services essentiels à perturber.
Ce qu'ils veulent vraiment
- Accès : un compte admin sans MFA, un VPN mal configuré.
- Argent : une rançon payée rapidement par une organisation qui ne peut pas se permettre l'arrêt.
- Données : renseignements personnels à revendre ou à exposer pour faire pression.
- Pression : paralyser les services publics (eau, permis, inscriptions scolaires) pour forcer le paiement.
Pourquoi les organisations locales sont vulnérables
Budgets limités, équipe TI réduite (ou inexistante), logiciels non mis à jour, sauvegardes inexistantes ou non testées. Les municipalités et les écoles gèrent des données de citoyens et de parents — exactement ce que les attaquants cherchent.
La ceinture de sécurité minimale
- Sauvegardes : régulières, hors ligne ou dans un environnement séparé, et testées (une sauvegarde qu'on n'a jamais restaurée n'est pas une sauvegarde).
- MFA : sur tous les comptes admin et les accès distants.
- Mises à jour : systèmes d'exploitation, logiciels et pare-feu.
- Plan de réponse : qui appeler, quoi déconnecter, comment communiquer en cas d'incident.
La taille de votre organisation ne vous protège pas. Vos réflexes, si.