Ne devenez pas une victime du cyber-rançonnage!

Par Bertrand Milot

Comme le dit souvent l’un de mes collègues : « Vous êtes une cible, ne soyez pas une victime! ». J’aime beaucoup cette phrase, elle implique et traduit la notion que la question n’est pas « Est-ce que je risque vraiment de me faire hacker? », mais « Quand? ». En gestion de risques, on dit : « Nous n’avons jamais été aussi proches du prochain incident que maintenant. ». La question serait « Quand cela va-t-il m’arriver? ». Donc, est-ce là, la bonne question? Toujours pas… Si on sait que l’occurrence d’un incident va finir par nous arriver, la bonne question serait plutôt : « Suis-je préparé à un tel incident? ».

 

C’est, là, une question qu’il aurait fallu se poser pour plus de 200 000 victimes du rançongiciel surnommé « WannaCry » (ordinateurs et serveurs confondus) dans 150 pays à travers le monde en quelques jours seulement, selon les dernières statistiques disponibles auprès d’Europol.

 

Rançongiciel ou ransomware, vous connaissiez les virus…!? Aujourd’hui, ces « nouvelles » menaces informatiques sont littéralement de l’argent facile pour les pirates informatiques. L’un d’entre eux appelé « CryptoWall » a généré à lui seul plus de 325 millions de dollars US de revenus en Bitcoin (monnaie virtuelle et intraçable fondée sur le principe technologique du blockchain), dont le cours a littéralement explosé depuis quelques mois (passage de 600 CAD à plus de 2000 CAD, ces derniers jours : https://www.msn.com/fr-ca/actualites/other/le-cours-du-bitcoin-senvole/ar-BBBsmUZ).

 

Qui dit argent facile pour les criminels, dit filon facile à exploiter. La compagnie de logiciels de sécurité F-Secure nous montre une belle représentation de l’évolution très exponentielle des ransomwares depuis les 7 dernières années : https://newsfromthelab.files.wordpress.com/2017/04/ransomware-timeline-2010-2017.png. Rapidement, pour ceux qui ne le sauraient pas encore, un ransomware est un logiciel qui, une fois implanté sur votre machine, rend illisibles vos fichiers et vous demande une rançon plus ou moins conséquente (de 30 à 1 200 $ US par groupe de fichiers corrompus) en échange d’une clé de déchiffrement sensée vous redonner accès à vos fichiers. Pourquoi « sensée »? Car, malheureusement certains rançongiciels, encore en version « bêta » ou en test, ne fonctionnent pas très bien et deviennent amnésiques emportant avec eux tout espoir de revoir vos fichiers intacts dans leur état initial). L’autre problème c’est que l’on ne peut être certain que le logiciel ne fasse que rendre illisibles les fichiers : sans forcément devenir totalement paranoïaque, s’il existe des évolutions multiples de ces infections informatiques, si l’intention est de nuire et que cette même infection est capable de modifier vos fichiers et en créer d’autres, alors les possibilités deviennent multiples. Y’a-t-il eu vol ou exfiltration de données, vol d’identité et de mots de passe (exemple : Angler Exploit Kit), prise de contrôle total de la machine… etc. ?

crédit: depositphoto.com

Pouvons-nous être vraiment autant à risque et à la merci de tels phénomènes? Oui, des universités, des manufacturiers, des instances gouvernementales, des banques, des opérateurs télécom, des hôpitaux… Bref… toutes les industries sont touchées. « WannaCry » a forcé des hôpitaux, durant cette fameuse fin de semaine du 13 mai 2017, par mesure de précaution, à transférer des patients vers d’autres centres médicaux. Le constructeur automobile français Renault-Nissan a été obligé, lui, de mettre en arrêt certaines lignes de production. Tout ça parallèlement aux centaines de milliers de victimes, monsieur et madame « tout-le-monde » ayant été touchées. Certains ransomwares font même preuve de sadisme : « Popcorn Time Ransomware » vous propose d’infecter des connaissances au lieu de payer la rançon, d’autres de jouer et faire le meilleur score « Rensenware », d’autres vous pressent de payer dans le temps imparti sinon ils doublent la rançon ou pire ils effacent vos fichiers « Jigsaw Ransomware ». Certains rançongiciels peuvent même infecter vos téléphones intelligents.

 

En conclusion, nous ne devons pas devenir les maillons faibles de nos organisations, de nos familles, de notre cyber-communauté proche. Il y a des solutions : sauvegarder vos données et les chiffrer (vous pouvez utiliser 7-Zip, WinZip ou VeraCrypt pour créer des volumes cryptés par mot de passe), ne pas être administrateur de son propre ordinateur (vous pouvez utiliser le compte administrateur uniquement lorsque vous en avez besoin, lors d’installations de logiciels, par exemple), ne pas cliquer sur des liens dans des courriels que l’on n’attend pas, ne pas naviguer ou rechercher du contenu illégal ou illégitime sur Internet, garder son ordinateur et tous ses logiciels à jour (et surtout les navigateurs Internet, ainsi que leurs extensions), installer un anti-malware (exemple : Malwarebytes) et un protecteur de la zone MBR (exemple : MBRFilter de Cisco Talos), toujours télécharger un logiciel depuis une source fiable (c’est-à-dire depuis le site officiel du constructeur d’origine), bannir les systèmes et applications obsolètes (ne jouissant plus de mises à jour de sécurité de la part de son constructeur), il existe également des solutions anti-ransomwares chez les fournisseurs de logiciels de sécurité (exemple : Kaspersky ou Trend Micro). Vous pouvez également faire appel au site « No More Ransom » si vous êtes malheureusement infectés.

 

Pour tout le reste, faites appel à un expert, et surtout pas à l’ami du cousin éloigné de votre beau-frère « qui s’y connaît en informatique ». 

L’ANALYSE MOTIVATIONNELLE « JOB TO BE DONE »; UN OUTIL POUR VOUS AIDER

 

Qu’est-ce que l’analyse motivationnelle?

L’analyse motivationnelle est un outil de la méthode « design thinking » utilisé lors de la première phase du processus, la clarification. Il faut débuter par identifier l’opportunité en allant chercher les opinions des clients et/ou utilisateurs actuels afin de comprendre la manière dont ils vivent la situation actuelle. Cet outil nous permet d’aller comprendre les tâches, les motivations profondes, les indicateurs de succès et les pièges à éviter, ce qui mettra en lumière les endroits où concentrer notre énergie pour créer de la valeur pour nos clients. Ultimement, l’analyse motivationnelle est une façon de recadrer et d’innover la manière de faire les choses pour être aligné avec les motivations/besoins des clients. On répond aux questions suivantes : Qu’est- ce que le client veut? Quelles utilisations fera-t-il de mes services? Qu’est-ce qui le motive à revenir me voir? Lorsque les réponses seront recueillies, il sera possible d’ajuster les services offerts pour fournir des solutions qui répondent aux intentions spécifiques de nos clients, c’est-à-dire leurs buts à eux. N’oublions pas que notre raison d’être est d’aider nos clients à satisfaire leurs besoins.

 

Qui doit être impliqué?

Puisque nous utilisons l’analyse motivationnelle pour redéfinir et transformer le rôle actuel des professionnels en RH, il est préférable que l’outil soit porté par un leader de la fonction RH qui souhaite transformer son équipe et bâtir une réelle expérience client. Sans cet appui, il serait surprenant que les employés puissent transformer la façon dont ils livrent des services. Ensuite, tous les membres de la fonction ou de l’équipe doivent être impliqués ainsi que les divers clients comme les employées, les gestionnaires de tous les niveaux et la haute direction. Comme ces catégories de clients ont toutes des besoins et des motivations différentes, il faut aller cerner ces différences pour livrer des solutions stratégiques de valeurs à chaque échelon hiérarchique.

 

Comment ça s’applique?

Dans ce cas précis, l’opportunité est de trouver la meilleure façon de concevoir le rôle des membres de la fonction RH afin de devenir des partenaires stratégiques.

 

Allez rencontrer vos clients et identifiez leurs besoins. Pensez au-delà des services que vous offrez actuellement et tentez de trouver leurs motivations profondes dans leur rôle spécifique tout en gardant en tête votre propre rôle.

 

Les réponses dans les encadrés ci-dessous servent d’exemples. Nous analyserons les attentes d’un employé face au rôle attendu de son responsable RH, spécialiste en gestion des carrières.

 

1. Considérez deux types de rôle : fonctionnel et émotionnel. Le rôle fonctionnel est la tâche à accomplir et le rôle émotionnel est le sentiment sous-jacent à l’atteinte de l’objectif.

 

2. Définissez des critères pour mesurer le succès des deux types de rôle du point de vue du client. Quels sont les critères de performance utilisés par le client pour affirmer que le besoin a été comblé?

 

3. Définir les résultats à éviter. Comment le client décrit-il ses points de douleur? Quels sont les éléments qui le rendent non satisfait à l’égard de son objectif à atteindre?

 

Finalement, nous recommandons que le responsable de l’équipe RH commence en faisant cet exercice avec sa propre équipe. Ainsi, lorsque les besoins de l’équipe et des clients sont arrimés, il sera possible de commencer par travailler sur ces éléments-là pour transformer le rôle. C’est d’ailleurs ce qui crée de la valeur pour les personnes dans l’organisation, c’est-à-dire lorsque tout le monde y trouve son compte. La motivation de l’équipe à se transformer sera plus grande, ce qui favorisera une bonne gestion du changement puisqu’un changement radical du rôle des RH engendrera peut-être quelques résistances!

 

PROCHAINES ÉTAPES

· Analysez ce que vous êtes prêt à changer et priorisez (court, moyen et long terme). 

· Définissez les écarts entre les services offerts et désirés. 

· Générez de nouvelles idées pour trouver la manière de faire évoluer les rôles. 

 

À RETENIR

L’analyse motivationnelle peut donc être un outil particulièrement pertinent dans un contexte de redéfinition de la pratique ressources humaines puisqu’elle permet de cerner les motivations profondes derrière ce que vos clients veulent accomplir avec vous. Il faut se détacher de nos processus et aller rencontrer les individus pour se positionner comme des acteurs qui vont les aider à réaliser leur mission. L’énergie peut ensuite être déployée sur les éléments qui créent le plus de valeur. C’est donc ainsi qu’il sera possible de devenir de vrais partenaires stratégiques, et ce, à tous les niveaux de l’entreprise!

 

Bien souvent, des changements liés aux rôles et responsabilités engendrent une certaine anxiété chez les employés qui occupent ces positions. Il n’est donc pas rare de faire face à certaines résistances chez les gens impactés par le changement. De ce fait, utiliser l’approche « design thinking » pour faire évoluer les rôles des équipes de gestion des ressources humaines est plus qu’appropriée puisqu’elle permet d’impliquer de nombreux acteurs. Ces derniers font partie de la solution, ce qui provoque un réel désir de se transformer. Donc, êtes-vous prêt à saisir cette opportunité?

 

RÉFÉRENCES

         Bersin, J. (2014). « The New Model for Talent Management: Agenda for 2015 ». Recrutement & RH, A aires. Retrouvé          sur : http://www.slideshare.net/jbersin/talent-management-revisited/34-34_The_Crux_of_the
         Bersin, J., Solow, M., & Wake eld, N. (2016). « Design Thinking: Crafting the employee experience ». Deloitte          University Press. Retrouvé sur : http://dupress.com/articles/employee-experience-management-design-thinking/          ?id=gx:2el:3dc:- dup3021:awa:cons:hct16
          Vosburgh, R. M., PhD. (2015). « HR’s evolving role with the board ». People and Strategy, 38(2), 18-21.
          Yadav, P., & Singh, J. (2014). « Paradigm shift in human resource management in present scenario - emerging           trends ». Su- medha Journal of Management, 3(3), 59-72.
À proposMentions Légales