Infrastructures critiques : s’armer contre les cyberattaques
Cet article s’inscrit dans la collection « PRATIQUE EXEMPLAIRE ».
Par Mélanie Larouche, journaliste.
Toutes les sociétés ne sont pas égales devant les cyberattaques. Elles présentent en effet une résilience très variable face à la menace. Partout, les infrastructures critiques sont la cible incessante d’attaques contre lesquelles il est primordial de s’outiller.
La cybercriminalité, qui fait référence aux crimes commis principalement au moyen d’Internet et des technologies de l’information (TI), est devenue un défi mondial de tout premier ordre, tant pour les sociétés que pour les gouvernements. La menace est constante, les moyens, sophistiqués, et les répercussions potentielles font frémir bien des organisations. Heureusement, le Québec a nettement progressé en matière de cybersécurité ces dernières années, mais elle a souvent une longueur d’avance.
Des menaces considérables
Parmi les principaux avis énoncés dans l’Évaluation des cybermenaces nationales 2023-2024 du Centre canadien pour la cyber- sécurité, on mentionne que pour au moins les deux prochaines années, la cybercriminalité motivée par l’appât du gain continuera de cibler les organisations essentielles dans les secteurs des infrastructures critiques au Canada et partout dans le monde.
On peut également y lire que « les rançongiciels sont presque assurément la forme la plus perturbatrice de cybercriminalité à laquelle est confronté le Canada, puisqu’ils sont très répandus et peuvent avoir une grande incidence sur la capacité d’une organisation de fonctionner ».
Selon le FBI, seulement 20 % des incidents sont rapportés, probablement parce que les organisations craignent qu’une image négative s’en dégage. Mais les gens doivent en parler.
Patrick Naoum, ing., expert en cybersécurité, vice-président exécutif chez ESI Technologies et pdg de Gardien virtuel.
D’entrée de jeu, Patrick Naoum, ing., expert en cybersécurité, vice-président exécutif chez ESI Technologies et PDG de Gardien virtuel, met en lumière le fait que les statistiques relatives aux cyberattaques sont malheureusement sous-estimées. « Selon le FBI, seulement 20 % des incidents sont rapportés, probablement parce que les organisations craignent qu’une image négative s’en dégage. Mais les gens doivent en parler. Le partage d’information avec les autorités est essentiel pour avoir l’heure juste. On ne voit que la pointe de l’iceberg présentement. »
Détecter les vulnérabilités
« La cybersécurité est cruciale pour l’avenir d’une société, pour son économie numérique, sa sécurité personnelle, sa prospérité nationale et sa compétitivité, insiste PatrickNaoum. Tous les secteurs touchant les services aux citoyens – la santé, l’énergie, les transports, les télécommunications, l’approvisionnement en eau, on peut aussi ajouter l’alimentation et le pharmaceutique – sont des cibles très attrayantes pour les cybercriminels. Ils exploitent agressivement et avec beaucoup d’automatisation tout ce qui a une adresse IP et les identités numériques ; s’il y a la moindre faille, ils la trouveront et attaqueront. »
Selon Alexis Dorais-Joncas, responsable de l’équipe de contre-espionnage chez Proofpoint, l’un des grands défis des organisations ayant à gérer des infrastructures cri- tiques consiste à reconnaître sa vulnérabilité.
Au Québec, l’eau potable est une ressource critique parce qu’essentielle. Pourtant, elle est gérée de façon décentralisée. Les municipalités doivent être conscientes du risque que ça représente.
Alexis Dorais-Joncas, responsable de l’équipe de contre-espionnage Chez proofpoint.
« Dans bien des organisations publiques, il y a beaucoup de sous-secteurs. Tous n’ont pas le même niveau de maturité en matière de cybersécurité ; certains sont mieux outillés que d’autres. Prenons l’exemple de l’eau potable. Au Québec, l’eau potable est une ressource critique parce qu’essentielle. Pourtant, elle est gérée de façon décentralisée. Les municipalités doivent être conscientes du risque que ça représente. » Certaines infrastructures critiques au Québec sont gérées par le gouvernement, d’autres par des organismes paragouvernementaux ou privés. Il est donc important d’assurer la communication fluide de l’information relative aux meilleures pratiques en matière de cybersécurité. « Aussi, il faut bien identifier tous les actifs organisationnels à surveiller, ne surtout pas en oublier, ce qui malheureusement arrive fréquemment et représente un point d’entrée pour les cybercriminels, explique Alexis Dorais-Joncas. Ce sont autant de vulnérabilités. Un simple identifiant de connexion ou un compte oublié, comme celui d’un utilisateur test qui reste actif, permet d’entrer dans le système. Ça prend un mécanisme de mise à jour efficace qui saura déceler les failles pour pouvoir les corriger. »
Patrick Naoum abonde dans le même sens : prévention, surveillance et réactivité. « Au-delà de la prévention, il faut bien surveiller tous les systèmes et être prêt à réagir. Il faut préparer un plan de réponse aux incidents, bien documenté et accessible, préférablement en dehors de notre environnement informatique. »
Aussi, le fait que le Canada s’exprime régulièrement sur les politiques étrangères l’expose, selon lui, à des représailles. « Des composantes canadiennes comme l’énergie sont gérées par les provinces. Alors, si un pays veut servir une leçon au Canada, ça pourrait passer par une société comme Hydro-Québec », ajoute Alexis Dorais-Joncas.
Une priorité nationale
Selon Patrick Naoum, toute personne qui développe un système informatique doit prioriser la cybersécurité dès le début du projet. « La cybersécurité est de plus en plus intégrée. On a fait du chemin, mais il reste encore des progrès à faire, note-t-il. Tout système qu’on déploie doit être testé et mis à l’épreuve par un attaquant. Il faut bien comprendre ses vulnérabilités en faisant régulièrement un bilan de son environnement informatisé. »
Pour Alexis Dorais-Joncas, il est vraiment essentiel de simplifier au maximum l’infrastructure organisationnelle, qui sera dès lors plus facile à protéger. « C’est une course sans fin entre attaquants et défenseurs ; les uns et les autres sont de plus en plus efficaces grâce aux technologies. Pour accélérer la détection et la réaction aux menaces, l’IA devient un outil incontournable. L’IA est très utilisée par les attaquants, tout comme par les défenseurs. Une organisation ne doit pas essayer de tout faire par elle-même. C’est une tâche colossale. Elle doit faire confiance à des équipes spécialisées qui comprennent ce que font les attaquants en amont. »
COVID-19 : La cybersécurité mise à l’épreuve
Parce que, dans l’urgence d’agir, elle a généré bien des initiatives précipitées, la pandémie de COVID-19 a ouvert des brèches dans la sécurité informatique, en plus d’offrir des occasions en or d’hameçonner de diverses façons des gens et des organisations rendus, dans les circonstances, plus vulnérables.
«Les cybercriminels sont très actifs et profitent des situations extrêmes pour se positionner», souligne Bertrand Milot, président fondateur de Bradley & Rollins, spécialisée dans la cybersécurité. « La pandémie de COVID-19, avec tous les changements qu’elle a rapidement entraînés, a été un terreau fertile pour eux. La vigilance des gens était ailleurs. » De ce fait, la pandémie a été l’occasion pour le Québec de prendre conscience de la désuétude de plusieurs de ses systèmes en matière de cybersécurité et de la dette technologique qu’il accusait.
Le Canada est très ciblé par la cybercriminalité parce qu’il affiche une bonne proportion des paiements des rançons demandées. C’est devenu une cible de choix pour les cybercriminels, et le Québec est une porte d’entrée à surveiller de près.
Bertrand Milot, président fondateur de Bradley & Rollins.
« Les risques étaient élevés, note Bertrand Milot. La population a cru à tort qu’elle était moins vulnérable du fait qu’elle communique en français. Le Canada est très ciblé par la cybercriminalité parce qu’il affiche une bonne proportion des paiements des rançons demandées. C’est devenu une cible de choix pour les cybercriminels, et le Québec est une porte d’entrée à surveiller de près. Ce sont des opportunistes, ils iront où c’est facile, ils cherchent du volume, de l’argent facile. Lorsque ça se corse, ils changent de victime. » Bertrand Milot souligne que le virage qu’a amorcé le Québec par la suite en prenant conscience de sa vulnérabilité lui a permis de faire une avancée importante. « On peut être fiers de ce qu’on a accompli en si peu de temps. On est un pays résilient, qui apprend de ses erreurs. On évolue. La stratégie mise de l’avant fonctionne bien : le Québec a informé le monde entier de sa réelle volonté d’agir. Il fait la démonstration qu’il est en train de développer une culture de cybersécurité. C’est un message fort qu’il envoie aux cybercriminels. L’image est très importante dans ce contexte. » L’expert en cybersécurité estime que le Québec a emprunté le bon chemin. Certes, il reste encore beaucoup de travail à faire, mais le train est en marche. « Le Québec veut innover, comme en témoignent les différentes subventions mises à la disposition des industries. On va réussir à intégrer toutes les technologies de pointe pour atteindre nos objectifs. »
