Chroniques, Revue PLAN 1 janvier 2022

Le génie au service de la cybersécurité

Alors que les organisations tardent encore à investir en cybersécurité, les conséquences économiques désastreuses s’accumulent et le cadre réglementaire évolue. Dans un tel contexte, les ingénieurs et ingénieures s’avèrent des maillons cruciaux dans cette chaîne de sécurité informatique.

Cet article s’inscrit dans la collection « Cybersécurité ».

Par Clémence Cireau

« L’adoption du projet de loi no 64 est une très bonne chose. […] Toute organisation, privée ou publique, devra adopter des mesures adéquates pour répondre aux cyberattaques. » — Patrick Naoum, ingénieur et coactionnaire d’ESI Technologies

«C’est dans la nature humaine d’agir seulement quand ça fait mal et qu’il est trop tard, déplore Patrick Naoum, ingénieur et coactionnaire d’ESI Technologies, entreprise québécoise spécialisée
dans la gestion des données. C’est frappant avec les changements climatiques, et c’est tout aussi vrai avec la cybersécurité. Il y a eu grave négligence.» Lui qui estime avoir prêché dans le désert depuis 20 ans témoigne que, actuellement, «la situation change enfin et pousse les organisations à investir massivement dans la cybersécurité. C’est un moment charnière, car les législateurs ne laissent désormais plus le choix aux compagnies».

Le gouvernement du Québec a présenté la Politique gouvernementale de cybersécurité, liée à la Stratégie de transformation numérique gouvernementale 2019-2023. L’adoption du projet de loi no 95 au printemps dernier a pour objectif de « rendre la gestion des données plus efficiente et d’accélérer la transformation numérique de l’État», indique Gabriela Nicolescu, ing., professeure titulaire au Département de génie informatique et génie logiciel à Polytechnique Montréal, experte en cybersécurité. «Le Québec planifie aussi la mise en place d’un nouveau ministère de la cybersécurité et du numérique, qui aura notamment comme objectif d’instaurer la nouvelle identité numérique pour un accès simplifié aux services de l’État, ajoute la chercheuse. Ces règles vont jouer un rôle très important dans la réponse aux risques. Elles permettent d’encadrer la perpétuelle évolution de la discipline, en particulier dans certains domaines comme la santé ou l’aérospatiale, où des lois spécifiques seront ajoutées au cadre général. C’est ce maillage à différentes échelles qui permettra de répondre efficacement aux
menaces de cyberattaques.»

En novembre 2021 a également été adopté le projet de loi no 64 visant la modernisation des lois sur la protection des renseignements personnels au Québec. «Cette loi est inspirée du Règlement général sur la protection des données (RGPD) de l’Union européenne, signale Patrick Naoum, qui voit cela comme une très bonne chose. Toute organisation, privée ou publique, devra adopter des mesures adéquates. Parce que la question n’est pas “vat-il arriver quelque chose?” mais plutôt “quand cela va-t-il arriver?” Les entreprises et les organisations publiques doivent prévoir un plan complet de réponse aux cyberattaques. Il faut savoir réagir vite et avec précision.»

Le second facteur qui devrait infléchir les investissements en cybersécurité : le coût des primes d’assurance et même l’assurabilité.
«Depuis la pandémie, les compagnies d’assurances ont perdu beaucoup d’argent en indemnités pour la cybersécurité, relate Patrick
Naoum. Certaines compagnies paient même les rançons en cas d’attaques. Elles se sont réveillées; maintenant, les entreprises doivent
montrer patte blanche en matière de cybersécurité en implantant de nouveaux processus et en déployant certaines solutions très
précises.»

De lourdes conséquences

«Depuis les années 2010, il y a eu des cyberattaques de grande envergure. De nombreuses compagnies ont été contraintes de stopper leur service au même moment, ce qui a bien sûr eu des conséquences économiques désastreuses, explique Gabriela Nicolescu. Les attaques sont de plus en plus nombreuses et de plus en plus sophistiquées. Certains logiciels malveillants, comme celui qu’on nomme Mirai, se retrouvent même en accès libre sur le Net.» Et le Québec n’est pas épargné. «Une compagnie de transports québécoise [Société de transport de Montréal, NDLR] a par exemple été victime d’une attaque de type rançongiciel en octobre 2020, rapporte la professeure. Selon la société, il s’agissait d’une variante hautement sophistiquée du virus informatique RansomEXX, qui a touché 600 de ses 1600 serveurs. L’attaque ciblait des données sensibles du personnel et de la clientèle. En quatre heures, les systèmes touchés ont été isolés. Plusieurs semaines ont été nécessaires pour remettre en marche certains des serveurs. Le coût estimé de l’attaque est de l’ordre de 2 millions de dollars canadiens.»

Les États, les organisations transnationales, les sociétés et les individus peuvent tous, à leur échelle, être touchés. «Les systèmes informatiques régissent la majorité des activités courantes, et les informations s’échangent désormais numériquement dans le monde entier, poursuit-elle. Ces systèmes automatisés sont amenés à prendre des décisions très importantes pour la sécurité, l’économie et la vie privée des individus.» Le risque d’intrusion dans la vie privée est celui envers lequel nous sommes le plus alerte. Pour autant, les conséquences sur les citoyens en cas d’attaque des infrastructures sont tout aussi inquiétantes. «Vous imaginez le risque pour les malades si une panne de courant volontaire empêche un hôpital de fonctionner correctement?, ajoute Gabriela Nicolescu. Quant aux entreprises, en cas de sabotage, elles risquent de perdre de l’argent mais également leur réputation, car la sécurité est désormais considérée comme un avantage compétitif sur le marché.»

Des solutions au service de la cybersécurité

Plusieurs solutions informatiques sont actuellement proposées grâce au travail des membres de l’Ordre. Gabriela Nicolescu en distingue trois catégories. La première relève du domaine des logiciels. «Les technologies actuelles offrent la possibilité de mettre au point des applications sécuritaires. Il y a par exemple des outils qui analysent le code de programmation d’un logiciel et détectent s’il reste des failles. Cette analyse peut se faire de manière statique ou dynamique, c’est-à-dire avant, pendant et après le codage, ou lors de l’exécution.» La deuxième concerne directement la conception matérielle. Par exemple, au sein des architectures numériques, on conçoit des zones de sécurité – ou trust zone, en anglais – afin de sécuriser les parties critiques des systèmes. «C’est une sorte de périmètre de sécurité : on ne peut pas accéder aux données protégées de la zone qui a été isolée.» La réseautique offre aussi des solutions assurant des communications sécuritaires : «par exemple, précise encore Gabriela Nicolescu, des solutions informatiques empêchent l’injection d’autres paquets dans un réseau ou bien l’usurpation des adresses IP.» Enfin, l’intelligence artificielle permet désormais de comprendre le comportement d’un système ou d’un logiciel et, ainsi, de déclencher un signal d’alarme en cas d’anomalie.

Le génie au cœur de la sécurité

Bien qu’efficaces, pour Patrick Naoum, ces solutions informatiques doivent être couplées à une démarche humaine plus complète. «Une saine sécurité, c’est d’abord une bonne gestion des risques. Il ne suffit pas d’acheter le produit de sécurité le plus récemment arrivé sur le marché. Il faut savoir comment l’implanter, le gérer, le mettre à jour, et aussi faire tout un travail de sensibilisation des équipes au sein des entreprises. C’est ici que le rôle des membres de l’Ordre est primordial.» Les ingénieures et ingénieurs doivent prendre en compte le volet cybersécurité dès la conception de tous leurs produits, systèmes ou services. «S’attaquer au mal dès la racine est la meilleure manière de s’en prémunir, estime Gabriela Nicolescu. Bien sûr, cette composante de sécurité est toujours reliée à celle de l’efficacité et des coûts. Il faut trouver le meilleur compromis sans délaisser la cybersécurité.»

Au-delà de la conception des solutions sécuritaires, les ingénieurs et ingénieures doivent évaluer le niveau de sécurité des systèmes
informatiques en place, en analysant les risques auxquels ils sont exposés et en sécurisant les transactions informatiques. Il leur faudra alors s’assurer de la sécurité tout au long du cycle de vie d’un logiciel ou d’un réseau. «Quand nous concevons un logiciel, nous ne le concevons plus seulement pour qu’il accomplisse la fonctionnalité désirée, nous veillons aussi à ce qu’il n’ait pas des vulnérabilités,
mentionne Gabriela Nicolescu. Il s’agit d’ajouter une couche supplémentaire pour la protection.»

Prévenir, guérir, mais aussi tirer les leçons des cyberattaques. «Si une compagnie subit une cyberattaque, il faut à tout prix qu’elle cherche la faille qui a permis l’intrusion, afin d’éviter que cela se reproduise et aider le milieu des experts en cybersécurité à rester à la pointe», souligne Gabriela Nicolescu, ing. Elle rappelle également que les membres en génie logiciel et informatique des compagnies doivent prévoir des simulations d’attaque – ou des tests de pénétration – pour observer le comportement de leurs systèmes. «Les étapes clés sont l’identification des risques, la rédaction des exigences de sécurité, la mise en place des techniques de sécurité visant à répondre aux exigences, la revue de la conception et la vérification du niveau de sécurité.»

Les ingénieures et ingénieurs sont tenus de veiller au déploiement de solutions efficaces, mais également d’entretenir une bonne collaboration entre les différents partenaires, comme l’illustre Gabriela Nicolescu : «La sécurité est avant tout une chaîne, qui ne doit pas avoir de maillon faible.» La cybersécurité comprend en effet un volet de réflexion autour de l’éthique. La faille de sécurité vient quelquefois de l’intérieur, d’une personne qui a trahi la confidentialité en soustrayant de l’information. «C’était déjà le cas avant la civilisation numérique, mais la grande différence est qu’aujourd’hui l’information est tellement compressée qu’on peut la stocker en quantité colossale sur un dispositif de stockage très léger, indique la chercheuse. C’est beaucoup plus facile qu’avant d’extraire des données discrètement. Ainsi, le numérique peut plus facilement pousser des individus au sabotage.»

En cas de sabotage, les entreprises risquent de perdre de l’argent mais également leur réputation, car la sécurité est désormais considérée comme un avantage compétitif sur le marché. » — Gabriela Nicolescu, ing., professeure titulaireau Département de génie informatique et génie logiciel à Polytechnique Montréal

La sécurité des données et la gestion des accès devraient faire partie de la politique de sécurité de chaque compagnie, car la faille peut venir de l’intérieur. Des éditeurs proposent aujourd’hui des plateformes complètes permettant le respect des politiques de sécurité en matière d’authentification et
d’accès des utilisateurs. « Il faut veiller à ce que les équipes aient accès uniquement à la partie du
réseau ou du système dont elles ont besoin pour travailler », conseille Gabriela Nicolescu.

La formation, un outil essentiel

L’évolution frénétique des technologies contraint les membres de l’Ordre à rester très vigilants, à s’informer et à se former pour s’assurer de gérer la complexité des risques et proposer des solutions innovantes. «Ce qui est inquiétant
actuellement, c’est que les compagnies ne trouvent pas de maind’œuvre qualifiée, constate Gabriela Nicolescu. Face à une pénurie de
main-d’œuvre dans le domaine, les universités doivent former les talents, et les entreprises doivent trouver comment les garder.» L’experte en cybersécurité souligne que cette pénurie est due entre autres à l’évolution exponentielle du numérique. Il existe ainsi un
véritable enjeu de formation des membres de l’Ordre en cybersécurité. «Leurs compétences assureront le succès des compagnies, affirmet-elle. À cet égard, Polytechnique Montréal propose des programmes de certificat en sécurité ainsi qu’un parcours entrepreneurial spécifique au domaine, et plusieurs projets de recherche concernent la cybersécurité. L’innovation est nécessaire dans un domaine en pleine expansion comme la cybersécurité, conclut Gabriela Nicolescu. Nous voulons encourager une partie des finissants à mettre au point de nouvelles solutions dans les laboratoires de recherche ou encore à fonder leur propre entreprise afin
de proposer des solutions commerciales en cybersécurité.»

Le gouvernement québécois a mis sur pied le Programme d’innovation en cybersécurité du Québec (PICQ) pour soutenir financièrement les entreprises qui voudraient réaliser des projets de recherche en cybersécurité.