•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Les PME québécoises trop vulnérables aux cyberattaques

Un homme travaille avec une coupeuse automatisée au plasma.
Une cyberattaque dans une entreprise de Laval a même eu des conséquences sur les outils. Photo: Radio-Canada / Janic Tremblay
Janic Tremblay

Des experts en cybersécurité croient que les menaces de piratage informatique devraient être prises beaucoup plus au sérieux par les PME québécoises. Les conséquences d'une cyberattaque peuvent être très importantes, comme l'ont appris à leurs dépens plusieurs petites entreprises.

Les étincelles des machines à souder jaillissent aux quatre coins des immenses locaux de l'entreprise Laurin inc., à Laval. Les échos des coups de marteau résonnent de partout. Les travailleurs sont à pied d’oeuvre. Ils fabriquent des conteneurs environnementaux réputés pour leur solidité et leur durabilité.

À la veille de la reprise de la saison des grands travaux et de la rénovation, les produits de chez Laurin seront évidemment recherchés. Le président de l’entreprise, Frederic Albert, affiche une mine réjouie en constatant le rythme soutenu de la production.

Il y a quelques semaines, il était beaucoup plus inquiet. Laurin s’est retrouvée au bord du précipice quand un pirate s’est introduit dans le système informatique de la PME au début du mois de février. Tous les ordinateurs sont devenus inutilisables. Un véritable cauchemar.

On s’est fait pirater au cours de la nuit. Les employés sont arrivés au matin et il y avait un message sur tous les écrans des ordinateurs qui expliquait que notre système était gelé. Il y avait aussi une adresse de courriel afin de communiquer avec les pirates.

Frederic Albert, président de Laurin inc.

Instantanément, tout est devenu inaccessible. Les courriels. La comptabilité. La facturation. La liste de clients. Le carnet de commandes.

Frederic Albert devant la porte du magasin.Lorsqu'il a repris la compagnie Laurin il y a quelques mois, Frederic Albert n'a pas pensé que l'entreprise serait la cible d'une cyberattaque. Photo : Radio-Canada / Janic Tremblay

« Tout ça, c’est le coeur de l’entreprise », explique Frederic Albert.

Et il y avait encore pire. Tous les programmes de la coupeuse automatisée au plasma, qui permet de fabriquer des pièces complexes, avaient disparu. Des lignes et des lignes d’instructions précises, préparées depuis des années par le programmeur en contrôle numérique Carol Michaud qui s’est senti comme s’il frappait un mur.

« C’était un knock-out, ou alors comme une grosse mise en échec au hockey quand on perd le souffle. On retournait à des modes de production entièrement manuels. Sauf que pour certaines pièces complexes, c’était carrément impossible de les faire à la main. On devait interrompre la fabrication de certains produits », explique Carol Michaud.

Frederic Albert a acquis Laurin inc. au début de 2019. Les données de l’entreprise n’ont jamais fait l’objet de discussions ou d’une quelconque vérification de préachat lors de la transaction. Lors du piratage, le nouveau propriétaire s’est rendu compte que la sauvegarde de toutes les données se trouvait sur le réseau de l’entreprise. Elle avait donc été compromise comme tout le reste. Impossible de compter là-dessus pour repartir. Et la dernière sauvegarde sur un disque dur externe remontait à... six ans. Autant dire une éternité pour une PME.

Le reportage de Janic Tremblay sera diffusé le 14 avril à Désautels le dimanche sur ICI PREMIÈRE.

Selon José Fernandez, professeur et chercheur en cybersécurité à Polytechnique Montréal, on a tendance à oublier l’importance des données pour une entreprise.

« Une partie importante de la valeur des PME, ce sont des actifs informationnels, dit-il. Les listes de clients, les procédés industriels, les recettes secrètes, les bases de données de pièces ou de procédés, etc. Si on perd ça, on perd la valeur de l’entreprise! »

Portrait du professeur.José Fernandez est professeur agrégé au Département de génie informatique et génie logiciel de Polytechnique Montréal. Photo : Courtoisie Polytechnique Montréal

Le chercheur en cybersécurité estime que toutes les PME sont concernées. Du producteur de sirop d’érable beauceron au chocolatier du Plateau-Mont-Royal, en passant par le fabricant de meubles de la Mauricie.

Les PME dépendent toutes à un niveau ou un autre de l’informatique. Nombre d’entre elles sont inconscientes des risques. Il y a un important manque de connaissance.

José Fernandez, professeur et chercheur en cybersécurité de Polytechnique Montréal

Il plaide également en faveur d’une meilleure vérification des risques et de la disponibilité de copies de sauvegarde lors des ventes d’entreprises.

José Fernandez rappelle que des milliers de PME changeront de main au Québec au cours des prochaines années. Des ventes d’entreprises où il faudra impérativement scruter davantage la sécurité des données.

« Je pense qu’à terme, les compagnies d’assurances, les avocats et les comptables auront un rôle à jouer à ce chapitre afin d’évaluer les risques et conseiller les parties lors des transactions. »

C’est un avis que partage entièrement Alexis Dorais-Joncas. Le directeur du bureau montréalais de la compagnie de cybersécurité ESET pense que des clauses relatives à la sécurité des données devraient être automatiquement incluses dans tous les contrats de vente d’entreprises.

Du piratage de données, il en voit presque tous les jours. Encore une fois parce que la protection n’est pas une priorité. Il raconte d’ailleurs une anecdote qui en dit long. Quand il était étudiant à l’université, il s’était occupé de mettre en place un réseau d’entreprises dans une PME. Quinze ans plus tard, il a appris que ce même réseau n’avait jamais été mis à jour.

« Des tas de données s’étaient accumulés. Le système d’exploitation n’avait pas été mis à jour et n’était plus supporté. Les politiques de sécurité n’intégraient pas les nouvelles connaissances. Ils ne se sont pas fait attaquer, mais ils auraient été très vulnérables à un rançongiciel », dit M. Dorais-Joncas.

Un homme devant des plantes.Alexis Dorais-Joncas dirige l'entreprise de cybersécurité ESET. Photo : Radio-Canada / Janic Tremblay

Il pense que de très nombreuses entreprises sont dans la même situation et qu’une grande opération de sensibilisation est devenue nécessaire.

« Je ne connais pas de publicités, d’incitatifs ou de programmes gouvernementaux dédiés à la cybersécurité des PME. Pourtant, ce sont des acteurs-clés de l’économie de la province. On devrait contribuer à élever leur niveau de protection contre les cyberattaques. »

Et les données de Laurin dans tout ça? Pour les récupérer, Frederic Albert a exclu d’emblée la police, qui est bien mal outillée pour ce genre de crime dont les auteurs peuvent se trouver n’importe où sur la planète.

Il a plutôt choisi le coup de poker. Avec l’aide d’experts en informatique, il a entamé des négociations avec les pirates. Ils se sont finalement entendus pour 1 bitcoin, dont le cours très fluctuant se situait alors à environ 5000 $. Une stratégie risquée, car il arrive que les pirates ne respectent pas leur parole et n’envoient jamais les clés de décryptage après avoir obtenu leur rançon. Le chef d’entreprise en était bien conscient.

On jouait six années de données. On n’avait pas le choix d’essayer, même si on ne contrôlait rien. Sinon, nous étions confrontés à des centaines de milliers de dollars de dépenses et le risque de perdre des contrats. Il fallait tenter le coup.

Frederic Albert, président de Laurin inc.

Dans ce cas, ça a fonctionné. L’entreprise a retrouvé toutes ses données et recourt maintenant à une solution infonuagique pour se protéger. Si Frederic Albert a accepté de raconter son histoire, c’est pour aider les autres. « Mes amis entrepreneurs à qui je raconte cette histoire sont loin de tout savoir en ce qui concerne la sécurité de leurs données et leurs sauvegardes hors réseau. Je peux vous dire qu’ils prennent tous des notes! »

Cybersécurité

Économie