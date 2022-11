Ciblé par une cyberattaque le 17 août dernier, l’Institut national de la recherche scientifique (INRS) a dû allonger rapidement près de 270 000 $ pour contenir l’incident, rétablir ses systèmes mis hors d’usage et, surtout, protéger ses données de recherche et les renseignements personnels de ses membres. Un mal nécessaire vu l’urgence et la gravité de la situation, disent des experts consultés par Radio-Canada.

Peu de détails ont filtré jusqu’ici sur l’acte de piratage qui a touché les services informatiques et téléphoniques de l’organisation dédiée à la recherche universitaire de haut niveau et à la formation des étudiants de 2e et 3e cycles.

Soucieux de ne pas divulguer d’information pouvant servir la cause de la ou des personnes derrière l’intrusion dans ses systèmes, l’ INRS préfère ne pas trop s’épancher sur l’évolution de l’enquête et les conséquences que la cyberattaque a eues sur ses activités de recherche et de formation.

Rançongiciel?

Radio-Canada n’a pas réussi à savoir si l’attaque était toujours en cours. Il n’a pas non plus été possible de savoir s’il s’agissait bel et bien d’une attaque menée par un rançongiciel, comme le soupçonnent de nombreux experts.

Dans un message publié sur son site Internet le 4 septembre, l’INRS annonçait que les adresses courriel avec le nom de domaine inrs.ca étaient de nouveau fonctionnelles (archives). Photo : INRS

Dans une déclaration écrite, l’institut dont le siège social est situé à Québec nous a indiqué n'avoir aucune preuve que des données, personnelles ou non, aient été utilisées à des fins malveillantes .

Néanmoins, dès le départ et en prévention seulement, l’ INRS s’est engagé à offrir gratuitement à sa communauté un service de surveillance de crédit et de protection contre le vol d’identité. L’enquête sur la cyberattaque se poursuit, tout comme les efforts de l’organisation pour se rétablir , écrit l’organisation.

Contrats de gré à gré

Une recherche effectuée dans le Système électronique d’appel d’offres du gouvernement du Québec nous apprend que dans les jours ayant suivi le début de la cyberattaque, l’ INRS a accordé à des firmes spécialisées en sécurité informatique deux contrats de gré à gré d’une valeur totale de 268 778 $.

Le premier contrat, d’un montant de 188 778 $, a été octroyé le 23 août à l’entreprise américaine Mandiant Inc., une filiale du géant Google. Le second, d’une valeur de 80 000 $, a été accordé à la compagnie de Québec Micro Logic Sainte-Foy Ltée le 30 août.

Le ministre de la Cybersécurité et du Numérique, Éric Caire, mise en partie sur les pirates éthiques pour aider l’État québécois à détecter les failles de sécurité dans ses systèmes informatiques (archives). Photo : Radio-Canada / Jean-Claude Taliana

Dès que l’ INRS a pris connaissance de la cyberattaque, l’organisation a contacté son assureur, qui lui a recommandé une équipe de consultants externes experts en la matière afin de l’accompagner dans le cadre de l’incident , explique l'établissement de recherche et d'enseignement.

Il précise qu’à l’exception de la franchise, tous les frais relatifs à ces services externes sont à la charge de son assureur.

« Compte tenu de l’urgence de la situation, notamment pour protéger autant que faire se peut les données personnelles et de recherche, il allait de soi que l’ INRS ne pouvait pas procéder par appel d’offres et attendre plusieurs semaines pour ces octrois. » — Une citation de Extrait de la déclaration que l’ INRS a envoyée à Radio-Canada

Le consultant en cybersécurité et propriétaire de la firme Trilogiam, Jacques Sauvé, affirme qu’il est normal qu’une organisation visée par une cyberattaque ait recours à de l’expertise externe, et ce, même si elle dispose déjà d’une équipe de TI .

Une expertise à part

La cybersécurité, c’est une autre paire de manches et lorsqu'on rentre dans des cyberattaques, ça prend des connaissances et des habiletés assez spécifiques. Donc, ça se peut qu'ils aient des ressources de cybersécurité à l'interne, mais peut-être pas nécessairement [en nombre suffisant] et avec les connaissances dont ils auraient besoin pour composer avec un événement de cette envergure , indique M. Sauvé en entrevue à Radio-Canada.

Jacques Sauvé affirme que le nombre de cyberattaques perpétrées au Québec et ailleurs dans le monde augmente d’environ 300% chaque année et que celles dont l’existence est révélée représentent seulement «la pointe de l’iceberg». Photo : Radio-Canada

Il ajoute qu’on retrouve même sur le marché des firmes spécialisées en négociation pouvant venir en aide à des entreprises ou des organisations qu’on tente d’extorquer au moyen d’un rançongiciel.

Tout à fait normal

La valeur des contrats accordés par l’ INRS dans la foulée de la cyberattaque du 17 août lui semble raisonnable pour le travail devant être effectué.

« Toute entreprise, toute organisation qui subit une cyberattaque va typiquement engager des consultants externes pour récupérer, nettoyer, faire ce qu'on appelle l'attribution, déterminer d'où ça vient et qui a fait ça. Donc, c'est tout à fait normal. » — Une citation de Jacques Sauvé, consultant en cybersécurité, propriétaire de la firme Trilogiam

Selon Alexis Dorais-Joncas, spécialiste en cybersécurité chez Proofpoint, tout indique que l’ INRS a été victime d’une attaque menée à l’aide d’un logiciel de rançon. Le recours à une firme spécialisée lui apparaît donc justifié au regard de la tâche à accomplir.

Dans son rapport intitulé Évaluation des cybermenaces nationales 2023-2024, le Centre canadien pour la cybersécurité dit avoir observé une augmentation des menaces visant les gouvernements municipaux et provinciaux. Photo : iStock

Il y a des experts dans cette sous-spécialité de la cybersécurité qui vont entrer en scène et qui vont s'assurer de contenir l'attaque. Donc, identifier les segments des réseaux qui auraient pu être compromis par l'attaquant puis, tranquillement, s'assurer qu'on rebâtit un réseau qui est sécuritaire, que l'attaquant a été bel et bien expulsé et ça, ça peut prendre un certain temps , explique M. Dorais-Joncas.

« Une attaque de type rançongiciel, [c’est une attaque] qui paralyse tout le réseau puis qui prend un certain temps à s'en remettre, tout dépendant du niveau de préparation des organisations qui en sont victimes. » — Une citation de Alexis Dorais-Joncas, spécialiste en cybersécurité chez Proofpoint

Tant et aussi longtemps qu’une entreprise ou une organisation est sous le coup d’une attaque, il ne faut pas se surprendre si, à l’instar de l’ INRS , elle opte pour la discrétion, à tout le moins durant le processus de réponse à l’incident.

Information sensible

C'est normal que les victimes n'en dévoilent pas trop tant qu'on ne sait pas exactement ce qui s'est passé, et surtout tant qu'on ne sait pas si l'attaquant est encore présent dans le réseau. On ne va pas dévoiler toutes nos cartes publiquement, donc je comprends que les organisations ne vont pas tout dévoiler , mentionne Alexis Dorais-Joncas.

Selon Alexis Dorais-Joncas, il existe deux grandes catégories de cyberattaques : celles visant à extorquer des rançons et celles destinées à voler de l’information stratégique, une tactique également connue sous le nom de cyberespionnage. Photo : Radio-Canada

Une fois la menace écartée, la divulgation d’informations dans le cadre d’un postmortem peut s’avérer bénéfique pour l’ensemble des institutions ou entreprises susceptibles d’être visées par une cyberattaque.

Ça permet à tout le monde d'augmenter son niveau de défense parce que tout le monde va avoir appris de l'incident et pouvoir apporter les correctifs nécessaires pour que le même incident ne se reproduise plus , souligne le spécialiste de la cybersécurité chez Proofpoint.

Jacques Sauvé abonde dans le même sens. En misant sur la transparence, sans nécessairement aller dans le fin détail, les victimes de cyberattaques offrent une opportunité éducative à l’ensemble de la population.

La transparence, une exception?

Si des organismes publics comme la Ville de Laval et la Société de transports de Montréal ont été exemplaires dans leur façon de communiquer l’information après avoir été prises à partie par des pirates informatiques, l’opacité demeure la norme, soutient le propriétaire de la firme Trilogiam.

Dans la communauté de cybersécurité, on trouve ça très désolant, le manque de transparence. Ça ne devrait plus être gênant aujourd'hui. Ce sont des choses qui arrivent. On ne parle pas de si ça va arriver, mais de quand ça va arriver et c'est très, très rare les organisations qui sont transparentes lors d'une cyberattaque , déplore Jacques Sauvé.

Le gouvernement du Québec est devenu en 2022 la première juridiction en Amérique du Nord à se doter d’un ministère entièrement consacré à la cybersécurité et au numérique. Photo : Radio-Canada / Sylvain Roy Roussel

Au Québec, l’adoption de la loi 25, qui modernise les dispositions législatives en matière de protection des renseignements personnels, vise justement à dissiper le brouillard entourant les cyberattaques.

Obligations

Une partie des dispositions de la nouvelle loi est entrée en vigueur le 22 septembre 2022. Les autres prendront effet à la même date l’an prochain ou en 2024.

À terme, les organismes publics et les entreprises auront l’obligation d’aviser la Commission d’accès à l’information de tout incident susceptible de compromettre un renseignement personnel.

La loi 25 prévoit notamment des amendes pouvant aller, en cas de récidive, jusqu’à 100 000 $ pour une personne physique et jusqu’à 150 000 $ pour une entreprise ou une organisation publique.