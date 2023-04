Alors que les cyberattaques deviennent de plus en plus complexes, la charge de sécuriser les réseaux et les données informatiques pèse toujours sur les utilisateurs et non pas sur les fournisseurs des services et fabricants de produits technologiques. Une réalité qui serait sur le point de changer au Canada, selon le Centre canadien pour la cybersécurité.

Cette idée a déjà commencé à faire son chemin ailleurs dans le monde, notamment en Europe, où un projet de loi sur la cyberrésilience a été présenté en septembre dernier. Cette législation vise à imposer des règles plus strictes aux fabricants et vendeurs de technologies dans le but de renforcer la sécurité de leurs produits et de fournir aux consommateurs les informations suffisantes sur la fiabilité de ces produits.

En mars dernier, c’était au tour des États-Unis de franchir un pas dans le même sens. Le manque de jugement momentané d'une seule personne, l'utilisation d'un mot de passe obsolète ou le clic sur un lien suspect ne devraient pas avoir de conséquences sur la sécurité nationale. Notre cyberrésilience collective ne peut pas reposer sur la vigilance constante des organisations et des citoyens , peut-on lire dans la nouvelle Stratégie nationale pour la cybersécurité présentée par la Maison-Blanche.

Au Canada, des consultations sont toujours en cours pour réformer la stratégie nationale pour la cybersécurité de 2018, affirme dans un entretien Sami Khoury, dirigeant principal du Centre canadien pour la cybersécurité.

C’est sûr qu’on va tirer les meilleurs points de la stratégie américaine et de celle de nos autres alliés pour s’assurer qu’il y a un bon alignement , affirme-t-il.

Selon Fortinet, un intérêt pécuniaire motive 75 % des cyberattaques. Photo : iStock

Le 13 avril, son organisme, qui fait partie du Centre de la sécurité des télécommunications (CST), l’agence qui supervise la cybersécurité pour le gouvernement fédéral, s’est d’ailleurs prononcé en faveur d’une plus grande responsabilisation des entreprises en matière de cybersécurité.

Dans un guide , publié conjointement avec des agences de cybersécurité de plusieurs pays, dont les États-Unis, l’Australie, la Nouvelle-Zélande, le Royaume-Uni, l’Allemagne et les Pays-Bas, le Centre canadien pour la cybersécurité souligne la nécessité de transférer aux fabricants la charge des risques liés à la cybersécurité pesant actuellement sur les clientes et clients, en les encourageant à concevoir des produits qui sont sécurisés par défaut et dès la conception .

« Nous voulons encourager les manufacturiers de logiciels ou d’équipements technologiques à s'assurer que la sécurité est intégrée et non pas optionnelle. […] La responsabilité ne doit pas dépendre uniquement des utilisateurs; les [fabricants], eux aussi, ont un rôle important à jouer pour relever la barre de sécurité de leurs produits. » — Une citation de Sami Khoury, dirigeant principal du Centre canadien pour la cybersécurité

Une responsabilité partagée

Ces mesures représentent une très, très bonne nouvelle pour Dominique Rodier, directeur régional des ventes de technologies opérationnelles pour Fortinet, un fournisseur de cybersécurité.

Il rappelle par ailleurs que le Canada a dévoilé en juin 2022 le projet de loi C-26 qui vise à mieux protéger les systèmes vitaux pour la sécurité nationale et donner aux autorités de nouveaux outils pour répondre aux dangers émergents dans le cyberespace.

Avec cette loi, le gouvernement cherche à responsabiliser les gens en s’assurant qu’ils ont les connaissances requises pour s’assurer qu’on met la sécurité de l’avant , dit le responsable de Fortinet Canada, qui compte des clients du secteur public, mais aussi des entreprises privées. Ce n’est pas en installant un simple équipement qu’on sera protégés. C’est plus qu’un logiciel de sécurité dont on a besoin, c’est [d']une philosophie.

De son côté, le spécialiste en cybersécurité Steve Waterhouse affirme que les citoyens devront quand même continuer de porter une part de responsabilité dans la sécurisation de leurs réseaux et données informatiques.

Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense nationale et spécialiste en cybersécurité. (Photo d'archives) Photo : Radio-Canada

Comme citoyens, nous devons agir en toute responsabilité , explique-t-il. En faisant le minimum − comme gérer les mots de passe ou garder ses appareils à jour − on renforce la cybersécurité tout en réduisant les menaces d’attaques cybercriminelles.

Selon lui, en l’absence de lois contraignantes, la responsabilité des entreprises est plutôt d’ordre moral .

« Les institutions financières sont régies par toutes sortes de réglementations, ce qui fait en sorte qu’elles sont forcées de mettre en place les systèmes les plus à jour possible, mais il y a beaucoup d’entreprises qui ne font que le strict minimum parce qu’elles ne sont pas contraintes à faire plus. » — Une citation de Steve Waterhouse, expert en cybersécurité

Cet ancien officier de sécurité informatique au ministère de la Défense nationale se dit par ailleurs inquiet du rythme accéléré auquel les technologies se développent. L’évolution est tellement rapide que le temps de comprendre comment un système fonctionne, il y a déjà un nouveau qui vient le remplacer. Alors on s’y perd.

Et avec les avancées technologiques, les cybermenaces gagnent en complexité, ce qui complique de plus en plus la protection des données. C’est ce que constate aussi Sami Khoury : On voit que les auteurs de menaces emploient des outils et des capacités qui sont plus sophistiqués que l’année dernière et celle d’avant. L’ampleur des menaces a elle aussi augmenté.

Télétravail et vulnérabilité

Il y a une semaine, le Canada a été la cible d’une série de cyberattaques revendiquées par des groupes prorusses visant des sites d’entités gouvernementales et non gouvernementales.

Mardi dernier, le site web du premier ministre Justin Trudeau, ainsi que ceux des ports de Québec et de Montréal, de la Banque Laurentienne et d’Hydro-Québec, entre autres, ont été bloqués par des pirates.

Jeudi dernier, M. Khoury a affirmé que ces attaques avaient fait plus de peur que de mal, mais que la menace de causer plus de dommages, notamment physiques, est bien réelle .

Le groupe russe NoName057(16) a revendiqué la cyberattaque visant le site d'Hydro-Québec sur le réseau social Telegram. Photo : Telegram

Selon lui et les autres experts interrogés, le risque zéro n’existe tout simplement pas. Tout ce qui est connecté à Internet pose un risque , a dit le responsable du Centre canadien pour la cybersécurité lors d’un entretien téléphonique.

« Le conseil le plus important qu’on puisse donner aux entreprises, c’est d’assurer la sécurité de leurs infrastructures s’il y a un besoin de se connecter à Internet, mais, malheureusement, c’est souvent la commodité qui l’emporte. » — Une citation de Sami Khoury, dirigeant principal du Centre canadien pour la cybersécurité

Les risques sont encore plus grands avec la montée en popularité du télétravail depuis le début de la pandémie.

Si vous voulez avoir accès au système informatique [de votre entreprise] depuis votre maison, il faut que la sécurité soit la priorité numéro un et, idéalement, ne connectez pas vos systèmes de technologies opérationnelles à Internet , recommande M. Khoury. Il y a d’autres façons de se connecter qui sont plus sécuritaires.

Même constat du côté de M. Rodier, qui affirme qu’avec le télétravail, le réseau s’est considérablement élargi, dans le secteur aussi bien public que privé. D’un point de vue informatique, c’est comme si le réseau s’est étendu d’un seul immeuble à une centaine d’autres immeubles, et il faut tous les sécuriser.

« C’est une course où la sécurité est toujours un peu en arrière par rapport aux malfaiteurs, mais il ne faut absolument pas baisser les bras. Il faut continuer à être vigilant, déployer les mesures à jour et rester à date sur ce qui se passe et ce qui doit être fait. Est-ce qu’il y a moyen de ramener le risque complètement à zéro? Probablement pas. » — Une citation de Dominique Rodier, de Fortinet