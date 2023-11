Ces dernières semaines, des cyberattaques au rançongiciel ont ciblé des services publics en Ontario. Les données de près de 270 000 patients et employés de cinq hôpitaux ontariens ont été volées. Plusieurs services informatiques de la Bibliothèque publique de Toronto continuent aussi d’être paralysés. Dans les deux cas, les organismes assurent ne pas avoir payé de rançon.

Radio-Canada a interviewé le spécialiste en cybersécurité et chargé de cours à l'Université de Sherbrooke Steve Waterhouse au sujet de la vulnérabilité des services publics.

Cette entrevue a été écourtée et éditée à des fins de concision.

Rançongiciel dans les cinq hôpitaux du Sud-Ouest de l'Ontario. Plus tôt cette année, il y a eu aussi deux attaques des systèmes de la LCBO et d'autres hôpitaux, SickKids notamment. S’en prendre à des services publics, est-ce une tendance que vous observez?

Steve Waterhouse: Il y a un net accroissement au cours des trois dernières années. Tous les établissements qui ont été frappés sont souvent repérés sans discrimination, parce qu'on sait très bien que les systèmes d'information vont repérer des 0 et des 1 sans faire de distinctions politique, géographique ou de quoi que ce soit, mis à part lorsqu'il est temps d'identifier quel type d'organisation est derrière l'adresse IP qui a été repérée et dont le système est vulnérable.

Il y avait un certain mot d'ordre qui avait été donné [parmi les groupes cybercriminels] de ne pas s'en prendre aux hôpitaux, mais il y en a d'autres qui ont pris la relève. On sait qu’à un hôpital, ils sont étirés de tous bords, c'est pressant de retrouver l'accès le plus rapidement possible. Donc, les cybercriminels misent sur cette urgence de retrouver l'accès rapidement aux systèmes d'information et espèrent que le paiement se fera rapidement. Il y a eu des plans d'urgence qui ont été mis en place dans le Sud-Ouest de l'Ontario pour rediriger les patients à gauche et à droite, sans nécessairement payer de rançon.

Quel est le niveau de préparation contre les cyberattaques des systèmes publics en Ontario?

S.W. : La seule donnée mesurable qu'on a, c'est de voir qu'une organisation a été victime d'une cyberattaque et que d'autres ne le sont pas. Le mot d'ordre est lancé : soyez préparés, connaissez les menaces et prenez note de vos vulnérabilités, d'en faire l'inventaire. Et après ça, corrigez-les le plus rapidement possible, chaque mois.

Si les professionnels voués à la cybersécurité ne voient pas le danger, ou bien que les différents paliers de gestion ne reconnaissent pas la sécurité de l'information comme étant un élément essentiel, c'est certain que les cybercriminels profiteront de leur garde baissée et les exploiteront.

Ouvrir en mode plein écran Le spécialiste en cybersécurité Steve Waterhouse considère que les cybercriminels cherchent à pénétrer les systèmes informatiques de manière indiscriminée. Ce n'est qu'après coup qu'ils réalisent l'identité de leur victime, dit-il. Photo : Radio-Canada

La cyberattaque contre la Bibliothèque publique de Toronto est survenue le 27 octobre. Plus d’une semaine plus tard, ce n’est toujours pas réglé. Cette durée vous surprend-elle?

S.W. : La Bibliothèque doit procéder nécessairement à un nettoyage et surtout à un inventaire en détail de ses systèmes et aussi comprendre la portée qu’a eue l'attaque, parce que généralement les groupes de cybercriminels vont s'y prendre en deux phases.

La première va être d'inspecter l'intérieur du réseau et de ramasser toute information qui pourrait être vendable, puis de geler les opérations de tous les systèmes d'information qui ont été exposés. Donc, c'est une étape de double rançon et généralement les organisations reçoivent la recommandation de ne pas payer de rançon.

Mais si elles sont acculées au pied du mur, sans aucune autre possibilité pour reprendre rapidement leurs activités, c'est alors qu’une négociation peut éventuellement s'entamer avec les cybercriminels.

Ouvrir en mode plein écran Les ordinateurs en libre-service de cette succursale de la Bibliothèque publique de Toronto ont été bloqués. Photo : CBC/Haydn Watters

Justement, la Bibliothèque vient de confirmer qu’il s’agit d’un rançongiciel. Elle dit ne pas avoir payé la rançon et avoir averti la police. Comment règle-t-on le problème?

S.W. : S'en sortir rapidement, c'est utopique. Il faut savoir par où ils sont entrés, premièrement, et après, quels systèmes ont été impactés. Faire cet inventaire prend souvent du temps.

Publicité

C’est arrivé à la Société de transport de Montréal et ça nous a pris quand même six semaines. Dans les mois précédents, ils avaient fait un exercice de recouvrement à la suite à une cyberattaque par rançongiciel. Donc, même les mieux préparés devront prendre du temps à récupérer d'un tel événement.

Il s'agit premièrement de prendre connaissance de qui sont les acteurs de menaces en jeu. Si une organisation néglige de reconnaître la menace et surtout ses vulnérabilités, c'est là qu'elle est désavantagée. Ce sont toujours les mêmes leçons qui reviennent postincident, c'est-à-dire prendre connaissance en amont et appliquer les meilleures pratiques, et faire ça régulièrement.

Qu'est-ce qui doit être fait pour protéger les données et les systèmes publics?

S.W. : Le Centre canadien pour la cybersécurité fait un travail de sensibilisation et d'éducation, mais de façon passive. Le gouvernement de l'Ontario tout comme d'autres ordres de gouvernement à travers le pays ne mettent pas assez d'efforts pour activement faire en sorte que les organisations soient reconnues comme étant cybersécuritaires.

Tout établissement public devrait être certifié pour reconnaître qu'il applique les meilleures pratiques. Mais une fois que ces organisations sont certifiées, il faut une vérification constante. Si les systèmes d'une municipalité qui distribue l'eau potable à X centaines de milliers de résidents deviennent hors-ligne, c'est pas juste la facture qui arrivera pas. L'eau ne se rendra pas jusqu'au robinet.

C'est pour cela qu'il faut un rehaussement à travers les différents paliers de gouvernance, prendre la question au sérieux et poser des actions concrètes.

Propos recueillis par Mirna Djukic