La pandémie de coronavirus est une aubaine pour les cybercriminels qui excellent à trouver les failles dans les défenses des entreprises et dont les demandes de rançon se révélaient déjà payantes.

Il n’a fallu que quelques semaines après le début de l’imposition des mesures de confinement au Canada pour que le groupe spécialisé en cybersécurité de la firme d’avocats d’affaires Blakes voie doubler, et même tripler, le nombre de cyberattaques qui lui étaient rapportées, raconte l’un de ses associés, Imran Ahmad. « Mais ce n’est probablement rien à comparer de ce que les gens vont trouver lorsqu’ils retourneront dans les bureaux et remettront en route leurs ordinateurs », prévient l’avocat.

C’est que le contexte actuel se révèle particulièrement favorable aux cybermalfaiteurs, a-t-il expliqué mardi en entretien téléphonique au Devoir. Leur art consiste à trouver les failles par lesquelles s’introduire dans le système informatique de l’entreprise. « Lorsqu’autant de gens passent au télétravail du jour au lendemain, le nombre de failles possibles se multiplie très rapidement. Elle peut se trouver dans votre ordinateur personnel, dans des logiciels qui n’ont pas été mis à jour, dans une connexion Wifi mal sécurisée… »

On se méfiera moins aussi du fichier (contenant un logiciel malicieux) accompagnant un courriel venant d’un soi-disant ministère ou organisme de bienfaisance, ou encore du soi-disant courriel d’un supérieur ou d’un client (dont le compte a été infiltré par un pirate) qui réclame, en raison des règles de confinement, un paiement par virement électronique plutôt que par chèque.

Sombre portrait

La firme Blakes a dévoilé, la semaine dernière, ce qu’elle présente comme le premier portrait d’ensemble de la cybersécurité des entreprises au Canada. Il est basé sur les enquêtes réalisées par des entreprises spécialisées sur plus de 250 cyberincidents ainsi que sur les données rendues publiques par des commissariats à la protection de la vie privée et par près de 800 sociétés inscrites en bourse.

On y apprend, entre autres, que les secteurs des services professionnels (24 %), de la finance (19 %), des technologies (15 %) et de la santé (13 %) sont le plus souvent visés par des cyberattaques en raison de leurs grands volumes de données personnelles ou critiques. Le plus souvent (35 % des cas), il s’agit de demande de rançon, sans le paiement desquelles les pirates menacent de détruire ou de rendre public ces données (rançongiciels). La prise de contrôle à distance de comptes courriels arrive en deuxième (24 %).

Dans plus de la moitié des cas (53 %), les entreprises choisissent de verser la rançon demandée, c’est-à-dire moins de 20 000 $ dans un tiers des cas, une somme allant de ce montant jusqu’à 100 000 $ pour un autre tiers des cas, mais parfois de 100 000 $ à 250 000 $ (16 %), voire plus encore (15 %). « Depuis un an, on observe une augmentation du degré de sophistication des rançongiciels et des montants réclamés », explique Imran Ahmad. Confrontées à la perspective de voir leurs activités et leurs relations d’affaires bouleversées pendant deux semaines (28 %), le double du temps (24 %), sinon plus longtemps encore (23 %), plusieurs entreprises préfèrent, en effet, acheter la paix.

Lorsqu’autant de gens passent au télétravail du jour au lendemain, le nombre de failles possibles se multiplie très rapidement.

— Imran Ahmad

Motus et bouche cousue

Plus des deux tiers (69 %) des victimes de cyberincidents ne rapportent pas l’affaire aux autorités. La loi ne les y oblige pas, précise l’avocat. « Certains sont embarrassés de ce qui leur est arrivé. » D’autres estiment probablement que les forces de l’ordre ne disposent pas des moyens de lutte suffisants pour démanteler des réseaux criminels qui s’étendent souvent par-delà les frontières.

Parmi les principales entreprises inscrites à la Bourse de Toronto, moins de la moitié (41 %) indiquent s’être dotées d’une politique en matière de cybersécurité et seulement 11 % ont mis en place des mesures de chiffrage des données pour protéger les renseignements confidentiels. Les premiers de classe en la matière se trouvent les secteurs pétrolier et gazier.

« Toutes les entreprises seront, un jour ou l’autre, victimes d’un cyberincident. Mieux elles y seront préparées, plus elles en limiteront les dommages », dit Imran Ahmad.

Par ailleurs, au moins 28 millions de Canadiens auraient été touchés par des fuites de données personnelles de la fin 2018 à la fin 2019. Ces derniers ne doivent pas trop compter sur des réparations financières, les quelques actions collectives ayant abouti à un règlement, jusqu’à présent, n’ayant rapporté que de 15 $ à 100 $ par personne.