Nous vivons dans un monde sans cesse plus numérique, et 2022 ne ralentira pas l’ampleur de ce virage. Or, il y a toujours un risque de dérapage quand on emprunte un virage à pleine vitesse. C’est tout aussi vrai quand il est question de virage numérique. Dans ce premier article d’une série de trois : le cas du Canada, une cible de choix de la cyberguerre mondiale.

Devant l’ampleur croissante des cybermenaces, le gouvernement américain renforcera cette année les contraintes imposées aux entreprises établies sur son territoire pour mieux lutter contre ces attaques. Les États-Unis ne clament pas ouvertement être en cyberguerre, mais c’est tout comme. Ce qui pourrait faire du Canada et de ses propres entreprises une cible de choix pour les cyberattaques.

Washington, qui jusqu’ici se limitait à encourager l’adoption par les entreprises et ses propres organismes des meilleures pratiques en matière de sécurité informatique, souhaite transformer cela en exigences : les logiciels devront être mis à jour, les brèches devront être colmatées et les failles devront être divulguées.

Cette position renforcée affectera surtout les entreprises des secteurs économiques jugés cruciaux aux États-Unis : énergie, transport, alimentation, etc. Cela ne manquera toutefois pas de percoler jusqu’aux entreprises québécoises qui font affaire dans ces secteurs aux États-Unis, constate Benoît Gagnon, vice-président Cyberenquêtes et intervention en cas d’incidents pour la firme de sécurité montréalaise Forensik.

« En 2022, la sécurité informatique est le nouveau prix à payer pour faire des affaires aux États-Unis et au Québec, dit-il. Les exigences en matière de protection des données seront de plus en plus élevées pour les fournisseurs. Il vaut mieux agir maintenant, avant que ça ne leur éclate au visage. »

Cela dit, même sans directive gouvernementale additionnelle, le secteur canadien des affaires a intérêt à s’armer contre les cybermenaces, qui le ciblent de plus en plus fréquemment. La raison est la plupart du temps géopolitique, indique le Centre de la sécurité des télécommunications (CST), l’organisme fédéral chargé de la sécurité informatique du pays. Dans un rapport publié en décembre dernier, le CST concluait que le Canada est une cible de choix, car il est un proche allié des États-Unis qui n’a pas une politique de cybersécurité aussi belliqueuse que son voisin.

Les risques de cibler ses actifs sont perçus, par les cyberpirates qui se font pincer, comme moins élevés que s’ils s’en prenaient directement à des éléments américains. Le CST a d’ailleurs répertorié 235 cyberattaques par rançongiciel au pays entre janvier et novembre 2021. Cela en fait le troisième pays le plus ciblé dans le monde par ce type d’attaques, ajoute la firme informatique NordLocker.

Un prix de plus à payer

Le CST est bien au fait du sérieux de la situation, mais ses pouvoirs sont limités. Il n’aurait pas les moyens d’imposer à des entreprises canadiennes un décret comme celui du président Biden. Le Conseil du trésor du Canada et le ministère de l’Innovation, des Sciences et du Développement économique devraient être impliqués dans un tel geste.

Cela dit, les dispositions nouvellement adoptées aux États-Unis pourraient représenter un fardeau moindre pour les entreprises faisant des affaires au Québec qui se sont déjà soumises aux directives du projet de loi 64 adopté par le gouvernement Legault l’automne dernier. Celui-ci resserre la protection des renseignements personnels et de la vie privée pour minimiser les risques associés à la manipulation de ces données dans un contexte d’affaires de plus en plus numérisé.

Cette nouvelle réalité ajoute une pression de plus sur la croissance des entreprises canadiennes, dit Benoît Gagnon. Surtout sur les PME, « qui n’ont pas les mêmes ressources » que les plus grandes sociétés pour s’ajuster, et qui doivent de surcroît composer avec une double pénurie de main-d’œuvre : l’expertise en sécurité informatique est encore plus difficile à trouver que des travailleurs spécialisés dans d’autres domaines d’activité.

Il manque à l’heure actuelle quelque 2,7 millions d’experts en cybersécurité dans le monde, selon un rapport publié avant Noël par l’International Information System Security Certification Consortium, ou (ISC) ², une référence internationale en la matière.

Comme on s’en doute, l’émergence du télétravail et le virage numérique provoqués par la crise de la COVID-19 ont exacerbé la situation. « Les entreprises ont rapidement adopté des outils de travail à distance et des systèmes qui n’ont pas tous le même niveau de sécurité », craint Benoît Gagnon.

Sécurité nationale

 

Depuis le printemps 2021, le gouvernement américain a accusé à plus d’une reprise la Chine et la Russie d’avoir commandé des attaques informatiques contre ses infrastructures ou contre des entreprises jugées essentielles au bon fonctionnement de l’économie américaine. Les deux pays ont nié leur implication, mais la table est mise pour une nouvelle forme de guerre froide, où l’enjeu concerne davantage les frontières cybernétiques que géographiques.

La principale stratégie : fragiliser les chaînes d’approvisionnement de ses rivaux à grands coups de logiciels malveillants ou d’attaques par rançongiciel. Ces derniers mois, des infrastructures clés des secteurs américains de l’énergie, de l’alimentation et des services infonuagiques ont été la cible de telles manœuvres.

Le secrétaire à la Sécurité intérieure des États-Unis, Alejandro Mayorkas, considère désormais comme une menace à la sécurité nationale les rançongiciels, ces bouts de code qui verrouillent les systèmes informatiques et qui exigent une rançon pour rétablir leur bon fonctionnement. L’été dernier, le président Joe Biden a publié un décret qui force un nombre sans cesse grandissant d’entreprises à adopter les meilleures pratiques en matière de sécurité informatique. Celles-ci doivent aussi obligatoirement rapporter les tentatives de cyberattaques les ciblant.

Chris Inglis est devenu en juillet dernier le premier directeur national de la cybersécurité des États-Unis. Son rôle : développer et orchestrer le déploiement d’une stratégie de défense contre les cybermenaces qui engage à la fois les organismes gouvernementaux et les sociétés privées américaines.

Les experts s’attendent à ce qu’il publie dans les prochaines semaines des directives encadrant plusieurs secteurs névralgiques (alimentation, aviation, aqueducs, etc.) pour leur éviter d’être les prochaines victimes de cette guerre froide en édition cybernétique. Le Canada devra tôt ou tard s’ajuster à cette nouvelle cyberréalité.