La véritable menace de la cybersécurité est à venir

«La cybersécurité n’est pas une priorité. Elle est considérée comme une simple extension de l’informatique», souligne l'auteur.
Photo: Philippe Huguen Agence France-Presse «La cybersécurité n’est pas une priorité. Elle est considérée comme une simple extension de l’informatique», souligne l'auteur.

Les données bancaires de millions de personnes sont volées, les GAFA commercialisent les données personnelles de leurs utilisateurs, les données médicales disparaissent… Il ne se passe pas un jour sans que la cybersécurité fasse la une des journaux. Pourtant, ce ne sont là que les signes avant-coureurs d’une catastrophe future.

Une nouvelle étude sur la cybersécurité se concentre sur l’aspect physique de ce phénomène : que se passe-t-il si un robot est attaqué ? Un train connecté déraille ? Ou un réseau électrique entier ?

Une étude intitulée « La cybersécurité au Québec 2019 » a révélé que le véritable danger de la cybercriminalité n’est pas tant le vol de données personnelles que l’attaque contre les technologies opérationnelles (TO) qui peuvent endommager des biens physiques et même mettre en danger des vies humaines.

En effet, la tendance dominante de l’économie est précisément la numérisation des TO et leur interconnexion avec les systèmes d’information dans le cadre d’un processus appelé Industrie 4.0, ou aussi Internet des objets (IdO).

Vulnérables

Cette nouvelle évolution accroît l’efficacité des organisations, mais aussi leur vulnérabilité. Près des deux tiers des entreprises canadiennes interrogées ont déjà numérisé tout ou partie de leurs TO, la majorité d’entre elles adoptant le paradigme de l’industrie 4.0, qui implique la convergence des technologies de l’information (TI) et des TO dans une plateforme infonuagique.

Il s’agit là d’un risque nouveau. Sommes-nous protégés ? Non, disent les auteurs de l’étude de l’Alliance canadienne des technologies avancées (CATA) avec la participation de CyberNB et Siemens Canada.

Environ 70 % des entreprises avancées ont des pratiques de cybersécurité défaillantes ou incomplètes. Cependant, ce sont elles qui gèrent les robots et surtout les capteurs et actionneurs qui se répandent dans notre environnement. Elles constituent également le segment le plus avancé de l’économie canadienne.

Cela ne veut pas dire que ces entreprises ne font rien pour assurer leur protection, c’est juste qu’elles n’ont pas déployé une stratégie globale à cette fin. Les trois actions de base d’une telle stratégie impliquent la réalisation régulière d’un audit complet des systèmes d’information, la présence d’un programme formel de cybersécurité et la nomination d’un responsable de la sécurité des systèmes d’information (RSSI). Ces trois actions sont les règles minimales de cyberhygiène .

Comment se fait-il que ce segment privilégié compte jusqu’à 70 % de « mauvais élèves » ? Tout d’abord, les entreprises consultées ont des budgets insuffisants : près des deux tiers investissent moins de 100 000 $ par année dans leur cybersécurité. Mais une telle explication ne fait que repousser le problème, qui est plutôt culturel.

Priorité

La cybersécurité n’est pas une priorité. Elle est considérée comme une simple extension de l’informatique et lorsqu’un budget doit être réduit, c’est là que les investissements sont constamment reportés.

Pourtant, le principal outil de lutte contre la cybercriminalité n’est pas coûteux. Tous les RSSI experts d’infrastructures critiques consultés dans le cadre de cette étude sont formels : le partage de l’information est la base de toute stratégie de sécurité.

Ne vous y trompez pas : il ne s’agit pas de réseautage social. Le partage de l’information est un processus systématique et formalisé pour prévenir les incidents de cybersécurité — il peut même être l’outil le plus efficace disponible dans la boîte à outils de sécurité.

Aucune entreprise n’est en mesure de lutter contre la cybercriminalité isolément. Mais trop souvent, cependant, les dirigeants travaillent en vase clos et si leur entreprise est attaquée, c’est la loi du silence qui prévaut. Les auteurs de l’étude dénoncent cette attitude paranoïaque.

Dans le cadre de la lutte contre cette culture d’entreprise fermée, l’Union européenne a produit une directive en 2016 pour rendre obligatoire le partage d’informations entre infrastructures critiques. En Israël, le partage d’informations est exempté de poursuites antitrust. Le gouvernement canadien s’inscrit dans ce mouvement. Les infrastructures réglementées, comme le secteur de l’énergie et des finances, ont l’obligation de partager.

L’étude sur la cybersécurité au Canada laisse entendre que l’État a un rôle à jouer dans l’établissement d’un système national de partage de l’information. Que nous adoptions une approche réglementée ou incitative, il est essentiel de briser la culture du silence et du déni pour promouvoir le partage des informations. Il est temps d’étendre le périmètre de protection.

À voir en vidéo