La véritable menace de la cybersécurité est à venir

«La cybersécurité n’est pas une priorité. Elle est considérée comme une simple extension de l’informatique», souligne l'auteur.
Photo: Philippe Huguen Agence France-Presse «La cybersécurité n’est pas une priorité. Elle est considérée comme une simple extension de l’informatique», souligne l'auteur.

Les données bancaires de millions de personnes sont volées, les GAFA commercialisent les données personnelles de leurs utilisateurs, les données médicales disparaissent… Il ne se passe pas un jour sans que la cybersécurité fasse la une des journaux. Pourtant, ce ne sont là que les signes avant-coureurs d’une catastrophe future.

Une nouvelle étude sur la cybersécurité se concentre sur l’aspect physique de ce phénomène : que se passe-t-il si un robot est attaqué ? Un train connecté déraille ? Ou un réseau électrique entier ?

Une étude intitulée « La cybersécurité au Québec 2019 » a révélé que le véritable danger de la cybercriminalité n’est pas tant le vol de données personnelles que l’attaque contre les technologies opérationnelles (TO) qui peuvent endommager des biens physiques et même mettre en danger des vies humaines.

En effet, la tendance dominante de l’économie est précisément la numérisation des TO et leur interconnexion avec les systèmes d’information dans le cadre d’un processus appelé Industrie 4.0, ou aussi Internet des objets (IdO).

Vulnérables

Cette nouvelle évolution accroît l’efficacité des organisations, mais aussi leur vulnérabilité. Près des deux tiers des entreprises canadiennes interrogées ont déjà numérisé tout ou partie de leurs TO, la majorité d’entre elles adoptant le paradigme de l’industrie 4.0, qui implique la convergence des technologies de l’information (TI) et des TO dans une plateforme infonuagique.

Il s’agit là d’un risque nouveau. Sommes-nous protégés ? Non, disent les auteurs de l’étude de l’Alliance canadienne des technologies avancées (CATA) avec la participation de CyberNB et Siemens Canada.

Environ 70 % des entreprises avancées ont des pratiques de cybersécurité défaillantes ou incomplètes. Cependant, ce sont elles qui gèrent les robots et surtout les capteurs et actionneurs qui se répandent dans notre environnement. Elles constituent également le segment le plus avancé de l’économie canadienne.

Cela ne veut pas dire que ces entreprises ne font rien pour assurer leur protection, c’est juste qu’elles n’ont pas déployé une stratégie globale à cette fin. Les trois actions de base d’une telle stratégie impliquent la réalisation régulière d’un audit complet des systèmes d’information, la présence d’un programme formel de cybersécurité et la nomination d’un responsable de la sécurité des systèmes d’information (RSSI). Ces trois actions sont les règles minimales de cyberhygiène .

Comment se fait-il que ce segment privilégié compte jusqu’à 70 % de « mauvais élèves » ? Tout d’abord, les entreprises consultées ont des budgets insuffisants : près des deux tiers investissent moins de 100 000 $ par année dans leur cybersécurité. Mais une telle explication ne fait que repousser le problème, qui est plutôt culturel.

Priorité

La cybersécurité n’est pas une priorité. Elle est considérée comme une simple extension de l’informatique et lorsqu’un budget doit être réduit, c’est là que les investissements sont constamment reportés.

Pourtant, le principal outil de lutte contre la cybercriminalité n’est pas coûteux. Tous les RSSI experts d’infrastructures critiques consultés dans le cadre de cette étude sont formels : le partage de l’information est la base de toute stratégie de sécurité.

Ne vous y trompez pas : il ne s’agit pas de réseautage social. Le partage de l’information est un processus systématique et formalisé pour prévenir les incidents de cybersécurité — il peut même être l’outil le plus efficace disponible dans la boîte à outils de sécurité.

Aucune entreprise n’est en mesure de lutter contre la cybercriminalité isolément. Mais trop souvent, cependant, les dirigeants travaillent en vase clos et si leur entreprise est attaquée, c’est la loi du silence qui prévaut. Les auteurs de l’étude dénoncent cette attitude paranoïaque.

Dans le cadre de la lutte contre cette culture d’entreprise fermée, l’Union européenne a produit une directive en 2016 pour rendre obligatoire le partage d’informations entre infrastructures critiques. En Israël, le partage d’informations est exempté de poursuites antitrust. Le gouvernement canadien s’inscrit dans ce mouvement. Les infrastructures réglementées, comme le secteur de l’énergie et des finances, ont l’obligation de partager.

L’étude sur la cybersécurité au Canada laisse entendre que l’État a un rôle à jouer dans l’établissement d’un système national de partage de l’information. Que nous adoptions une approche réglementée ou incitative, il est essentiel de briser la culture du silence et du déni pour promouvoir le partage des informations. Il est temps d’étendre le périmètre de protection.

LE COURRIER DES IDÉES

Recevez chaque fin de semaine nos meilleurs textes d’opinion de la semaine par courriel. Inscrivez-vous, c’est gratuit!


En vous inscrivant, vous acceptez de recevoir les communications du Devoir par courriel.

2 commentaires
  • Cyril Dionne - Abonné 31 décembre 2019 10 h 41

    Encore une fois, bonne chance

    Personne n’est protégé dans une plateforme infonuagique. Personne. Tout comme pour les données personnelles. Tant et aussi longtemps que la cybersécurité sera faite par des humains, vous pouvez être sûr qu’il n’existe aucune sécurité.

    Oui, les robots, les voitures personnelles, les systèmes électriques et j’en passe peuvent être attaqué en tout temps. Nous parlons ici d’algorithmes et des transmissions des données via des protocoles qui sont connus de tout le monde dans la « business ». Mais c’est toujours le facteur humain qui est en cause lors de vol d’identité ou autres.

    Vous voulez empêcher tout cela? Eh bien, il faudra retourner au papier crayon. N’importe lequel signal électronique peut-être intercepté tout comme pour toutes les apps et logiciels aux portes dérobées. Et les pires contrevenants là-dedans, ce sont les gouvernements et leurs polices.

    Oui, misère.

  • Nadia Alexan - Abonnée 31 décembre 2019 11 h 27

    Honte au gouvernement Legault qui a confié nos données personnelles à Jeff Bezos.

    Le gouvernement Legault a tort de confier les informations personnelles de ces citoyens aux nuages de Jeff Bezos, un homme sans conscience et sans pitié.
    Nos informations personnelles ne devraient jamais se trouver dans les mains du secteur privé, pour lequel sa raison d'être est la maximisation des profits, mais jamais le bien-être et la sécurité des citoyens/citoyennes. C'est le secteur public, toujours imputable qui devrait avoir la responsabilité de veiller sur nos données personnelles.