Ce texte fait partie du cahier spécial Intelligence artificielle et cybersécurité

Répondre aux défis techniques, humains et sociétaux du monde numérique exige de développer une collaboration accrue entre experts d’horizons divers. Fruit de l’association entre l’Université de Montréal, Polytechnique Montréal et HEC Montréal, l’Institut multidisciplinaire en cybersécurité et cyberrésilience (IMC2) s’inscrit dans cette voie.

Comment s’organiser pour lutter contre les cyberattaques ? En lançant en mai dernier l’Institut multidisciplinaire en cybersécurité et cyberrésilience, la fine fleur du savoir universitaire montréalais a apporté un début de réponse : concentrer ses forces pour mieux faire face à une menace de plus en plus pesante. « Le contexte international fait qu’il y a beaucoup plus d’attaques aujourd’hui qu’il y a quatre ou cinq ans », explique Frédéric Cuppens, directeur de l’IMC2 et professeur au Département de génie informatique et génie logiciel à Polytechnique Montréal.

Le développement de nouvelles technologies, toutes aussi prometteuses que vulnérables, n’a pas arrangé la situation. « La 5G, l’Internet des objets, et toutes ces nouvelles technologies rendent nos vies très différentes, mais changent aussi la surface d’attaque et posent de nouveaux problèmes de sécurité », poursuit M. Cuppens. Ces risques accrus ont mis en lumière la nécessité d’offrir une expertise de pointe, comme de rassembler les connaissances sur un sujet par nature transversal.

De l’importance de la cyberrésilience

« On a créé cet Institut pour répondre aux exigences multidisciplinaires de la cybersécurité », souligne le directeur de l’IMC2, pôle qui regroupe une quarantaine de professeurs et leurs équipes de recherches de l’UdeM, Polytechnique Montréal et HEC Montréal. « Les différentes branches du génie sont représentées pour les problématiques liées à l’énergie, au transport, à la santé. Mais la cybersécurité, ce n’est pas que de la technique. On a aussi besoin de criminologues et d’économistes », ajoute M. Cuppens.

Ces dernières années, l’accent a souvent été mis sur la sensibilisation des citoyens et des entreprises aux questions de cybersécurité. En élargissant son champ d’action à la cyberrésilience, l’IMC2 veut aller plus loin. « Aujourd’hui, les gens savent ce qu’est une attaque par hameçonnage ou rançongiciel. Ils ont compris aussi qu’il fallait bien gérer ses mots de passe », souligne l’expert en sécurité informatique. « Là où il faut vraiment avancer maintenant, c’est sur ce que nous appelons la conscientisation. »

Une trousse de « premiers secours »

Être informé des dangers auxquels on s’expose est une chose. Savoir comment agir en cas de cyberattaque en est une autre. C’est sur ce point précisément qu’un besoin criant se fait ressentir. « Il y a toute une partie de la population qui est au courant que ça peut arriver, mais qui est inquiète parce qu’on ne leur a pas dit quoi faire », indique M. Cuppens. « C’est là-dessus qu’il faut travailler en allant vers les particuliers et les employés de PME pour les conscientiser. »

L’idée est de leur offrir une trousse de « premiers secours » apportant des réponses pratiques aux actes de cybermalveillance. À ce titre, l’Institut peut avoir un réel effet sur les politiques publiques. Les têtes pensantes de l’IMC2 réfléchissent, du reste, à instaurer un « observatoire des risques » à destination de la population. « Dans un environnement géopolitique en perpétuelle mutation, il nous paraît important de voir comment évolue la menace pour adapter nos réponses », explique le directeur de l’Institut.

Un retard à combler en matière de formation

Le développement rapide de l’intelligence artificielle est aussi à surveiller de près. L’IA permet d’aller plus loin sur le plan de l’automatisation. Mais son manque de robustesse l’expose aux attaques. Ce qui en fait un outil à double tranchant, comme le souligne M. Cuppens. « On peut empoisonner l’IA avec de fausses informations qui peuvent impacter n’importe quel système, de la voiture autonome jusqu’aux systèmes qui pilotent une centrale électrique. C’est particulièrement préoccupant. »

En plus d’offrir un service public, l’IMC2 vise à développer, à terme, le lien entre la formation et l’entrepreneuriat. Au Québec, les jeunes pousses développant des produits en cybersécurité se font malheureusement beaucoup trop rares. Dans ce domaine, il y a encore du chemin à faire et certainement un retard à combler, en définissant un nouveau parcours qui dirige plus d’étudiants vers ce type de projets intégrant de multiples connaissances.

« On réfléchit en ce moment à ce que pourrait être la formation idéale pour les entrepreneurs qui veulent se lancer dans la cybersécurité », indique Alina Maria Dulipovici, professeure agrégée au Département de technologies de l’information de HEC Montréal, chargée de chapeauter le volet de la formation de l’IMC2. « Avec trois universités impliquées dans le projet, on doit mettre en commun nos ressources respectives pour la création d’un programme multidisciplinaire. »

