De plus en plus d’attaques au rançongiciel
Municipalités, organismes sans but lucratif, hôpitaux, entreprises… Les attaques au rançongiciel se multiplient, sans discrimination, constatent les autorités fédérales. « Je pense que la situation actuelle de pandémie offre un climat propice aux gens qui veulent prendre avantage des vulnérabilités », dit André Boucher, dirigeant associé du Centre canadien pour la cybersécurité (CCC), l’organisme fédéral chargé de coordonner la sécurité informatique.
Les pirates misent sur notre grande dépendance au télétravail pour frapper les organisations, dit-il en entrevue avec notre Bureau d’enquête. « On pensait peut-être que les mauvais acteurs démontreraient un peu d’humanisme, mais ce n’est pas le cas. »
À L’AVEUGLE
Les données fiables sont rares, mais une chose est sûre : les pertes liées aux rançongiciels déclarées au Centre antifraude du Canada sont de plus en plus importantes. De 2016 à octobre 2020, elles sont passées de 28 254 $ à 234 655 $ par année.
« En 2017, une étude rapportait que seulement 10 % des incidents sont rapportés à la police. Il y a un fossé entre le nombre de crimes et ce que nous avons comme information », dit Henry SaintFleur, enquêteur au Groupe national de coordination contre la cybercriminalité (GNC3), une division de la GRC lancée en 2018 pour coordonner les enquêtes de ce type dans tout le Canada.
Notre Bureau a contacté ces derniers mois plusieurs entreprises et organisations victimes de vol de données qui n’avaient pas soufflé mot de l’incident à l’extérieur de l’organisation.
VICTIMES COLLATÉRALES
Pourtant, les attaques informatiques font presque toujours des victimes collatérales : clients, fournisseurs, employés dont les renseignements personnels ou stratégiques sont compromis. « Il y a beaucoup de gens qui ont besoin de se faire sensibiliser à ça, dit André Boucher, au CCC. C’est un risque d’affaires, et ne pas en parler, ça augmente le risque d’affaires. »
Chose certaine, les organisations victimes de rançongiciels auront de moins en moins le choix de déclarer les incidents. À Ottawa comme à Québec, les changements aux lois vont les forcer à aviser les victimes collatérales des attaques.
Plusieurs groupes de pirates ont pris l’habitude de voler les données et d’en publier une partie en ligne pour faire pression. Tôt ou tard, le public prend connaissance des attaques… et peut porter un jugement sur la façon dont l’organisation a agi pour protéger les données dont elle avait la garde.