Cybersécurité : à qui revient la charge de protéger l’écosystème numérique?
Alors que les cyberat‐ taques deviennent de plus en plus complexes, la charge de sécuriser les ré‐ seaux et les données infor‐ matiques pèse toujours sur les utilisateurs et non pas sur les fournisseurs des ser‐ vices et fabricants de pro‐ duits technologiques. Une réalité qui serait sur le point de changer au Cana‐ da, selon le Centre cana‐ dien pour la cybersécurité.
Cette idée a déjà commen‐ cé à faire son chemin ailleurs dans le monde, notamment en Europe, où un projet de loi sur la cyberrésilience a été présenté en septembre der‐ nier. Cette législation vise à imposer des règles plus strictes aux fabricants et ven‐ deurs de technologies dans le but de renforcer la sécurité de leurs produits et de fournir aux consommateurs les infor‐ mations suffisantes sur la fia‐ bilité de ces produits.
En mars dernier, c’était au tour des États-Unis de fran‐ chir un pas dans le même sens. Le manque de jugement momentané d'une seule per‐ sonne, l'utilisation d'un mot de passe obsolète ou le clic sur un lien suspect ne de‐ vraient pas avoir de consé‐ quences sur la sécurité natio‐ nale. Notre cyberrésilience collective ne peut pas reposer sur la vigilance constante des organisations et des citoyens, peut-on lire dans la nouvelle Stratégie nationale pour la cy‐ bersécurité présentée par la Maison-Blanche.
Au Canada, des consulta‐ tions sont toujours en cours pour réformer la stratégie na‐ tionale pour la cybersécurité de 2018, affirme dans un en‐ tretien Sami Khoury, dirigeant principal du Centre canadien pour la cybersécurité.
C’est sûr qu’on va tirer les meilleurs points de la straté‐ gie américaine et de celle de nos autres alliés pour s’assu‐ rer qu’il y a un bon aligne‐ ment, affirme-t-il.
Le 13 avril, son organisme, qui fait partie du Centre de la sécurité des télécommunica‐ tions (CST), l’agence qui super‐ vise la cybersécurité pour le gouvernement fédéral, s’est d’ailleurs prononcé en faveur d’une plus grande responsabi‐ lisation des entreprises en matière de cybersécurité.
Dans un guide, publié conjointement avec des agences de cybersécurité de plusieurs pays, dont les ÉtatsUnis, l’Australie, la NouvelleZélande,
le Royaume-Uni, l’Al‐ lemagne et les Pays-Bas, le Centre canadien pour la cy‐ bersécurité souligne la néces‐ sité de transférer aux fabri‐ cants la charge des risques liés à la cybersécurité pesant actuellement sur les clientes et clients, en les encourageant à concevoir des produits qui sont sécurisés par défaut et dès la conception.
Nous voulons encourager les manufacturiers de logiciels ou d’équipements technolo‐ giques à s'assurer que la sécu‐ rité est intégrée et non pas optionnelle. […] La responsa‐ bilité ne doit pas dépendre uniquement des utilisateurs; les [fabricants], eux aussi, ont un rôle important à jouer pour relever la barre de sécu‐ rité de leurs produits.
Sami Khoury, dirigeant principal du Centre canadien pour la cybersécurité
Une responsabilité par‐ tagée
Ces mesures représentent une très, très bonne nouvelle pour Dominique Rodier, direc‐ teur régional des ventes de technologies opérationnelles pour Fortinet, un fournisseur de cybersécurité.
Il rappelle par ailleurs que le Canada a dévoilé en juin 2022 le projet de loi C-26 qui vise à mieux protéger les systèmes vitaux pour la sécu‐ rité nationale et donner aux autorités de nouveaux outils pour répondre aux dangers émergents dans le cyberes‐ pace.
Avec cette loi, le gouverne‐ ment cherche à responsabili‐ ser les gens en s’assurant qu’ils ont les connaissances requises pour s’assurer qu’on met la sécurité de l’avant, dit le responsable de Fortinet Ca‐ nada, qui compte des clients du secteur public, mais aussi des entreprises privées. Ce n’est pas en installant un simple équipement qu’on sera protégés. C’est plus qu’un logi‐ ciel de sécurité dont on a be‐ soin, c’est [d']une philosophie.
De son côté, le spécialiste en cybersécurité Steve Wate‐ rhouse affirme que les ci‐ toyens devront quand même continuer de porter une part de responsabilité dans la sé‐ curisation de leurs réseaux et données informatiques.
Comme citoyens, nous de‐ vons agir en toute responsa‐ bilité, explique-t-il. En faisant le minimum − comme gérer les mots de passe ou garder ses appareils à jour − on ren‐ force la cybersécurité tout en réduisant les menaces d’at‐ taques cybercriminelles.
Selon lui, en l’absence de lois contraignantes, la respon‐ sabilité des entreprises est plutôt d’ordre moral.
Les institutions financières sont régies par toutes sortes de réglementations, ce qui fait en sorte qu’elles sont forcées de mettre en place les sys‐ tèmes les plus à jour possible, mais il y a beaucoup d’entre‐ prises qui ne font que le strict minimum parce qu’elles ne sont pas contraintes à faire plus.
Steve Waterhouse, expert en cybersécurité
Cet ancien officier de sécu‐ rité informatique au ministère de la Défense nationale se dit par ailleurs inquiet du rythme accéléré auquel les technolo‐ gies se développent. L’évolu‐ tion est tellement rapide que le temps de comprendre com‐ ment un système fonctionne, il y a déjà un nouveau qui vient le remplacer. Alors on s’y perd.
Et avec les avancées tech‐ nologiques, les cybermenaces
gagnent en complexité, ce qui complique de plus en plus la protection des données. C’est ce que constate aussi Sami Khoury : On voit que les au‐ teurs de menaces emploient des outils et des capacités qui sont plus sophistiqués que l’année dernière et celle d’avant. L’ampleur des me‐ naces a elle aussi augmenté.
Télétravail et vulnérabi‐ lité
Il y a une semaine, le Cana‐ da a été la cible d’une série de cyberattaques revendiquées par des groupes prorusses vi‐ sant des sites d’entités gou‐ vernementales et non gou‐ vernementales.
Mardi dernier, le site web du premier ministre Justin Trudeau, ainsi que ceux des ports de Québec et de Mont‐ réal, de la Banque Lauren‐ tienne et d’Hydro-Québec, entre autres, ont été bloqués par des pirates.
Jeudi dernier, M. Khoury a affirmé que ces attaques avaient fait plus de peur que de mal, mais que la menace de causer plus de dommages, notamment physiques, est bien réelle.
Selon lui et les autres ex‐ perts interrogés, le risque zé‐ ro n’existe tout simplement pas. Tout ce qui est connecté à Internet pose un risque, a dit le responsable du Centre canadien pour la cybersécuri‐ té lors d’un entretien télépho‐ nique.
Le conseil le plus impor‐ tant qu’on puisse donner aux entreprises, c’est d’assurer la sécurité de leurs infrastruc‐ tures s’il y a un besoin de se connecter à Internet, mais, malheureusement, c’est sou‐ vent la commodité qui l’em‐ porte.
Sami Khoury, dirigeant principal du Centre canadien pour la cybersécurité
Les risques sont encore plus grands avec la montée en popularité du télétravail depuis le début de la pandé‐ mie.
Si vous voulez avoir accès au système informatique [de votre entreprise] depuis votre maison, il faut que la sécurité soit la priorité numéro un et, idéalement, ne connectez pas vos systèmes de technologies opérationnelles à Internet, re‐ commande M. Khoury. Il y a d’autres façons de se connec‐ ter qui sont plus sécuritaires.
Même constat du côté de M. Rodier, qui affirme qu’avec le télétravail, le réseau s’est considérablement élargi, dans le secteur aussi bien public que privé. D’un point de vue informatique, c’est comme si le réseau s’est étendu d’un seul immeuble à une centaine d’autres immeubles, et il faut tous les sécuriser.
C’est une course où la sé‐ curité est toujours un peu en arrière par rapport aux malfai‐ teurs, mais il ne faut absolu‐ ment pas baisser les bras. Il faut continuer à être vigilant, déployer les mesures à jour et rester à date sur ce qui se passe et ce qui doit être fait. Est-ce qu’il y a moyen de ra‐ mener le risque complète‐ ment à zéro? Probablement pas.
Dominique Rodier, de For‐ tinet
Si des groupes affiliés à des États veulent absolument causer des problèmes, ils pourraient probablement toujours y arriver. Le but est de leur compliquer les choses le plus possible, conclut-il.