Cybersécurité : les cinq principales menaces auxquelles fait face le Canada
Montréal accueille cette semaine plus de 850 ex‐ perts en cybersécurité de plus de 90 pays à l’occasion de la 35e conférence an‐ nuelle du Forum des équipes de réponse aux in‐ cidents et de sécurité (FIRST). C'est là une occa‐ sion de faire le point sur les principales cybermenaces auxquelles fait face le Ca‐ nada avec Sami Khoury, di‐ recteur principal du Centre canadien pour la cybersé‐ curité (CCC). Les rançongiciels sont la forme la plus perturbatrice de cybercriminalité à la‐ quelle doivent faire face les Canadiens, selon le CCC. La menace est omnipré‐ sente, elle s'adapte et de‐ vient de plus en plus so‐ phistiquée. Devant ce constat, la bataille ne semble-t-elle pas perdue d’avance?
Non, pas du tout. Les ran‐ çongiciels demeurent la me‐ nace numéro un à laquelle nous devons faire face, mais ça ne veut pas dire que nous avons sorti le drapeau blanc. Il y a beaucoup de choses que les particuliers, les entreprises et même le gouvernement peuvent faire pour mieux se protéger.
Les rançongiciels sont une façon d’exploiter une faille ou un niveau de sécurité peu éle‐ vé pour accéder à un système informatique. Une personne peut rendre son système plus sécuritaire avec des mots de passe complexes ou avec un système d’authentification à plusieurs facteurs tout en s’assurant que les applica‐ tions sont à jour pour qu’elles ne soient pas exploitées.
Pour ce qui est des entre‐ prises, il faut éduquer les em‐ ployés pour reconnaître les liens malveillants qu’ils peuvent recevoir par courriel. Il faut aussi penser à instaurer un système de sauvegarde et faire en sorte qu’il soit bien protégé : c’est super impor‐ tant.
Il y a quelques années, la technique des cybercriminels consistait à exploiter un sys‐ tème pour ensuite crypter les données et demander une rançon. Puis, on a observé une évolution : les cybercrimi‐ nels volent les données au lieu de les crypter et de‐ mandent une double rançon, l’une pour débloquer le sys‐ tème, l'autre pour ne pas rendre publiques les informa‐ tions retirées.
Sur la scène internationale, le Canada participe à plu‐ sieurs efforts, dont l’Initiative internationale contre les ran‐ çongiciels, menée par les États-Unis et qui compte une trentaine de pays, dont le but est de lutter contre plusieurs aspects qui forment l’écosys‐ tème des rançongiciels, y compris le financement illicite.
L’autre grande menace est la capacité de pirates parrainés par des États comme la Chine ou la Rus‐ sie d’attaquer des infra‐ structures essentielles, ce qui va jusqu’à causer des dommages matériels. Cela s’est déjà produit aux ÉtatsUnis et ailleurs dans le monde, mais qu’en est-il du Canada?
À ma connaissance, il n’y a pas eu de cyberincidents qui ont causé des dommages ma‐ tériels ici. Nous sommes pas‐ sés à deux cheveux d’une telle attaque. Ce n’est pas dans la politique du CCC de parler d’incidents spécifiques, mais je peux confirmer qu’il y a eu un incident au Canada cette année, et le premier ministre Justin Trudeau a fait une dé‐ claration à ce sujet, affirmant qu’il n’y a pas eu de dom‐ mages matériels. Mais la capa‐ cité de nuisance existe.
Dans notre dernier rap‐ port sur l’évolution des cyber‐ menaces nationales, on dit qu’en l’absence d’acte de guerre ou d’hostilités menés par le Canada, les menaces de pays étrangers ne vont pas se matérialiser et qu’il n’y aura pas de passage à l’acte. Ce‐ pendant, l’incident auquel je fais référence pourrait dé‐ montrer le contraire, donc il va falloir faire plus attention et l'examiner de plus près pour voir s’il s’agit d'un cas isolé ou d'une nouvelle ten‐ dance qui doit nous préoccu‐ per.
Toutefois, je dois avouer que même un seul incident est un incident de trop. On ne va pas attendre qu’il y ait une deuxième fois : il faut profiter de toutes les occasions pour rappeler aux exploitants des infrastructures essentielles qu’il faut prendre ces me‐ naces au sérieux.
Justement, dans votre rapport, vous dites que les activités de cybermenaces parrainées par des États visent également des ci‐ toyens et des entreprises privées. Le télétravail re‐ présente-t-il une source d’inquiétude pour vous?
Nous avons prêté atten‐ tion à ce nouveau mode de travail à distance dès le début de la pandémie. Auparavant, les technologies de l’informa‐ tion (TI) d’une entreprise étaient circonscrites dans le périmètre physique de son édifice. Maintenant que les employés peuvent travailler de la maison, ce périmètre n’est plus physique. Donc, il faut s’assurer que tous les moyens de communication sont sécurisés.
Au CCC, nous avons publié à maintes reprises des bulle‐ tins d’information pour per‐ mettre au gouvernement et aux entreprises privées de s’assurer que les employés utilisent des moyens sécuri‐ taires recommandés comme un VPN (virtual private net‐ work, réseau privé virtuel) ou un ordinateur de bureau. Un ordinateur personnel à la mai‐ son est exposé à beaucoup de risques qui peuvent surve‐ nir par l'entremise des sites qu’on visite en ligne, par exemple. On ne veut pas que ça devienne comme une porte arrière qui permettrait aux pirates de se faufiler dans les réseaux gouvernemen‐ taux ou dans des entreprises privées.
Donc, oui, c’est un défi de plus, parce que ce n’est pas tout le monde qui peut se permettre d’avoir deux ordi‐ nateurs et un système de connexion de confiance.
La mésinformation, la désinformation et la malin‐ formation sont des me‐ naces que vous évoquez aussi dans votre rapport. Vous affirmez que ces pra‐ tiques vont « assurément » augmenter au cours des prochaines années. Que peut-on faire pour contrer ce type de menace?
Ce phénomène s’est ac‐ centué en 2016, lors des élec‐ tions américaines, mais au‐ jourd’hui, on voit qu’il n’est pas limité aux périodes élec‐ torales. On le voit dans notre quotidien, dans toutes sortes de communications. Nous avons récemment publié un bulletin pour sensibiliser la population à l'importance de s’informer à partir de sources crédibles et de vérifier ses sources.
C’est une tactique qui a aussi été utilisée par des États, comme on l’a vu dans le contexte du conflit en Ukraine, et les Russes l’ont même employée contre le Ca‐ nada. Cela nous avait menés à déclassifier certains éléments d’information pour prouver que ce qui avait été diffusé n’était pas vrai.
De plus, avec l’intelligence artificielle (IA), il sera encore plus facile de mettre au point des outils de désinformation.
Ça va prendre du temps, mais il faut que la cybersécuri‐ té fasse partie de notre quoti‐ dien, qu’on en parle tout le temps pour arriver à un point où on va prendre les mesures nécessaires de façon natu‐ relle.
Vous avez évoqué l’intel‐ ligence artificielle. Cette technologie possède un énorme potentiel révolu‐ tionnaire dans tous les do‐ maines, mais, là encore, le risque d'exploitation mal‐ veillante est bien réel.
L’intelligence artificielle, ce n’est pas nouveau. Il y a 30 ans, quand je me suis joint au Centre de la sécurité des télécommunications (CST) [dont le CCC fait partie et qui est chapeauté par le ministère fédéral de la Défense, NDLR], on a commencé à créer des outils en employant des mo‐ dèles d’IA. Ce qui a changé au‐ jourd'hui, c’est la rapidité avec laquelle cette technologie a évolué et la complexité des nouveaux modèles. ChatGPT4, par exemple, est extrêmement complexe.
Il y a 30 ans, nous étions capables de décortiquer un modèle d’IA et de savoir com‐ bien de couches de neurones il y avait, de même que le type de données qui y circulaient. Aujourd’hui, avec ChatGPT, c’est presque impossible d’es‐ sayer de comprendre la boîte noire et son fonctionnement.
Donc, il faut passer plus de temps, de notre côté, pour es‐ sayer de comprendre cet ou‐ til. Il faut aussi éduquer les en‐ treprises et les gens pour qu’ils sachent qu’il s’agit de systèmes aussi crédibles que les informations fournies pour leur apprentissage. Il ne faut pas tenir pour acquis que toutes les réponses fournies par ChatGPT sont automati‐ quement vraies.
Et justement, nous allons bientôt publier un nouveau bulletin pour souligner les risques de ces outils et pour sensibiliser les entreprises à ce sujet. Des efforts sont faits à l'échelle internationale pour réglementer ces outils et le gouvernement du Canada suit de près l’évolution de ces systèmes.
* Certains propos de cette entrevue ont été édités à des fins de clarté.