Les villes doivent mieux se préparer aux attaques par rançongiciel, dit un expert
Une récente attaque par rançongiciel, qui a per‐ turbé les systèmes infor‐ matiques et téléphoniques de la Ville de Hamilton, a mis en lumière la nécessité pour les municipalités d'avoir un plan pour ré‐ pondre à ces attaques de‐ venues inévitables et de plus en plus sophistiquées, selon un expert.
Les cyberattaques sur les réseaux municipaux peuvent entraîner des situations dan‐ gereuses si elles interfèrent avec les systèmes d'urgence, d'eau et d'assainissement, af‐ firme Charles Finlay, direc‐ teur général du Rogers Cy‐ bersecure Catalyst de l'Uni‐ versité métropolitaine de To‐ ronto.
Bien que les infrastruc‐ tures critiques à Hamilton n’aient pas été touchées, il exhorte les municipalités à reconnaître qu’il s’agit d’un si‐ gnal d’alarme et qu’elles doivent agir et mettre un plan d’action clair sur pied pour prévenir des situations dangereuses.
Les municipalités de toutes tailles sont ciblées, car elles détiennent souvent de grandes quantités de don‐ nées qui peuvent être utili‐ sées pour extorquer des ran‐ çons importantes, souligne-til.
Les auteurs de ces at‐ taques savent également que les services municipaux sont importants pour les résidents et que les gouvernements ne peuvent pas se permettre d'être hors ligne pendant longtemps, ajoute le spécia‐ liste.
Adopter de bonnes pra‐ tiques
Charles Finlay note par ailleurs que les attaques font souvent suite à des erreurs des employés.
Les gouvernements doivent donc renforcer la for‐ mation du personnel pour s'assurer qu'ils suivent les meilleures pratiques telles que l'authentification à deux facteurs, les mises à jour ré‐ gulières des logiciels et des mots de passe, et l'absten‐ tion de cliquer sur des liens dans les courriels provenant d'expéditeurs non fiables, af‐ firme-t-il.
Ce n'est plus une question de savoir si une municipalité sera attaquée. C'est vraiment une question de quand elle sera attaquée.
Charles Finlay, directeur général du Rogers Cyberse‐ cure Catalyst de l'Université métropolitaine de Toronto
À la suite de l'attaque du 25 février, les fonctionnaires de Hamilton ont indiqué qu'ils avaient fait appel à des experts, des assureurs et des avocats dans leurs efforts pour restaurer les systèmes de la Ville.
Aucun échéancier n'a été établi pour le retour à la nor‐ male des opérations.
La directrice municipale de Hamilton, Marnie Cluckie, a refusé de dire si la Ville avait payé une rançon et ce qu’elle a mis en place pour renforcer sa défense numé‐ rique.
Les cybercriminels sont sophistiqués. Nous ne pou‐ vons pas divulguer d'infor‐ mations qui pourraient leur être utiles, a-t-elle indiqué dans une déclaration par
courriel.
Eau, égouts, électricité
Selon Dan Mathieson, l’an‐ cien maire de Stratford, la sensibilisation aux menaces cybernétiques parmi les élus, le personnel municipal et le public est beaucoup plus forte qu’il y a cinq ans.
Selon lui, des normes de cybersécurité provinciales, voire fédérales, devraient être mises en place afin de soutenir davantage les muni‐ cipalités et le financement nécessaire devrait être oc‐ troyé.
C’est un risque pour la sé‐ curité nationale. Nos sys‐ tèmes d’eau, nos systèmes d’assainissement, notre ré‐ seau électrique hydroélec‐ trique : tout cela est géré lo‐ calement, mais a des implica‐ tions nationales et internatio‐ nales en cas de problème, souligne l’ancien maire.
Mieux gérer les risques
Dans un rapport publié à l’automne 2022, le Groupe d’experts en cybersécurité de l’Ontario a suggéré que la province renforce les struc‐ tures de gouvernance exis‐ tantes pour permettre une gestion efficace des risques liés à la cybersécurité dans l’ensemble du secteur des services publics.
L'Association des munici‐ palités de l'Ontario, quant à elle, a publié un ensemble de meilleures pratiques à l'in‐ tention de ses membres, les exhortant à considérer les politiques et protocoles de cybersécurité comme une ex‐ tension de la préparation aux urgences.
Les municipalités de‐ vraient réaliser une évalua‐ tion complète des risques dans tous les services pour identifier les risques, puis créer des solutions concrètes et appropriées pour remé‐ dier aux faiblesses de leur système et allouer des res‐ sources pour renforcer la sé‐ curité, précise le document.