Techno

La sécurité informatique, casse-tête à résoudre

La récente attaque informatique contre des centrales nucléaires américaines devrait sonner l’alarme. Quelles sont les pistes pour améliorer la sécurité informatique de nos sociétés?

Des attaques à grande échelle menées par des réseaux de gadgets connectés, des logiciels malveillants prenant en otage les ordinateurs du système de santé britannique, un virus conçu pour détruire les données d’un pays : les exemples récents d’assauts informatiques se multiplient.

Alors que les attaques pour des motifs financiers (voler des numéros de carte de crédit, par exemple) font régulièrement les manchettes depuis les années 2000, le paysage de la sécurité informatique s’est complexifié depuis l’an dernier.

L’exemple le plus récent a de quoi glacer le sang : des attaques contre des centrales nucléaires américaines, où des personnes en position d’autorité ont reçu des CV contaminés. Une opération qui avait pour but de préparer une attaque subséquente plus importante, selon ce que rapportent Bloomberg et le New York Times.

Améliorer nos défenses informatiques n’est certainement pas une tâche facile. Les portes d’entrée pour les pirates sont nombreuses, les concepts de sécurité sont souvent mal compris et la société est de plus en plus connectée.

Mais il y a plus. Jusqu’ici, la sécurité informatique a surtout été laissée entre les mains de l’industrie. Un plan d’action plus ambitieux s’impose désormais. « Il faut absolument améliorer notre sécurité informatique. Et la solution ne viendra pas du marché, elle doit venir de l’État », estime Patrick Boucher, président de la firme de sécurité informatique Gardien virtuel.

En attendant une réflexion plus poussée et l’élaboration d’une stratégie par étape complète, voici quelques mesures que les gouvernements pourraient considérer pour améliorer la situation.

-> Les donneurs d’ordres doivent imposer des règles strictes

Hydro-Québec exige déjà la norme ISO 9001 pour ses approvisionnements en biens et en services qui ont un impact significatif sur la mission de base ou l’image de l’entreprise. Une telle approche devrait être commune parmi les donneurs d’ordres au pays, que ce soit en imposant une certification en sécurité informatique comme la norme ISO 27000 ou en exigeant certaines mesures précises.

En plus d’améliorer la protection des organismes, une telle approche pourrait contribuer à créer un effet boule de neige chez les entreprises.

-> Augmenter la responsabilité des fabricants

L’attaque en octobre dernier du réseau de zombies (botnet, en anglais) Mirai, qui a permis à un logiciel malveillant simple de mettre à terre des services aussi importants que Twitter, Amazon, Spotify et Netflix, a démontré à quel point la sécurité des objets connectés qui nous entourent laisse à désirer.

Les grands fabricants protègent généralement leurs appareils, mais tant et aussi longtemps que cette protection ne sera pas imposée, certains tourneront les coins ronds. Encadrer une industrie internationale est un processus complexe, mais certaines règles pourraient néanmoins être adoptées, comme l’exigence d’énoncer clairement quelles sont les mesures instaurées pour protéger les produits et quelles sont les stratégies en place concernant les mises à jour de sécurité ultérieures.

-> Obliger la divulgation des attaques et tentatives d’attaques

Les accidents et les accidents évités de justesse sur un chantier de construction doivent être documentés. « Ce n’est pas le cas en informatique, mais ça devrait l’être », estime Patrick Boucher.

Pour l’instant, les entreprises sont tenues d’informer leurs clients si leurs données ont été volées, mais il en faut plus. Un meilleur partage de l’information, tant par rapport aux attaques réussies qu’aux attaques évitées, permettrait aux experts d’apprendre des erreurs des autres et de se préparer à faire face aux prochains assauts.

-> Miser sur l’éducation populaire

L’utilisateur est généralement la plus grande faille de sécurité de tout système informatique. Que ce soit pour subtiliser les données Facebook de quelqu’un ou pour obtenir le mot de passe du dirigeant d’une centrale nucléaire, un courriel ciblé et un document malicieux bien conçu peuvent faire beaucoup de dommages.

Personne n’est à l’abri d’une attaque, mais une meilleure connaissance des risques et des méthodes employées par les pirates demeure l’un des mécanismes de défense les plus efficaces, tant pour les employés d’industries clés que pour les simples citoyens.

-> Adopter un cadre légal

En Ukraine, où de nombreux systèmes informatiques ont été paralysés le mois dernier par le virus NotPetya, la police nationale a laissé entendre cette semaine qu’elle poursuivrait au criminel une entreprise dont la sécurité défaillante aurait facilité la propagation du virus dans le pays.

Les experts interrogés s’entendent pour dire qu’un durcissement de la loi pour faciliter des poursuites du genre n’est pas la solution à adopter. « Est-ce que je veux qu’une loi rende les entreprises responsables de leurs produits? Oui. Mais est-ce que la loi doit les rendre criminellement responsables? Bien sûr que non », soutient Patrick Boucher.

« Le processus décisionnel législatif est lourd, compliqué et long, ajoute pour sa part Adam Allouba, avocat et associé au cabinet BCF Avocats d’affaires. Ça peut prendre des années avant qu’on adopte une loi. Une loi avec des exigences précises en sécurité informatique risque d’être caduque dès son adoption »

Bref, l’adoption d’une loi pourrait être à considérer dans la mise en place d’une stratégie globale, mais celle-ci risque de s’avérer longue et complexe… à l’image de la sécurité informatique dans son ensemble.