Actualités

Le risque de cyberattaques ne peut être éliminé et devra être géré

TORONTO — Les compagnies qui veulent se protéger face au risque sans cesse croissant de cyberattaque doivent accepter une réalité toute simple: aucune stratégie ne pourra jamais garantir que les cybercriminels seront incapables d’infiltrer leurs systèmes.

«Tout le monde pirate tout, lance d’emblée Benoît Dupont, le titulaire de la Chaire de recherche du Canada en cybersécurité à l’Université de Montréal. Même les organisations les plus sécurisées et les plus avant-gardistes, comme les principales agences du renseignement de la planète, sont piratées.»

Il mentionne à ce sujet un article publié le mois dernier par le New York Times et qui révélait que des outils informatiques développés par l’Agence nationale de sécurité des États-Unis pour épier d’autres pays se sont retrouvés entre les mains de pirates qui les utilisent maintenant pour espionner l’agence elle-même.

Le pourcentage d’entreprises canadiennes qui ont encaissé des pertes d’au moins 1 million $ est passé d’environ 1 pour cent il y a deux ans à 7 pour cent, selon une étude publiée récemment par la Chambre de commerce du Canada.

Chaque année qui passe amène des cyberattaques plus dangereuses, plus sophistiquées et plus difficiles à prévenir — et les entreprises qui se contentent de gonfler les dépenses consacrées à la cybersécurité font fausse route, préviennent des experts.

M. Dupont et d’autres réclament plutôt une refonte en profondeur de tout l’écosystème qui permet à des erreurs humaines d’ouvrir des brèches, des données confidentielles envoyées à des ordinateurs personnels non sécurisés jusqu’aux attaques d’hameçonnage qui voient des employés bernés dévoiler des informations appartenant à leur employeur.

Au strict minimum, les entreprises doivent s’assurer de disposer de mécanismes qui minimiseront l’ampleur des dommages causés par ces attaques inévitables, pour empêcher les pirates qui finiront par entrer de repartir avec des informations de trop grande valeur.

Les organisations devraient tout d’abord prioriser les données qu’elles souhaitent protéger, dit Christian Leuprecht, un expert de la sécurité nationale à l’université Queen’s.

«Les gens pensent que la confidentialité existe et que des choses peuvent rester secrètes, dit-il. Il faut réaliser que ce n’est pas possible. Il faut pouvoir vivre avec le fait que 90 pour cent des choses seront rendues publiques. Ensuite voici les choses qu’on doit protéger à tout prix, et nous allons y consacrer toutes nos ressources.»

Étonnamment, le chiffrement — qui transforme les données en code qui ne peut être interprété qu’avec une clé ou un mot de passe secrets —est une stratégie qui ne semble que rarement adoptée par les compagnies, dit Satyamoorthy Kabilan, le responsable de la sécurité nationale pour le Conference Board du Canada.

«Ça en dit beaucoup qu’on entende si souvent dire qu’on a pu lire toutes les données extraites d’un système qui a été infiltré», explique-t-il.

Le chiffrement n’est toutefois pas une stratégie de cybersécurité viable à long terme pour les entreprises, croit Andre Boysen, de la firme torontoise SecureKey.

«L’entreprise aura plus de difficulté à lire les données, dit-il. L’utilité est limitée.»

Typiquement, de telles entreprises préfèrent surveiller constamment leurs réseaux — une tâche tout simplement surhumaine, même pour ces organisations qui exploitent l’intelligence artificielle et les algorithmes pour détecter les activités anormales avant que les pirates ne s’emparent de leurs bijoux.

«On suppose toujours que les pirates infiltrent des systèmes presque parfaits, dit M. Leuprecht. Il y a des erreurs humaines énormes dans la façon dont les systèmes sont conçus. Même les activités de certaines des plus grandes organisations du pays sont épouvantables.»

Les entreprises qui ne mettent pas leurs systèmes à jour ouvrent aussi toute grande la porte aux pirates, prévient M. Kabilan.

«C’est tellement ridicule que ça ne soit pas fait, dit-il en évoquant l’attaque au rançongiciel WannaCry qui a touché en mai des centaines de milliers d’ordinateurs de banques, d’hôpitaux, d’agences gouvernementales et d’entreprises. (WannaCry) s’est propagé parce que des gens ont cliqué sur un lien, mais il a proliféré en exploitant des systèmes qui n’avaient pas été mis à jour.»

Les entreprises doivent mettre en place des mesures relativement élémentaires pour décourager le vol de données, dit M. Leuprecht.

«Par exemple, si on entrepose les données de cartes de crédit, ou des trucs qui comportent plusieurs chiffres, on peut en créer de fausses versions (…) Donc, si quelqu’un s’empare des informations, il ne sait pas lesquelles sont vraies et lesquelles sont fausses, explique-t-il. Une organisation criminelle ne voudra pas dépenser des millions de dollars pour identifier ce qui est réel, ce qui ne l’est pas, ce qui peut être utilisé.»

Parmi les autres tactiques efficaces sur lesquelles les entreprises lèvent le nez, on mentionne des détecteurs qui peuvent examiner les données sortantes et bloquer celles qui doivent rester dans le réseau, dit-il.

«Ce n’est pas si compliqué, estime M. Leuprecht. Si une conduite d’eau fuit, on la ferme.»