MONTRÉAL — Un groupe de chercheurs de trois universités montréalaises veulent mieux outiller des entreprises en matière de cybersécurité en s’attaquant aux «menaces internes» qui touchent bon nombre d’organisations.

Des professeurs de Polytechnique Montréal, de HEC Montréal et de l’Université de Montréal lancent mercredi un projet pendant lequel ils travailleront avec deux institutions financières, la Banque Nationale et Desjardins, ainsi que des entreprises spécialisées en cybersécurité, Mondata et Qohash, en plus de l’OSBL Cybereco.

L’objectif de l’initiative nommée «Alliance menace interne» vise à prévenir les risques en matière de cybersécurité à l’intérieur d’une organisation, explique le directeur du projet et professeur au Département de génie informatique et génie logiciel de Polytechnique Montréal, Frédéric Cuppens.

«C’est une problématique majeure. On estime qu’au moins la moitié des risques pour les entreprises viennent de risques internes et il y a peu de travaux là-dessus au niveau académique. Il y a beaucoup de travaux qui s’intéressent plutôt aux risques externes, soit des cyberattaques», indique-t-il à La Presse Canadienne.

M. Cuppens est aussi le directeur de l’Institut multidisciplinaire en cybersécurité et cyberrésilience (IMC2), né aussi d’une collaboration des trois institutions d’enseignement et sous lequel travailleront les experts du projet.

Les menaces internes peuvent consister en des comportements d’employés qui par, malveillance, négligence ou mégarde, ouvrent la porte à une attaque et intrusion potentielle au réseau informatique de l’entreprise.

M. Cuppens donne en exemple l’hameçonnage, dont la source frauduleuse ou malveillante arrive généralement de l’extérieur — par l’entremise d’un courriel par exemple — mais qui peut avoir des conséquences sur les activités de l’entreprise.

«Ce problème-là est international. Il n’y a aucune entreprise qui peut dire qu’aujourd’hui elle n’a pas potentiellement de menaces internes. C’est quelque chose de malheureusement très universel», mentionne le professeur.

Dans le cadre du projet, le groupe de chercheurs universitaires procédera d’abord à une collecte de données afin d’identifier les processus à risque des différentes organisations. Pour chacune d’entre elles, il développera ensuite une solution adaptée à leurs besoins, dont une partie reposera sur l’intelligence artificielle.

Leur travail s’intéressera également aux sous-traitants des entreprises pouvant également être liés aux menaces de sécurité.

M. Cuppens insiste pour dire que les solutions prendront en considération le respect du travail du personnel des organisations impliquées.

«On veut que l’employé soit au centre de la réflexion. L’objectif, c’est réellement d’améliorer les comportements sécuritaires et de diminuer les comportements non sécuritaires. On veut respecter des principes éthiques et réglementaires», affirme-t-il, ajoutant que des facteurs sociotechniques et économiques seront aussi considérés.

Le projet d’une durée de cinq ans est rattaché à une nouvelle chaire de recherche institutionnelle. «Alliance menace interne» va bénéficier d’un financement de près de 5,4 millions $ provenant notamment du Conseil de recherches en sciences naturelles et en génie du Canada.