Des attaques à grande échelle menées par des réseaux de gadgets connectés, des logiciels malveillants prenant en otage les ordinateurs du système de santé britannique, un virus conçu pour détruire les données d’un pays : les exemples récents d’assauts informatiques se multiplient.
Alors que les attaques pour des motifs financiers (voler des numéros de carte de crédit, par exemple) font régulièrement les manchettes depuis les années 2000, le paysage de la sécurité informatique s’est complexifié depuis l’an dernier.
L’exemple le plus récent a de quoi glacer le sang : des attaques contre des centrales nucléaires américaines, où des personnes en position d’autorité ont reçu des CV contaminés. Une opération qui avait pour but de préparer une attaque subséquente plus importante, selon ce que rapportent Bloomberg et le New York Times.
Améliorer nos défenses informatiques n’est certainement pas une tâche facile. Les portes d’entrée pour les pirates sont nombreuses, les concepts de sécurité sont souvent mal compris et la société est de plus en plus connectée.
Mais il y a plus. Jusqu’ici, la sécurité informatique a surtout été laissée entre les mains de l’industrie. Un plan d’action plus ambitieux s’impose désormais. « Il faut absolument améliorer notre sécurité informatique. Et la solution ne viendra pas du marché, elle doit venir de l’État », estime Patrick Boucher, président de la société de sécurité informatique Gardien virtuel.
En attendant une réflexion plus poussée et l’élaboration d’une stratégie par étapes complète, voici quelques mesures que les autorités publiques pourraient considérer pour améliorer la situation.
-> Les donneurs d’ordres doivent imposer des règles strictes
Hydro-Québec exige déjà la norme ISO 9001 pour ses approvisionnements en biens et en services qui ont des répercussions importantes sur la mission de base ou l’image de l’entreprise. Une telle approche devrait être commune parmi les donneurs d’ordres au pays, que ce soit en imposant une certification en sécurité informatique, comme la norme ISO 27000, ou en exigeant certaines mesures précises.
En plus d’améliorer la protection des organismes, une telle approche pourrait contribuer à créer un effet boule de neige dans les entreprises.
-> Augmenter la responsabilité des fabricants
L’attaque, en octobre dernier, du réseau de zombies (botnet, en anglais) Mirai, qui a permis à un logiciel malveillant simple de mettre à terre des services aussi importants que Twitter, Amazon, Spotify et Netflix, a montré à quel point la sécurité des objets connectés qui nous entourent laisse à désirer.
Les grands fabricants protègent généralement leurs appareils, mais tant et aussi longtemps que cette protection ne sera pas imposée, certains prendront des raccourcis. Encadrer une industrie internationale est un processus complexe, mais certaines règles pourraient néanmoins être adoptées, comme l’exigence d’énoncer clairement quelles sont les mesures instaurées pour protéger les produits et quelles sont les stratégies en place concernant les mises à jour de sécurité ultérieures.
-> Obliger la divulgation des attaques et tentatives d’attaques
Les accidents et les accidents évités de justesse sur un chantier de construction doivent être documentés. « Ce n’est pas le cas en informatique, mais ça devrait l’être », estime Patrick Boucher.
Pour l’instant, les entreprises sont tenues d’informer leurs clients si leurs données ont été volées, mais il faut en faire plus. Un meilleur partage de l’information, tant par rapport aux attaques réussies qu’aux attaques évitées, permettrait aux experts d’apprendre des erreurs des autres et de se préparer à affronter les prochains assauts.
-> Miser sur l’éducation populaire
L’utilisateur est généralement la plus grande faille de sécurité de tout système informatique. Que ce soit pour subtiliser les données Facebook de quelqu’un ou pour obtenir le mot de passe du dirigeant d’une centrale nucléaire, un courriel ciblé et un document malicieux bien conçu peuvent faire beaucoup de dommages.
Personne n’est à l’abri d’une attaque, mais une meilleure connaissance des risques et des méthodes employées par les pirates demeure l’un des mécanismes de défense les plus efficaces, tant pour les employés d’industries clés que pour les simples citoyens.
-> Adopter un cadre légal
En Ukraine, où de nombreux systèmes informatiques ont été paralysés le mois dernier par le virus NotPetya, la police nationale a laissé entendre cette semaine qu’elle poursuivrait au criminel une entreprise dont la sécurité défaillante aurait facilité la propagation du virus dans le pays.
Les experts interrogés s’entendent pour dire qu’un durcissement de la loi pour faciliter des poursuites de ce genre n’est pas la solution à adopter. « Est-ce que je veux qu’une loi rende les entreprises responsables de leurs produits ? Oui. Mais est-ce que la loi doit les rendre criminellement responsables ? Bien sûr que non », soutient Patrick Boucher.
« Le processus décisionnel législatif est lourd, compliqué et long, ajoute pour sa part Adam Allouba, avocat et associé au cabinet BCF Avocats d’affaires. Ça peut demander des années avant qu’on adopte une loi. Une loi avec des exigences précises en sécurité informatique risque d’être caduque dès son adoption. »
Bref, l’adoption d’une loi pourrait être à considérer dans la mise en place d’une stratégie globale, mais celle-ci risque de s’avérer longue et complexe… à l’image de la sécurité informatique dans son ensemble.
Ce n’est pas tant les fournisseurs de services qui devraient avoir la certification de sécurité ISO/CEI 27000, mais bien les donneurs d’ordre… Les fournisseurs seraient alors de facto obligés de s’y conformer dans leurs interventions et mandats.