Le présent 

La cybercriminalité n’est plus un phénomène nouveau, mais elle continue de faire l’actualité tous les jours. Notre dépendance à l’égard du numérique s’accroît, tout comme notre exposition à la cybercriminalité potentielle. On peut vraiment dire que l’inévitabilité d’être touché par une cyberattaque est presque certaine pour ceux qui s’aventurent sur le Web, utilisent des appareils mobiles ou des appareils connectés à un réseau, ou encore dépendent de quelqu’un ou de quelque chose qui le fait. Bref, chaque personne vivante sur terre aujourd’hui sera d’une manière ou d’une autre touchée par la cybercriminalité. 

L’INÉVITABILITÉ D’ÊTRE TOUCHÉ PAR UNE CYBERATTAQUE EST PRESQUE CERTAINE… 

On en a suffisamment parlé, mais le problème est que trop peu de gens écoutent ou tiennent compte de l’appel à protéger leur vie privée, leurs biens, leur lieu de travail et, en fin de compte, leur identité. 

« Les excuses les plus courantes que j’entends pour ne pas mettre à jour les mesures de cybersécurité sont : « Mon informaticien est au courant de tout » et « Pourquoi quelqu’un nous attaquerait-il?«  ». 

– Terry Cutler, expert canadien en cybersécurité et créateur de l’application Fraudster 

L’enjeu est bien plus important pour les entreprises, les gouvernements et les institutions financières, de soins de santé et d’enseignement. Lorsqu’un individu est attaqué, les dommages sont graves mais limités. Lorsqu’une entreprise est attaquée, toutes ses parties prenantes peuvent être touchées, des employés aux fournisseurs, en passant par les distributeurs et, bien sûr, les consommateurs éventuels au bout de la chaîne de valeur mondiale. 

60 % DES ENTREPRISES SONDÉES ONT DÉPENSÉ PLUS POUR ENQUÊTER SUR UN CYBERCRIME QUE LE COÛT DU CRIME LUI-MÊME 

Limiter les dommages en cas d’attaque individuelle est un jeu d’enfant comparé à l’effet de réaction en chaîne qu’une attaque contre une entité commerciale ne manquera pas d’avoir. Les résultats financiers sont menacés, et pour ceux qui méprisent le capitalisme, ces résultats financiers sont ce qui permet de décider si les salaires sont versés, d’abord au sein de l’entreprise ciblée, puis à tous ceux qui gagnent leur vie grâce au pipeline et tout au long de celui-ci, y compris les socialistes. La mégasociété est peut-être celle qui se fait extorquer par un ransomware, mais l’entreprise de traiteur de Jacqueline, un petit fournisseur de la mégasociété, et Jacqueline elle-même pourraient voir leurs moyens de subsistance menacés. Ce n’est pas pour rien qu’on l’appelle le Web mondial (WWW), le réseau est infini et croît de manière exponentielle. Nul n’est immunisé, nul n’est en sécurité – si personne n’agit. 

LIMITER LES DOMMAGES EN CAS D’ATTAQUE INDIVIDUELLE EST UN JEU D’ENFANT COMPARÉ À L’EFFET DE RÉACTION EN CHAÎNE QU’UNE ATTAQUE CONTRE UNE ENTITÉ COMMERCIALE NE MANQUERA PAS D’AVOIR. 

Terry Cutler, un expert canadien en cybersécurité et pirate éthique, l’a constaté. « Les petites et moyennes entreprises sont particulièrement vulnérables parce que les pirates malveillants savent qu’elles ne disposent ni du temps, ni de l’argent, ni des ressources nécessaires pour faire face à une cyberattaque; par conséquent, elles ne sont pas outillées pour faire face à une attaque, et les temps d’arrêt peuvent être mortels pour elles. » Dans le cadre de notre entretien, il ajoute que de nombreux propriétaires et dirigeants d’entreprise présument que leur service informatique est chargé de tous les niveaux de cybersécurité, mais le personnel informatique typique est composé de généralistes de l’infrastructure numérique et n’est pas nécessairement formé pour gérer une cyberattaque d’envergure. « Pensez à l’informatique comme à votre médecin de famille. En général, vous ne demanderiez pas à votre médecin de famille de pratiquer une opération au laser des yeux. » Terry a raison. 

100 % DE LA VALEUR MONDIALE EST 
MENACÉE PAR LES CYBERATTAQUES 

Et que dire de ces attaques effrontées contre les réseaux de santé? Des vies sont en jeu. L’argent peut être remplacé, éventuellement, mais les premières cyberattaques à coûter des vies ne sont qu’une question de temps. L’Agence américaine pour le développement international (USAID) a été victime d’une telle attaque en 2021, une attaque qui visait clairement l’aide au développement international et qui aurait pu créer les conditions propices à une cascade d’événements conduisant à des décès¹. Bien qu’il n’y ait aucune trace officielle d’une cyberattaque causant directement des blessures ou des décès, celle subie en 2019 au Springhill Medical Center de Mobile en Alabama pourrait avoir causé la mort d’un nourrisson². 

C’est du sérieux. Nous sommes bien loin de l’adolescent boutonneux qui, dans son sous-sol, s’amuse à utiliser des scripts néophytes (script kiddies). 

La cybersécurité a ajouté une épaisse couche de code à chaque facette de notre vie numérique. Les applications, les appareils mobiles et leurs infrastructures opérationnelles, et à peu près tout ce qui communique avec un réseau, recèlent des contingences conçues pour faire face aux dernières cybermenaces. 

Or, ces cybermenaces évoluent au fil du temps, souvent plus rapidement que ne peuvent le faire les développeurs, les experts en cybersécurité et les entreprises. En fait, le taux d’accélération des cyberattaques augmente. Réfléchissez-y un instant. 

LES CYBERMENACES ÉVOLUENT AU FIL DU TEMPS, SOUVENT PLUS RAPIDEMENT QUE NE PEUVENT LE FAIRE LES DÉVELOPPEURS, LES EXPERTS EN CYBERSÉCURITÉ ET LES ENTREPRISES. 

Les entreprises pour lesquelles « assez bon » constitue l’épine dorsale de leurs efforts en cybersécurité sont les plus à risque. Cela ne signifie pas nécessairement que les petites entreprises qui ne disposent pas des ressources financières nécessaires pour mettre en place des défenses adéquates sont les plus vulnérables. De nombreuses grandes entreprises décident de ne pas mettre en œuvre de mesures de cybersécurité, soit par manque d’intérêt, soit parce qu’elles ne peuvent pas justifier le rapport coûts-avantages… jusqu’à ce qu’elles soient prises en otage par un rançongiciel, que des technologies exclusives soient volées, que des bases de données essentielles soient corrompues ou que des informations privilégiées soient diffusées à tout vent. Cela arrivera parce que c’est déjà arrivé… tous les jours… depuis des années. 

« Les meilleures pratiques en cybersécurité vont à l’encontre du comportement normal qui consiste à ne réparer que ce qui est cassé. La cybersécurité est un travail qui n’est jamais terminé. »⁶ 

– Pierre Moineau, conseiller en cybersécurité chez Cofomo 

Comme les ceintures de sécurité, la cybersécurité ne sert à rien jusqu’à ce qu’elle serve… Et là, il est trop tard. Une rétrospective 20/20 peut être faussement rassurante, mais elle n’est guère restauratrice et certainement pas préventive. 

Alors, que nous réserve l’avenir? 

* « Web mondial » est utilisé comme un fourre-tout pour désigner l’ensemble du monde numériquement connecté, de l’informatique en nuage à l’internet des objets (IdO), en passant par les jeux en ligne, le métavers et votre tante Agnès qui joue au solitaire sur un site de jeux occasionnels. 

________________________________ 

L’avenir 

Cet article n’a pas pour but de faire l’historique de la cybercriminalité. Bien qu’il s’agisse d’un sujet de grand intérêt, il est sans commune mesure avec l’attention requise pour se préparer, et encore moins pour résister, aux assauts de ce qui nous attend. Ce qui compte, c’est l’avenir de la cybersécurité – et l’avenir commence par le présent. 

LES CYBERATTAQUES COÛTENT AU CANADA ET AUX ENTREPRISES CANADIENNES 
244 $ par habitant par année 
EN L’ABSENCE DE MESURES DE CYBERSÉCURITÉ APPROPRIÉES, CE COÛT NE PEUT QU’AUGMENTER 

Nous avons mentionné les auteurs de scripts néophytes dans la section précédente. Il s’agit de jeunes pirates amateurs qui copient-collent du code malveillant dans l’espoir de pouvoir se vanter, un peu comme les artistes graffeurs et les tagueurs. Plutôt que de causer des dommages à grande échelle ou d’extorquer de l’argent, leurs intentions sont nihilistes – c’est un plaisir, quelque chose dont on peut parler en buvant une bière en canette dans un sac au parc local. Ils seront toujours une nuisance, mais rarement plus que cela. Contrairement à ce qu’a prétendu un récent ancien président des États-Unis, ce n’est pas un adolescent reclus de 400 livres habitant les recoins sombres de la cave de ses parents qui a piraté le serveur de messagerie du Congrès national démocrate, et ce n’est donc pas sur lui qu’il faut se concentrer³. 

Les acteurs malveillants d’aujourd’hui évoluent dans une autre catégorie. Certains États parias exploitent des fermes de trolls complexes et des unités de cyberguerre pas si habilement déguisées en organisations de recherche sur Internet en apparence bienveillantes. Ils sont généralement très impliqués dans les cyberattaques et les sondages continus des infrastructures numériques occidentales. 

Le gouvernement central d’un pays emploierait jusqu’à 100 000 personnes dans une armée de pirates informatiques spécialisés⁴. 

Ajoutez à cela des entreprises ouvertement hostiles, fortement soupçonnées d’avoir conçu d’innombrables cyberattaques pour acquérir des technologies, des secrets commerciaux et, ce qui est peut-être le plus inquiétant, pour extorquer de l’argent par le biais d’attaques par rançongiciels et l’infiltration d’intérêts économiques mondiaux. Ils ne se préoccupent même pas de nier ou de détourner l’attention; ils ignorent tout simplement les implications de leurs actions ou les conséquences. En fait, ce sont les programmes d’armes nucléaires naissants, le développement militaire et l’espionnage commercial qui sont véritablement financés. L’instabilité mondiale alimente la cybercriminalité, et cette dernière est aujourd’hui très présente. Ces acteurs représentent une menace considérable qui ne fait que croître. 

Protégés par leurs États, les cybercriminels et les pirates informatiques agissent en toute impunité et échappent à l’emprise des forces de l’ordre, comme c’est le cas des agents que nos gouvernements chargent d’agir dans l’ombre, apparemment dans notre intérêt. 

L’impartialité est de mise, alors n’oublions pas notre Service canadien du renseignement de sécurité (SCRS), les plus de 1 200 organisations gouvernementales américaines et près de 2 000 entreprises privées réparties sur 10 000 sites qui participent à la lutte contre le terrorisme et, par association, à la cybersécurité. Selon des estimations récentes, le nombre de personnes associées à l’appareil de renseignement américain dépasse les 850 000⁵. Nous entendons peu parler de leurs exploits. Nous entendons peu parler de leurs exploits. Il n’est pas nécessaire d’insinuer que nos services de renseignement sont probablement actifs et profondément ancrés dans les réseaux étrangers. La perception et l’objectivité nous dictent de présumer que leurs activités sont bénignes. Nous ne pouvons qu’espérer qu’elles le soient. Le prix à payer pourrait être élevé. 

PIRATAGES QUE NOUS ESPÉRONS NE JAMAIS VOIR 

Contrôle et navigation d’une voiture autopilotée Fonctionnement des avions Fonctionnement de la chaîne d’approvisionnement Services publics (électricité, eau) Contrôle de l’arsenal nucléaire Communications mobiles Médecine à distance 

Et puis, il y a le crime organisé. S’il y a de l’argent à gagner, il y a un crime qui attend d’être commis – et plus les groupes criminels sont importants et sophistiqués, plus l’exposition s’accroît. Si l’on ajoute à cela la tendance du crime organisé à travailler de concert avec des États adverses dans le but de miner notre cybersécurité, on obtient une tempête parfaite. 

Il ne s’agit pas d’attribuer des responsabilités ou de justifier des motifs. Le message à retenir est simple : nous vivons et travaillons dans un monde numérique qui devient de plus en plus dangereux. Si vous avez quelque chose qui vaut la peine d’être volé, quelqu’un va tenter de le faire. 

SI VOUS AVEZ QUELQUE CHOSE QUI VAUT LA PEINE D’ÊTRE VOLÉ, QUELQU’UN VA TENTER DE LE FAIRE. 

Nous bénéficions de la technologie tout en étant prisonniers de celle-ci. Ce n’est plus un choix. La technologie en est au point où la transformation numérique mondiale est imparable. Notre dépendance à l’égard d’une planète interconnectée et interdépendante va s’accroître de façon considérable chaque année. 

Les entreprises devront adopter une position défensive, tout en évitant de paralyser les consommateurs dans un champ de mines de restrictions qui entraveront le commerce. 

LES ENTREPRISES DEVRONT ADOPTER UNE POSITION DÉFENSIVE, TOUT EN ÉVITANT DE PARALYSER LES CONSOMMATEURS DANS UN CHAMP DE MINES DE RESTRICTIONS QUI ENTRAVERONT LE COMMERCE. 

________________________________ 

Préparer le présent pour l’avenir 

La vigilance et la proactivité sont les seuls moyens éprouvés de réduire les risques que vous ou votre entreprise soyez visés ou touchés par des menaces de cybersécurité. 

Les logiciels et systèmes d’exploitation de l’année dernière, le pare-feu de la décennie précédente et même les pratiques de cybersécurité de jadis ne suffiront pas. 

SOYEZ TOUJOURS PRÊT À ÊTRE PRÊT. 

Les cybercriminels ont déjà plusieurs longueurs d’avance, ils s’affairent à trouver des solutions de contournement aux mesures les plus récentes et à anticiper les prochaines actions des forces de l’ordre et du gouvernement, ainsi que la réaction des entreprises à ces deux aspects. 

VOUS CROYEZ CONNAÎTRE LES CYBERMENACES? 

En voici quelques-unes dont vous n’avez peut-être jamais entendu parler. Consultez notre PDF informatif et apprenez à les connaître avant d’en faire l’expérience vous-même. 

Une évaluation approfondie des risques liés à la cybersécurité et un test de résistance sont impératifs pour toute entreprise qui n’aurait pas mis à jour ou évalué ses ressources, suivis d’une approche stratégique pour mettre en œuvre des ressources actualisées, des contingences pour traiter les risques émergents, voire des protocoles pour réagir à de tout nouveaux types de menaces. Soyez toujours prêt à être prêt.

PLUS LA CIBLE EST FACILE, PLUS ELLE EST SUSCEPTIBLE D’ÊTRE LA PROIE D’UNE ATTAQUE. 

QUATRE CHOSES QUE VOUS POUVEZ FAIRE MAINTENANT POUR ACCROÎTRE VOS CHANCES DE SURVIVRE À UNE CYBERATTAQUE 

MISES À JOUR DES MOTS DE PASSE 
Les mots de passe individuels des équipes doivent être modifiés de façon régulière. Encouragez l’utilisation de mots de passe robustes et imposez leur mise à jour régulière. Faites en sorte qu’ils ne puissent pas être devinés… 

MISES À JOUR DES LOGICIELS 
Personne n’aime les vieux logiciels comme les cybercriminels. Les anciennes versions des logiciels les plus utilisés sont le plus souvent déjà exposées à des fissures et les vulnérabilités sont bien connues des criminels. 

SUPPRESSION DES ANCIENS LOGICIELS 
Réduisez votre exposition en supprimant tous les logiciels périmés ou obsolètes et désactivez les fonctions des logiciels actuels qui ouvrent des portes aux pirates.

ÉDUCATION, ÉDUCATION, ÉDUCATION 
Rien ne vaut la sensibilisation. Qui dit prévoyance dit protection, et cela s’applique parfaitement à la cybersécurité. L’ingénierie sociale est responsable de 70 à 90 % de toutes les violations⁷. L’éducation est la contre-mesure préventive la plus efficace. 

Agir avant l’attaque 

Voici notre dernier mot. Toute l’inquiétude du monde ne protégera pas votre entreprise d’une cyberattaque. Parler est un premier pas, mais pendant que vous réfléchissez à la manière de mettre en place de meilleures défenses, les pirates ont déjà percé vos défenses actuelles. 

« La compétence en cybersécurité n’est pas une responsabilité réservée aux spécialistes de terrain, elle a une incidence sur toutes les parties prenantes et nécessite une formation appliquée. »⁸ 

– Marc Vachon, VP, Technologies et sécurité, Soutien client, chez Cofomo 

L’inaction, c’est l’extinction. Mettez toutes les chances de votre côté en les battant à leur propre jeu. 

« Il n’y a que deux types d’entreprises : celles qui ont été piratées et celles qui seront piratées. » 

– Robert S. Mueller, ancien directeur du FBI, 2001-2013 

———————-

Les informations de cet article ont été compilées à partir de plusieurs sources :  

1. https://www.reuters.com/technology/microsoft-says-group-behind-solarwinds-hack-now-targetting-government-agencies-2021-05-28/ 
2. https://www.washingtonpost.com/politics/2021/10/01/ransomware-attack-might-have-caused-another-death/ 
3. https://www.theverge.com/2016/9/26/13068296/presidential-debate-2016-donald-trump-dnc-hack-russia-vs-nerds 
4. https://en.wikipedia.org/wiki/Cyberwarfare_by_China 
5. https://en.wikipedia.org/wiki/United_States_Intelligence_Community 
6. (6et8) Entrevue avec Marc Vachon et Pierre Moineau 
7. https://blog.knowbe4.com/70-to-90-of-all-malicious-breaches-are-due-to-social-engineering-and-phishing-attacks 
8. Entrevue avec Marc Vachon et Pierre Moineau