Des cyberpirates veulent votre bien

Dossier sur la Cybersécurité

Avez-vous les moyens de perdre des semaines de production?

Des cyberpirates veulent votre bien. Et ils pourraient l’avoir.

Pendant une semaine en mai dernier, 45 % de tout l’apport en pétrole de l’Est des États-Unis a été compromis alors que le pipeline Colonial était victime d’une cyberattaque au rançongiciel.

Un simple mot de passe insuffisamment sécurisé a suffi pour que les malfaiteurs bloquent les données de l’entreprise en échange d’une rançon, qu’on devine substantielle.

M. Steve Waterhouse est un consultant spécialisé en cybersécurité.

L’anecdote est soulevée par M. Steve Waterhouse, à l’occasion d’une entrevue avec le Magazine MCI. Consultant en cybersécurité qui a d’abord œuvré pour la Défense canadienne avant de lancer son propre cabinet et d’enseigner à la maîtrise à l’Université de Sherbrooke, il a vécu les tourbillons informatiques de la crise du verglas de 1998 et du fameux « bogue de l’an 2000 ».

Et si l’exemple mentionné en ouverture concernait une très grande organisation, il insiste pour dire que les entreprises de toutes les tailles sont désormais sur le radar des fraudeurs du Web. « La sécurité de l’information, c’est partout. Tout le monde devrait considérer ça dans leurs activités d’affaires », dit-il.

Un sondage mené à la fin de 2020 et au début de 2021 par la Fédération canadienne de l’entreprise indépendante (FCEI) tend à lui donner raison, révélant que près de 25 % des PME ont subi une cyberattaque depuis mars 2020.

Et le stéréotype du hacker génial, agissant seul caché dans un sous-sol, tend à disparaître, selon M. Waterhouse. C’est désormais le crime organisé qui mise sur l’implantation de rançongiciels, dit-il, notamment en raison des cours élevés du bitcoin, la monnaie virtuelle de prédilection des rançonneurs informatiques.

M. Waterhouse qualifie de « cyberhygiène » les pratiques toutes simples et maintes fois répétées – et presque aussi souvent négligées – que sont la gestion des mots de passe, les mises à jour régulières, les copies de sûreté, la supervision de l’information qu’une entreprise diffuse sur les médias sociaux ou encore la connexion sécuritaire d’appareils au sein d’un même réseau.

Et cette routine doit devenir une seconde nature. « L’entretien des systèmes, il faut qu’il soit “vivant” parce que ce n’est pas parce qu’on installe un appareil électronique qu’il va se mettre lui-même à jour ou qu’il n’aura jamais besoin d’être mis à jour. Tout ce qui est logiciel a besoin de mises à jour », martèle M. Waterhouse.

Oubliez « 1, 2, 3, 4, 5 » et optez pour des mots de passe forts, qui combinent des chiffres ou des caractères spéciaux et des lettres, majuscules et minuscules.

Vos machines comme portes d’entrée

Parce que oui, dans un domaine industriel 4.0 hyper connecté, même l’une de vos machines de production pourrait servir de porte d’entrée à des malfaiteurs informatiques.

« L’Internet des objets et ses points de collecte d’information font en sorte que, dans l’industrie, il y a plus d’information qui arrive pour être en mesure d’avoir des indicateurs de performance, ou encore des avertissements qu’un appareil a réduit en performance ou est défaillant, etc. », souligne l’expert. « Ces appareils-là qui captent l’information doivent aussi être mis à jour », dit-il, donnant l’exemple de capteurs sur une ligne de convoyeurs.

« Si un réseau sans fil est mal entretenu, mal préparé ou mal configuré, il peut arriver n’importe quoi », prévient M. Waterhouse, soulignant que la portée wi-fi est généralement de 300 à 400 pieds autour d’un bâtiment, selon la puissance de diffusion. « Je peux être à des kilomètres de là avec une antenne plus sensible et, sans que personne n’en sache rien, je serai capable d’interagir avec ce réseau-là. S’il est mal protégé, je serais capable de créer quelque chose de néfaste dans le réseau. »

La menace peut aussi prendre la forme de vandalisme provenant de l’intérieur, d’un employé récemment congédié par exemple et à qui les accès aux données n’ont pas été coupés suffisamment rapidement. La vérification des antécédents et des références des employés avant l’embauche peut être fort utile à titre préventif.

M. Waterhouse plaide pour des sessions de formation du personnel sur une base régulière, parce que les dangers évoluent sans cesse. « La menace mute, comme n’importe quel virus de grippe », illustre M. Waterhouse.

Ne prenez pas pour acquis que le matériel des employés en télétravail est aussi sécurisé qu’en entreprise

Télétravail et nouveaux portails

L’analogie avec la pandémie de COVID-19 n’est pas anodine. La FCEI a elle aussi choisi mars 2020 comme point de référence pour son sondage, auquel ont répondu 3 000 de ses 95 000 membres.

Parce qu’avec la pandémie et les épisodes de confinement sont arrivés le télétravail et un virage numérique prononcé pour de nombreuses entreprises qui ont mis sur pied en catastrophe des portails en ligne permettant de commander et de payer de la marchandise, souligne en entrevue M. Jasmin Guénette, vice-président des affaires nationales à la FCEI.

M. Jasmin Guénette, de la FCEI, estime que les gouvernements devraient compenser les entreprises pour leurs dépenses en cybersécurité.

« Plus on est allés en ligne, plus on s’est exposés à des risques », résume-t-il.

M. Guénette estime que les propriétaires d’entreprises doivent garder en tête que les employés qui travaillent à distance ne disposent peut-être pas à la maison de systèmes de sécurité aussi sophistiqués qu’en entreprise pour protéger des données sensibles et que l’investissement en cybersécurité devient incontournable.

Seulement voilà : toujours selon le sondage de la FCEI, 60 % des propriétaires de PME étaient d’accord avec l’énoncé suivant : « Je n’ai ni le temps, ni les connaissances ou les ressources nécessaires pour bien protéger mon entreprise contre les cyberattaques. »

Si vous vous reconnaissez dans ce sentiment d’être désemparé, plusieurs avenues s’offrent à vous.

Éducation, assurances et experts-conseils

Dans un premier temps : l’acquisition ou la mise à jour de vos connaissances et de celles de vos employés par le biais de formations (déductibles d’impôt), notamment au Cégep de l’Outaouais ou encore à l’Université de Sherbrooke. L’organisme Cyber Québec demeure le pivot pour obtenir de l’information à ce sujet.

Sachez également qu’il existe une telle chose que l’assurance cyberrisques. Ça fonctionne selon le même principe que n’importe quel autre type d’assurance. En fonction du risque que vous représentez, vous payez un montant « x » en échange d’une indemnité si un « sinistre informatique » devait s’abattre sur votre entreprise.

Cela n’empêche pas le malheur de se produire, mais ça contribue à revenir à l’état initial plus rapidement. « L’assurance est là pour passer la “moppe” à la fin », image Steve Waterhouse.

Sachez cependant que les primes sont à la hausse par les temps qui courent, en raison de la loi de l’offre et de la demande. Parce que si 43 % des entreprises sondées par la FCEI ne disposaient pas de ce type de protection, 13 % avaient l’intention de s’en procurer et 2 % l’avaient fait depuis mars 2020.

Vous pouvez également faire appel à des experts en cybersécurité pour former vos gens à l’interne et monter une infrastructure de protection de vos données. Ce n’est pas le choix qui manque. Nous avons tapé « cybersécurité pour les entreprises » dans un moteur de recherche bien connu et nous avons obtenu plus de 10 millions de résultats.

Comment séparer le bon grain de l’ivraie? Comment s’assurer que la personne ou le cabinet embauché ne bâclera pas le travail, vous laissant dans un sentiment de fausse sécurité ou pire encore, ne profitera de votre confiance pour vous pirater elle-même?

« Ça, c’est la question à deux millions de dollars », répond M. Waterhouse. « Il y a beaucoup, beaucoup de charlatanisme dans le domaine », dit-il, soulignant par ailleurs qu’il n’existe pas d’ordre professionnel pour encadrer cette sphère d’activité.

Le cybersoldat suggère la bonne vieille méthode du bouche-à-oreille et des recommandations pour choisir un consultant en sécurité informatique. N’hésitez pas à communiquer avec d’anciens clients du consultant pour savoir s’ils sont satisfaits. « Sans quoi, c’est donner aveuglément les clés de toute l’organisation », prévient M. Waterhouse.

Le rôle des gouvernements

Le hic, c’est que tout ça coûte de l’argent. Et c’est pourquoi la FCEI fait des représentations auprès des gouvernements du Québec et du Canada.

« On a recommandé de compenser une partie des investissements réalisés [par les entreprises] dans l’équipement et les programmes de protection avec des crédits d’impôt. », indique M. Guénette au sujet des discussions de la FCEI avec les autorités gouvernementales.

Des programmes d’aide des différents paliers de gouvernement existent, mais ils demeurent trop souvent inutilisés parce que méconnus, aussi efficaces et pertinents puissent-ils être.

« Il y a certainement un rôle d’éducation et de communication à faire pour les gouvernements », estime Jasmin Guénette.


Cybersécurité : Les programmes gouvernementaux

Plusieurs programmes, ressources et incitatifs gouvernementaux sont en place pour aider les entreprises à peaufiner leurs stratégies de cybersécurité, tant au fédéral qu’au provincial.

Québec

  • Revenu Québec offre le crédit pour formation incluant en d’un travailleur à l’emploi d’une PME (incluant la formation en cybersécurité), et le crédit d’impôt pour services d’adaptation technologique. Les détails et critères de chacun de ces crédits sont indiqués sur le site web de Revenu Québec.
  • Programme innovation : Aide financière pour les entreprises qui développent et commercialisent un produit innovant en cybersécurité.
  • Programme ESSOR : Les entreprises de commerce de détail et de commerce de gros sont admissibles pour la réalisation de certains projets numériques portant sur l’acquisition d’équipements et de logiciels.
  • Programme d’aide à l’entrepreneuriat – Volet 3 : Les jeunes entreprises innovantes à fort potentiel de croissance (startups) dans le domaine de la cybersécurité peuvent bénéficier d’une aide pour des bons d’incubation ou pour leurs projets d’innovation.

Ottawa

  • Programme de coopération en matière de cybersécurité (PCCS). Le programme offre un financement d’une durée limitée aux universités et aux organismes à but lucratif et à but non lucratif sous forme de subventions et de contributions.
  • Contrôles de cybersécurité de base pour les petites et moyennes organisations. Ressource qui fournit des recommandations aux PME souhaitant améliorer leur cyber-résilience grâce à des investissements dans la cybersécurité.
  • Certification Cybersécuritaire Canada. Cette certification permet aux organisations de démontrer à leurs partenaires, à leurs clients, à leur chaîne d’approvisionnement et à leurs investisseurs qu’elles sont un partenaire de confiance parce qu’elles ont entrepris et mis en œuvre les mesures nécessaires pour atténuer les cyberattaques.
  • Crédits de taxe sur les intrants (CTI) du programme de la recherche scientifique et du développement expérimental, auxquels peuvent être admissibles les organisations qui effectuent des travaux de recherche et de développement au Canada, liés à l’élaboration de solutions de cybersécurité.

Sources : Ministère de l’Économie et de l’Innovation du Québec; Revenu Québec; Sécurité publique Canada; Innovation, Sciences et Développement économique Canada; Agence du revenu du Canada.


7 rappels de protection informatique

  1. Sauvegardez périodiquement toutes les données, non seulement dans le nuage, mais aussi sur un disque dur local. Testez systématiquement la fiabilité de vos systèmes de sauvegarde. Seriez-vous en mesure de récupérer les renseignements essentiels qui vous permettent de rester en affaires et d’avoir une longueur d’avance sur vos concurrents?
  2. Adoptez une politique afin de déterminer qui peut accéder à quels renseignements, comme les renseignements financiers, les listes de clients et la propriété intellectuelle, et dans quelles circonstances.
  3. Consignez vos politiques de cybersécurité et soyez prêt à les communiquer à vos clients. Les clients voudront probablement savoir comment vous gérez les renseignements confidentiels, qui y a accès, où les données sont stockées et ce qui se passerait en cas d’atteinte à la protection des données. Offrez ces renseignements à vos clients comme preuve de bonne gouvernance.
  4. Appliquez des pratiques de mots de passe forts. La grande majorité des atteintes à la protection des données sont dues à la perte, au vol ou à la faiblesse des mots de passe.
  5. Le chiffrement des données signifie qu’il est presque impossible de reconstruire des données sans connaître le mot de passe. Microsoft et Apple ont des fonctions de chiffrement intégrées à leurs systèmes d’exploitation.
  6. Installez un antimaliciel et tenez-le à jour. En moyenne, 30% des employés ouvrent les courriels d’hameçonnage, une statistique canadienne en hausse.
  7. Prévoyez une main-d’œuvre mobile. Avec la popularité croissante des dispositifs portables, tels que les montres intelligentes, il est essentiel de les intégrer à la politique. Exigez des employés qu’ils configurent des mises à jour automatiques de sécurité et que la politique de mots de passe de l’entreprise s’applique à tous les appareils mobiles qui accèdent à votre réseau.

Source : Banque de développement du Canada (BDC)

Par Eric Bérard


D’autres dossiers exclusifs du Magazine MCI pourraient vous intéresser

(1 commentaire)

Laisser un commentaire

%d blogueurs aiment cette page :