Article publié dans l'édition Automne 2019 de Gestion

Les cyberattaques sont en augmentation constante, tout comme leur degré de sophistication et leur gravité. Il devient donc crucial pour les entreprises et pour les particuliers de mieux protéger leurs données. Mais comment ? Le Sénat canadien s’est penché sur la question et a dégagé des constats et des pistes d’action.

Les cyberattaques font les manchettes presque toutes les semaines. La place du numérique et du virtuel ne cessant de grandir dans tous les domaines, les entreprises sont de plus en plus exposées à des intrusions de pirates informatiques. En 2017, une firme canadienne sur cinq (21 %) a été victime d’une attaque informatique qui a eu une incidence négative sur ses activités1.

LIRE AUSSI : « Fraudes financières et dirigeants d'entreprise : les leçons à tirer »

En plus de nuire à la bonne marche des affaires, ces attaques sont susceptibles de compromettre les données personnelles de millions de consommateurs. Devant cette menace, le Comité sénatorial permanent des banques et du commerce a décidé en 2017 d’étudier les « cyberrisques » qui pèsent sur les Canadiens.

À la suite d’une série de consultations menées auprès d’experts de différents milieux (ministères et organismes gouvernementaux, secteur financier, regroupements d’entreprises, etc.), le comité a formulé une série de recommandations visant à prémunir la population canadienne contre les cyberattaques. Ces recommandations se divisent en trois axes d’intervention : la formation, la sensibilisation et la modernisation des lois sur la protection des données personnelles.

Formation et sensibilisation

En priorité, le comité prône l’instauration d’un programme national d’éducation en matière de cybersécurité. « L’accent doit être mis sur la formation. Il faut augmenter les compétences en matière de cybersécurité, tant pour les citoyens que pour les entreprises », affirme le sénateur Jean-Guy Dagenais, membre du comité et coauteur du rapport intitulé « Les cyberattaques – Elles devraient vous empêcher de fermer l’oeil2 », publié en octobre 2018.

L’objectif : développer de la « cyberrésilience », c’est-à-dire « la capacité d’une institution d’anticiper et de contenir une cyberattaque, d’y résister ou de s’en rétablir rapidement avant que celle-ci ne compromettre ses opérations ou […] nuise à ses clients », peut-on lire dans le document.

Pour y arriver, le comité sénatorial recommande d’élaborer un programme de « cyberlittératie », à l’instar de la stratégie nationale pour la littératie financière mise en œuvre par le gouvernement fédéral en 2015, soutient le sénateur Dagenais. « La protection des données est la responsabilité de tous. Il faut toutefois sensibiliser davantage la population aux risques liés à Internet pour les réduire le plus possible », explique-t-il.

Profitez d'un rabais de 50% sur l'ensemble des abonnements de la Revue Gestion avec le code de réduction CYBER50

Tentatives d’hameçonnage, usurpation de l’identité électronique de particuliers ou d’organisations, « fraude du président » : puisque les pirates informatiques rivalisent d’imagination pour commettre leurs méfaits, tant les citoyens que les entreprises – surtout les PME – sont souvent démunis devant de telles menaces.

Les conseils en matière de sécurité sont connus (utilisation de mots de passe robustes, de programmes antivirus, etc.), mais ils ne sont pas toujours mis en application, d’où le besoin d’être mieux formé (et mieux informé) quant aux réalités du cyberpiratage.

Le nombre grandissant d’appareils connectés à Internet dans nos maisons multiplie également les risques. En 2017, plus de la moitié des ménages canadiens possédaient au moins quatre dispositifs branchés, par exemple des haut-parleurs intelligents équipés d’un assistant vocal ou des systèmes de domotique, selon l’Autorité canadienne pour les enregistrements Internet. « Ces appareils nous facilitent la vie, mais ils nous rendent aussi plus vulnérables aux cyberattaques puisqu’ils peuvent être piratés », explique le sénateur Dagenais.

Une expertise à développer

Cyberattaques : des victimes par millions

147 millions de consommateurs, dont 100 000 Canadiens, ont appris en 2017 que leurs données personnelles avaient peut-être été piratées à la suite d’une cyberattaque massive contre la société d’évaluation de cotes de crédit Equifax.

1,13 million de clients de Nissan Canada Finance et des services financiers Infiniti Canada ont été lésés par une intrusion informatique en décembre 2017.

1,5 milliard d'utilisateurs de l’application mobile WhatsApp ont dû procéder à une mise à jour d’urgence en mai 2019 lorsqu’un logiciel espion a réussi à infiltrer les cellulaires en passant par la messagerie instantanée.

3 milliards de comptes chez Yahoo auraient été piratés en 2013, mais l’entreprise n’a reconnu les faits qu’en 2017. Elle détient le triste record de la plus grosse attaque informatique à ce jour.

Les auteurs du rapport proposent également que les jeunes des écoles secondaires, déjà très à l’aise avec les nouvelles technologies, soient sensibilisés aux cybermenaces courantes et émergentes. « La formation doit suivre l’évolution de la technologie », affirme le sénateur Dagenais.

Cela pourrait encourager chez plusieurs d’entre eux la poursuite d’études en sciences, en technologies, en ingénierie et en mathématiques pour pallier la pénurie actuelle de professionnels dans le domaine de la cybersécurité au Canada. Des programmes de formation professionnelle en cybersécurité aideraient aussi les entreprises à répondre à leurs besoins à plus court terme.

Le comité sénatorial propose également que le programme national d’éducation à la cybersécurité soit dirigé par le nouveau Centre canadien pour la cybersécurité, créé à l’automne 2018 lors de l’adoption de la Stratégie nationale de cybersécurité par le gouvernement fédéral.

Il estime cependant qu’investir dans la formation n’est pas suffisant. Ottawa devrait financer davantage la recherche fondamentale et favoriser l’enseignement supérieur lié à l’utilisation des technologies numériques.

Le Canada dispose déjà d’un réseau de centres d’excellence dans ce domaine, dont l’Institut canadien sur la cybersécurité de l’Université du Nouveau-Brunswick. Les auteurs du rapport recommandent donc de développer ce réseau, comme on le fait aux États-Unis et en Allemagne.

Modernisation et harmonisation des règlements

Procéder à des ajustements législatifs afin de pénaliser les entreprises qui manqueraient à leurs obligations en matière de protection des renseignements fait également partie des recommandations du comité sénatorial. En général, les citoyens ont peu de recours contre le vol de leurs renseignements personnels, se désolent les auteurs du rapport. Les deux lois canadiennes qui régissent cette question sont fort peu contraignantes, tandis que l’organisme qui a le mandat de veiller à leur application, le Commissariat à la protection de la vie privée, a des pouvoirs peu étendus.

Il faudrait aussi que la réglementation facilite l’échange d’information (de façon protégée, évidemment) entre les entreprises, le gouvernement et les organisations internationales dûment mandatées pour réagir plus rapidement et plus efficacement lors de cyberattaques.

Pour le moment, on peut seulement partager de l’information de nature très limitée, ce qui ne permet pas de contrer les menaces ni d’intenter des poursuites contre les pirates. L’élaboration d’un cadre national destiné à favoriser l’échange rapide et souple d’information permettrait de renforcer la cyberdéfense du Canada, estime le comité sénatorial.

Les auteurs du rapport soulignent aussi la nécessité de renforcer les normes de cybersécurité et de les harmoniser à l’échelle internationale. « La cybercriminalité est un problème mondial, il faut des actions plus concertées entre les pays, affirme le sénateur Dagenais. À l’heure actuelle, les cybercriminels peuvent agir à partir de différents endroits dans le monde. Il devient donc impossible de les retracer. » Les mêmes normes devraient aussi pouvoir s’appliquer à l’ensemble des entreprises d’un secteur. L’émergence des firmes de technologie financière (fintech) a tout particulièrement fait ressortir ce besoin, explique M. Dagenais.

LIRE AUSSI : « Dossier Condamnés à la cyberfragilité - La fraude à l'ère numérique »

En matière de cybersécurité, ces firmes peuvent en effet avoir des pratiques moins rigoureuses que les grandes banques, qui disposent de ressources financières et technologiques bien plus grandes pour lutter contre les intrusions informatiques. Cela dit, malgré de meilleurs moyens de défense, les grands groupes financiers ne sont pas à l’abri des attaques.

Par exemple, on se rappellera qu’en 2018, des pirates sont parvenus à mettre la main sur les informations financières personnelles de 90 000 clients de la Banque de Montréal et de la Financière Simplii, la filiale de services bancaires directs de la CIBC.

Malgré les menaces, les entreprises hésitent encore à renforcer la sécurité de leurs infrastructures informatiques. Un sondage3 de la Chambre de commerce du Canada mené en 2017 révélait ainsi que 64 % des entreprises sondées n’avaient pas l’intention d’investir dans des mesures de cybersécurité à court terme. À cet égard, de nouveaux incitatifs fiscaux pourraient favoriser les investissements et contribuer à améliorer les pratiques, estiment les auteurs du rapport.

Alors qu’il est impossible de savoir si l’ensemble des recommandations formulées par le comité sénatorial seront retenues par le gouvernement fédéral (surtout en cette année électorale), le sénateur Dagenais invite à la prudence : « Nos données personnelles ont beaucoup de valeur, on se doit de les protéger contre les arnaqueurs. »

Notes

1 Cybersécurité et cybercrime au Canada, 2017, Statistique Canada, 2018.

2 Comité sénatorial permanent des banques et du commerce, « Les cyberattaques – Elles devraient vous empêcher de fermer l’oeil », Ottawa, Sénat du Canada, octobre 2018, 38 pages.

3 Chambre de commerce du Canada, « Les entreprises canadiennes prennent la parole – Une analyse portant sur l’adoption des technologies web », 2017, 23 pages.