Les infrastructures critiques du Canada : un risque qui persiste
![Image [Réseaux industriels :] les protéger est une priorité absolue](https://incyber.org//wp-content/uploads/2024/03/incyber-news-cybersecurite-cybersecurity-mechanics-industry-885x690.jpg)
![Image [Kaspersky] pointe un léger recul des attaques contre les ICS](https://incyber.org//wp-content/uploads/2023/12/incyber-news-cybersecurity-data-protection-limit-885x690.jpg)
Les risques de cyberattaques contre les infrastructures essentielles canadiennes ne cessent d’augmenter. La numérisation de leurs systèmes, le raffinement des techniques d’ingénierie sociale et la démocratisation de la technologie utilisée par les cybercriminels posent un grand défi au gouvernement canadien et des provinces. Regard sur l’état des vulnérabilités des infrastructures essentielles au Canada. Et sur les efforts déployés pour gérer les problèmes de coordination entre les acteurs concernés.
Tandis que nos vies se déroulent de plus en plus en mode virtuel, les cyberattaques continuent de défrayer la chronique. Et quand les cybercriminels s’attaquent à des infrastructures critiques (systèmes informatiques hospitaliers, barrages hydroélectriques, digues, institutions bancaires, etc.) les dégâts ne sont pas seulement financiers. Ils entraînent aussi des risques considérables pour la sécurité du public. Il incombe donc à nos gouvernements de rester particulièrement vigilants et proactifs.
Presque trois ans après le début de la pandémie, le moment est opportun pour faire l’état des lieux. Quelles sont les techniques privilégiées par les cybercriminels, et quelles sont leurs conséquences ? Et ou en sommes-nous dans les efforts gouvernementaux pour amoindrir les problèmes de coordination de réponse aux cyberattaques?
Ceci implique d’abord d’identifier les vulnérabilités. Dans un chapitre de « Stress Tested : The Covid-19 and Canadian National Security », sur la vulnérabilité des infrastructures critiques au Canada et co-écrit par l’auteur de cet article, deux facteurs sont mis en avant pour expliquer leurs origines: la numérisation des systèmes qui permet les intrusions à distance, et la privatisation des infrastructures qui gêne la coordination entre les acteurs.
Il faut ajouter à ceci la démocratisation des méthodes de cyberattaques ainsi que l’impunité relative des crimes qui, ensemble, contribuent à rendre la cybercriminalité toujours plus attractive. Et bien sûr, à la faveur du repli numérique généralisé en réponse à la pandémie de covid-19, les cibles ne manquent pas.
Le cyberattaquant n’est plus un geek : la nouvelle donne en cybersécurité
La pandémie a engendré une révolution en accéléré des méthodes de travail. Or, l’adoption en masse du travail à la maison a aussi entraîné en changement de paradigme en termes de cybersécurité (mots de passe faibles, la sécurité des ordinateurs personnels non mise à jour, la possibilité accrue de vol des appareils électroniques hors des bureaux, l’hameçonnage). Désormais, les cybercriminels ne ciblent plus seulement les systèmes mais les utilisateurs à titre individuel pour accéder aux infrastructures critiques. Ils utilisent alors des techniques d’ingénierie sociale.
Aujourd’hui, plus de 95% des attaques déclarées aux autorités relève de l’ingénierie sociale. Par exemple, en septembre 2022, Uber a été victime d’une faille de sécurité majeure qui a donné au pirate informatique un accès aux bases de données de l’entreprise. La méthode employée? Un simple SMS via lequel ce dernier a réussi à convaincre un salarié de la compagnie de lui partager son mot de passe en se faisant passer pour un membre de l’équipe IT. Nul besoin donc de techniques sophistiquées et de programmes informatiques complexes. Ce genre de subterfuge est accessible à quiconque possède un téléphone portable.
Les cybercriminels eux-mêmes changent de profil. Plus besoin d’être un génie en informatique pour s’attaquer à des infrastructures IT ou critiques. Il est en effet désormais facile de se procurer en ligne des outils prêts à l’emploi qui automatisent les processus informatiques (bots) ou encore des rançongiciels.
En octobre 2021, des pirates informatiques ont ainsi utilisé un tel logiciel malveillant pour paralyser le système de santé de Terre-Neuve-et-Labrador. Conséquence : cette attaque a rallongé les délais de rendez-vous et retardé des opérations chirurgicales pour plusieurs centaines de patients dans tout l’est de la région. La facilité d’accès aux logiciels nécessaire à ce genre de cyberattaque, et le faible besoin de connaissance pour les utiliser ne fera qu’augmenter l’ampleur du problème. Quelles solutions alors faut-il envisager?
Les défis présents et futurs
L’attaque contre le système de santé de Terre-Neuve-et-Labrador doit rappeler l’importance de réconcilier les intérêts du gouvernement fédéral et ceux des victimes. En effet, ces dernières choisissent souvent de payer la rançon demandée afin de reprendre rapidement leurs activités et ainsi limiter les dégâts. Le gouvernement préfère, lui, un non-paiement des rançons pour éviter des récidives. On pourrait dans un tel contexte assister à des conflits entre paliers de gouvernement.
Par exemple, un hôpital (sous juridiction provinciale) pourrait décider de payer une rançon en vue de protéger la vie de patients et pourrait ainsi contrevenir à une directive fédérale de non-paiement en vue de dissuader de futures cyberattaques. Les intérêts divergents compliquent davantage la situation. Il est donc crucial d’élaborer une politique de coordination gouvernementale claire en la matière.
Les ennuis du fournisseur de télécommunications Rogers en juillet 2022 sont une autre illustration. Bien que la panne soit le résultat d’un problème interne et non pas d’une attaque, ses effets peuvent nous éclairer sur les risques futurs pour le pays. Durant plusieurs heures, le système de paiement Interac fut interrompu dans une grande partie du pays. Les services d’urgence 911 ont aussi été non-disponible. Des attaques coordonnées envers plusieurs infrastructures critiques de ce genre peuvent paralyser une grande partie du pays et affecter durement son économie.
Le constant défi de la coordination
Pour aider à la coordination des entités privées et publiques en cas d’attaque contre les infrastructures essentielles, le gouvernement canadien a rédigé un projet de loi nommé « loi C-26 ». Celui-ci obligerait les organisations qui œuvrent dans des domaines liés à l’intérêt national de se doter de programmes spécifiques de cybersécurité.
Le projet de loi fait aussi en sorte que les organisations victimes de cyberattaques doivent rapporter l’incident au gouvernement sous peine de sanction financière. Reste à voir si cette mesure coercitive incitera les organisations à la coopération ou si ces contraintes auront l’effet contraire.
Le Québec a pour sa part choisi une méthode plus centralisatrice. Il a choisi de créer un ministère de la Cybersécurité et du Numérique. Le ministère mise sur une approche collaborative avec un mandat de partage et de mise en commun de l’information. Une entreprise ayant détecté des activités suspicieuses venant d’adresses IP spécifiques est invitée à partager l’information au ministère.
Ce dernier fera suivre l’information aux entreprises spécialisées en solutions de sécurité pour que celle-ci puisse mettre à jour leurs filtres, par exemple. La nouvelle organisation fait le pari qu’une telle approche facilitera les échanges de données critiques lors de cyberattaques. Il s’agit d’échanges qu’une approche plus coercitive pourrait rendre plus difficiles.