Logo - Les Affaires
Logo - Les Affaires

Cyberrisques: pas le moment de baisser la garde

Philippe Jean Poirier|Publié le 19 novembre 2023

Cyberrisques: pas le moment de baisser la garde

Depuis le lancement de ChatGPT, les cyberpirates ont un nouvel outil pour rédiger des courriels d’hameçonnage plus convaincants. (Photo: 123RF)

CYBERSÉCURITÉ. Dans la dernière année, les entreprises québécoises ont maintenu le travail hybride tout en intensifiant leur transformation numérique, ce qui les rend plus vulnérables aux cyberattaques. Or, plusieurs indicateurs suggèrent qu’elles sous-investissent dans la sécurité de leurs infrastructures. 

C’est ce qui ressort du Portrait TI 2023 de Novipro, qui se base sur un sondage mené en mars 2023 auprès de 635 décideurs d’entreprises canadiennes. Selon ces données, l’intention des entreprises d’investir dans des « solutions de sécurité » est en dégringolade, étant passée de 43 % en 2018 à seulement 19 % en 2022. Même phénomène du côté des organisations qui ont offert de la formation en cybersécurité à leurs employés : le pourcentage s’érode d’année en année, passant de 74 % en 2019 à 59 % en 2022. 

Martin Pelletier, chef de la stratégie à Novipro, nuance ces résultats. « En parlant aux dirigeants d’entreprises, on se rend compte que les très grandes organisations surinvestissent en cybersécurité — par souci de conformité et pour protéger leur réputation. À l’opposé, les petites entreprises investissent très peu, car elles pensent que ça [les cyberattaques] n’arrive qu’aux autres. »

Abondant dans le même sens, Nicolas Duguay, codirecteur général d’In-Sec-M, grappe canadienne qui promeut l’industrie de la cybersécurité et accroît les capacités d’innovation, de commercialisation et de croissance des entreprises dans ce domaine, juge que les PME sont devenues des « proies faciles » faute d’avoir négligé la question de la cybersécurité. « La vaste majorité des PME qui subissent une brèche sont compromises par un courriel contenant un maliciel. On n’est pas dans des scénarios très sophistiqués. L’attaque est envoyée par un bot qui fait de l’envoi massif de courriels. C’est littéralement de la pêche au filet », illustre-t-il.

 

Vulnérabilité humaine et technologique 

Depuis le lancement de ChatGPT, les cyberpirates ont un nouvel outil pour rédiger des courriels d’hameçonnage plus convaincants. « L’époque où l’on pouvait repérer un courriel malveillant par le simple fait qu’il présente des fautes d’orthographe est révolue, confirme Bernard Després, associé et directeur de la pratique en cybersécurité à MS Solutions. Avec l’utilisation des outils d’intelligence artificielle, les campagnes d’hameçonnage sont plus réalistes dans leur contenu et plus sophistiquées dans leur ingénierie sociale. » 

À sa manière, l’inflation vient elle aussi fragiliser les entreprises quant au cyberrisque. D’une part, parce que celles-ci ont revu à la baisse leur investissement en technologie. D’autre part, parce que les employés sont plus vulnérables à des offres de corruption. « La compromission du personnel interne fait partie des options considérées par les criminels présents sur les forums du Web clandestin », rapporte Bertrand Milot, président et fondateur de la firme de cybersécurité Bradley & Rollins. On tente de faire faire une erreur à un employé et, après, on le manipule. Avec la conjoncture économique, proposer 10 000 $ à une personne a plus d’impact qu’avant. » 

Les entreprises ont en outre plus de surface informatique « exposée » qu’avant la pandémie. Selon un sondage mené en août par l’Ordre des conseillers en ressources humaines agréés (CRHA), 81 % des organisations québécoises permettent à leurs employés de faire du télétravail à temps plein ou selon une formule hybride. « Les télétravailleurs font cohabiter de l’informatique corporative avec de l’informatique ludique ou résidentielle liée à l’Internet des objets, tels que des télévisions, des thermostats ou toutes autres commodités connectées », note Bernard Després. Ces appareils n’ont « pas de mis à jour ou de correctifs logiciels », poursuit-il, ce qui a pour effet de placer le matériel informatique de l’entreprise dans un environnement « non contrôlé ».

 

Exiger plutôt que convaincre

Existe-t-il une voie de salut ? Pour Nicolas Duguay, l’adoption de meilleures pratiques de cybersécurité ne pourra se faire sans l’impulsion des gouvernements. « La tendance la plus intéressante que je vois en ce moment est un durcissement des exigences gouvernementales envers les PME. » 

Le codirecteur général d’In-Sec-M constate que les législateurs s’activent partout dans le monde et à tous les ordres de gouvernement. « Les États se sont rendu compte que les PME étaient le maillon faible de leurs chaînes d’approvisionnement et il commence à y avoir un sentiment d’urgence à aborder cet enjeu. Dans le passé, on a essayé de convaincre les entreprises d’investir davantage en cybersécurité. Maintenant, on est plus coercitif. C’est une tendance claire. »

Il en prend pour preuve l’entrée en vigueur du projet de loi 25 sur la protection des renseignements personnels au Québec ainsi que les projets de loi fédéraux C-26 (Loi concernant la cybersécurité) et C-27 (Loi sur la protection de la vie privée des consommateurs) qui s’intégreront bientôt au cadre législatif canadien. Autant de signaux que les entreprises doivent mettre le cyberrisque en tête de leur radar.

 

///

Causes principales des cyberattaques, selon les entreprises : 

– Attaque externe sans lien avec l’entreprise : 38 %

– Compromission interne malveillante : 30 %

– Compromission interne non volontaire : 12 %

– Attaque indirecte par la chaîne d’approvisionnement : 12 %

– Ne sais pas/préfère ne pas répondre : 8 %

 

Source : Novipro