Feu nourri contre les infrastructures essentielles
Philippe Jean Poirier|Édition de la mi‑octobre 2023Il est aujourd’hui devenu monnaie courante qu’un désaccord « politique » se traduise par une pluie d’assauts contre des sites web gouvernementaux. (Photo: 123RF)
CYBERSÉCURITÉ. Après chaque nouveau désaccord ou épisode de tensions diplomatiques avec un État étranger, l’intensité des cyberattaques qui visent les infrastructures essentielles rehausse d’un cran un peu partout au pays, y compris au Québec. Doit-on s’inquiéter de voir une rupture de service dans les secteurs des soins de santé, de l’énergie, des finances ou des communications ?
Le 20 septembre dernier, un groupe de cyberpirates nommé « Indian Cyber Force » publiait sur le réseau X (anciennement Twitter) le message suivant : « Préparez-vous à ressentir la puissance d’Indian Cyber Force, les attaques seront lancées contre le cyberespace canadien dans les trois prochains jours — c’est pour le gâchis que vous avez commencé. » Cette menace venait en réponse à l’expulsion du diplomate indien Pavan Kumar Rai par le gouvernement canadien. « Il y a de fortes chances qu’ils utiliseront des #botnets pour lancer des attaques de #DéniDeServiceDistribués (#ddos) envers principalement les sites web du gouvernement », a prévenu le conférencier et consultant en cybersécurité, Steve Waterhouse, dans une publication LinkedIn.
Il est aujourd’hui devenu monnaie courante qu’un désaccord « politique » se traduise par une pluie d’assauts contre des sites web gouvernementaux. En septembre dernier, des attaques attribuées au groupe prorusse NoName057(16) ont momentanément paralysé des sites fédéraux et provinciaux, dont celui d’Hydro-Québec.
Est-ce donc tout ce qu’il y a à craindre : une perte d’accès Internet pour quelques heures ? Si l’on exclut la panne généralisée des bornes frontalières dans les aéroports canadiens — aussi provoquée par l’attaque prorusse de septembre —, on trouve peu d’atteintes « directes » aux infrastructures critiques.
Dans son rapport d’évaluation des cybermenaces nationales 2023-2024, le Centre canadien pour la cybersécurité se veut d’ailleurs rassurants. « Selon nos observations, il est très probable que les auteurs de cybermenaces parrainés par des États s’abstiennent de perturber ou de détruire intentionnellement les infrastructures essentielles du Canada en l’absence d’hostilités. »
Antoine Lemay, chef de la direction scientifique de la firme Cyber Defence Corp, fait toutefois remarquer qu’une part des attaques contre les infrastructures critiques sont « accidentelles ». « En 2017, le logiciel malveillant NotPetya visait le système bancaire ukrainien, mais il s’est propagé à travers le monde et il a infecté la compagnie de transport de conteneurs Maersk, présente au Québec. Les opérations mondiales de livraison ont été paralysées pendant plusieurs jours. »
Tous les piratages ne sont pas « médiatisés », poursuit-il. « J’ai vu une présentation de responsables de la cybersécurité à la GRC et ils rapportaient un incident impliquant des compresseurs de turbines pour le gaz naturel, donne-t-il en exemple. L’intégrateur avait connecté son iPhone pour faire comme un pont et avait accidentellement introduit un virus dans le système de contrôle. »
Le Québec en dette technologique
Comment évaluer la position du Québec, sachant que le gouvernement de François Legault vient de se doter d’un centre gouvernemental de cyberdéfense en 2020 ? Antoine Lemay juge l’initiative très durement. « Le gouvernement du Québec n’est pas dans la partie. Les salaires provinciaux offerts aux ingénieurs sont beaucoup moins intéressants qu’au fédéral ou dans le privé. C’est donc très difficile d’attirer des talents pour développer une expertise en cybersécurité. »
Selon lui, la réponse fédérale manque elle aussi de cohésion. « C’est très fractionné. Le secteur de l’énergie est sous la gouverne de Ressources naturelles Canada et le système bancaire relève d’un autre ministère. » Antoine Lemay préfère la démarche américaine, avec son imposant programme « ISAC » (« Information Sharing and Analysis Center »), certes « coûteux », mais reconnu pour « son partage de connaissances ».
Bertrand Milot, président fondateur de la firme de cybersécurité Bradley & Rollins, a plus de sympathie pour les efforts faits au Québec. « Avec ce qui s’est passé à Hydro-Québec, je sens une volonté d’agir des institutions publiques. Je vois que le REM est sur ses gardes. Le problème est qu’on part de loin. Le Québec a une dette technologique. Et comme les infrastructures critiques sont des infrastructures multidisciplinaires avec beaucoup de ramifications, maintenir une posture de cybersécurité élevée est un défi. »
Questionné sur sa capacité à relever le défi, le ministère de la Cybersécurité et du Numérique a d’abord tenu à préciser que « le gouvernement du Québec est le premier à se doter d’un ministère dont le mandat vise à assurer la cybersécurité des actifs informationnels de son administration publique », pour ensuite faire valoir que, depuis sa création en 2020, le Centre gouvernemental de cyberdéfense « a pourvu de nombreux postes dans des créneaux hyperspécialisés », malgré la pénurie de main d’œuvre en TI. L’équipe média a aussi rappelé que les actions réalisées à ce jour ne sont pas « grand public » et que plusieurs autres initiatives en matière de sécurité de l’information seront annoncées « le moment venu ».