Au-delà de la sensibilisation: la résilience numérique du Canada
Martin Berthiaume|Publié le 16 octobre 2023Le mois d’octobre est le Mois de la sensibilisation à la cybersécurité. (Photo: 123RF)
EXPERT INVITÉ. Cybersécurité: où en sommes-nous au Canada ?
Le mois d’octobre est le Mois de la sensibilisation à la cybersécurité, en réalité, il s’agit d’une campagne internationale visant à sensibiliser le public à l’importance de la cybersécurité. Les réseaux sociaux sont inondés de beaux discours sur l’importance de protéger nos entreprises ainsi que les renseignements personnels de nos concitoyens, clients de ces dernières. Au-delà des bonnes intentions et des beaux discours, qu’en est-il vraiment de la situation actuelle en matière de cybersécurité au Canada ?
La Course aux Armes Numériques: l’Ère des Cyberattaques étatiques.
Il est de plus en plus évident que certains états parrainent des groupes de cybercriminels pour atteindre leurs objectifs géopolitiques. Ces cybercriminels, utilisant des technologies sophistiquées, ciblent non seulement les actifs numériques critiques des nations rivales, mais étendent également leurs attaques aux entreprises. Cette dualité inquiétante révèle que les cyberattaques ont évolué pour devenir une nouvelle forme de conflit, où la guerre est menée numériquement et où des sanctions informelles sont imposées par le biais de la cybercriminalité, avec des extorsions financières de plus en plus courantes.
Dans le contexte du conflit entre la Russie et l’Ukraine, plusieurs cyberattaques ont été menées en représailles contre les pays de l’OTAN qui soutiennent officiellement l’Ukraine. Plus récemment, l’assassinat d’un leader de la communauté sikhe à Surrey, en banlieue de Vancouver, a soulevé des tensions entre l’Inde et le Canada. Ces tensions se sont rapidement concrétisées en cyberattaques.
Voici quelques exemples, seulement pour septembre 2023 :
Description |
Date | Revendiqué par |
Attaque DDoS sur le site web des forces armées canadiennes.
|
27 septembre |
Groupe indien de cybercriminels |
26 septembre | IndianCyberForce | |
25 septembre | IndianCyberForce Selon incyber.org | |
Accès non autorisé : Air Canada | 21 septembre | |
Attaque DDOS contre l’agence des services frontaliers du Canada | 17 septembre | Nondame057 – Groupe pro-russe de cybercriminels |
Il serait possible de poursuivre la liste pour plusieurs pages, mais vous comprenez le principe…
Est-ce que le gouvernement canadien à une stratégie ?
En 2018, un budget de 500 millions de dollars a été alloué pour améliorer la stratégie canadienne de cybersécurité. Cette stratégie est supportée par une collaboration entre différentes agences gouvernementales canadiennes. Cet important budget a permis :
· Le financement du nouveau Centre canadien de cybersécurité pour soutenir le leadership et la collaboration entre différents niveaux de gouvernement et partenaires internationaux.
· La création de l’Unité de coordination nationale de la cybercriminalité pour renforcer la capacité de la GRC à enquêter sur la cybercriminalité.
· Le financement pour encourager l’innovation et la croissance économique, ainsi que le développement des talents en cybersécurité au Canada.
Malgré ces efforts louables, force est de constater que le Canada, ses entreprises ainsi que ses infrastructures critiques demeurent très vulnérables. La majorité des entreprises canadiennes n’ont pas de plan pour faire face à une cyberattaque et n’ont aucune idée comment le Centre canadien de cybersécurité pourrait les aider. Est-ce que les entreprises qui supportent les infrastructures critiques comme l’énergie, les télécommunications, les services financiers, les transports et la santé ont des stratégies de résilience alignées avec la stratégie canadienne ? Je pense qu’il y a encore beaucoup de travail à faire.
Est-ce que les PME adhèrent ?
Un autre sujet important à mon avis concerne la manière d’aider les petites et moyennes entreprises (PME) à améliorer leur posture en matière de cybersécurité. Les PME sont très vulnérables aux cyberattaques et elles manquent souvent d’équipes dédiées à la cybersécurité. Même lorsqu’elles disposent d’équipes en technologie de l’information, elles peuvent ne pas avoir les compétences nécessaires pour faire face aux menaces.
Certaines initiatives, telles que le programme de certification CyberSécuritaire Canada, ont été lancées. Cependant, le programme est actuellement en suspens, car les PME y adhèrent peu en raison de sa procédure fastidieuse et de son incapacité à traiter directement les problèmes
fondamentaux. La situation se répète un peu avec le Programme canadien d’adoption numérique. Il se concentre également sur les évaluations de la posture en cybersécurité et la production de plans par des consultants accrédités. L’objectif principal des consultants est la vente d’heures de consultation, ce qui est compréhensible. Pour aider concrètement les PME, les programmes de soutien gouvernementaux devraient accorder la priorité à des mesures concrètes et réalisables, telles que les sauvegardes, l’authentification à plusieurs facteurs, la surveillance et la détection de logiciels malveillants. Ce sont des contrôles de cybersécurité fondamentaux dont toutes les PME ont besoin.
Quels sont les incitatifs pour les entreprises ?
La peur, évidemment, personne ne souhaite être victime d’une cyberattaque. Les assureurs exigent que des mesures de cybersécurité soient en place avant d’offrir une couverture d’assurance cyber. Les investisseurs commencent à évaluer les risques liés à la cybersécurité lors de leurs vérifications préalables. Les grands donneurs d’ordre exigent de plus en plus de maturité en cybersécurité de la part de leurs partenaires. Enfin, la loi 25 au Québec incite certainement les entreprises à la réflexion. Les projets de loi C-26 et C-27 au Canada exerceront certainement une pression supplémentaire pour les encourager à prioriser leurs investissements en