(Photo: 123RF)
Seulement 32% des entreprises québécoises sont de bons élèves en cybersécurité, selon un sondage de l’Alliance CATA. L’étude brosse un portrait plutôt inquiétant de l’état de la cybersécurité au Québec dans les entreprises 4.0 et les services jugés essentiels.
L’enquête révèle que les deux tiers des entreprises québécoises sondées ont nommé un responsable de la sécurité des systèmes d’information (RSSI) ; la moitié ont un programme formel de cybersécurité, et un peu plus de 40% ont fait un audit de leurs systèmes TI. Pour être considéré comme un bon élève, il fallait répondre positivement à ces trois critères.
«On constate beaucoup de faiblesses en cybersécurité dans les entreprises les plus avancées du Québec en matière de numérisation des affaires. Dans le reste de l’industrie, c’est donc encore pire. C’est plutôt inquiétant», rapporte Jean-Guy Rens, vice-président du Canadian Advanced Technology Alliance (CATA Alliance).
Une entreprise sur 3 déjà victime
Le tiers des répondants rapporte avoir été victime d’une ou plusieurs attaques informatiques ayant causé des dommages. Si 50% des cyberattaques ont causé des dégâts inférieurs à 100 000$, on précise que les attaques ciblées, plutôt rares et moins faciles à intercepter, sont susceptibles de causer des dégâts pouvant se chiffrer à plusieurs millions de dollars.
Le nouveau défi des entreprises 4.0
Les technologies opérationnelles (TO) des entreprises 4.0 ne sont encore affectées que de façon marginale, selon l’analyse.
Plusieurs RSSI sondés ne savaient pas si leur organisation constituait une infrastructure essentielle telle qu’établie par Sécurité publique Canada. Une situation préoccupante en cas de cyberattaque. «Si un pirate arrive à bloquer des infrastructures critiques à distance, il peut faire ce qui demandait auparavant une ‘armée’ d’individus. On ne parle plus d’un simple incident informatique, mais d’une catastrophe», dit M. Rens, qui note d’ailleurs que le Centre canadien pour la cybersécurité ne relève pas du Ministère de l’industrie mais de celui de la Défense, une preuve de son importance stratégique.
Le secteur manufacturier n’est pas en reste. «Les spécialistes de la production manufacturière ne sont pas des spécialistes en cybersécurité. Trop souvent, on se retrouve avec des systèmes qui sont beaucoup moins sécuritaires que ceux qui existaient déjà au sein de l’entreprise, selon M. Rens. Si on a atteint une certaine maturité TI, ce n’est pas encore le cas pour les TO.»
Compte tenu de l’importance du rôle du RSSI, on constate un problème de gouvernance. Seulement 13% d’entre eux relèvent de la haute direction et environ 50% proviennent du service des TI. L’impartition compense toutefois une partie des faiblesses des équipes internes. La moitié des individus sondés confie une partie de sa cybersécurité à des sociétés spécialisées; 12% la délèguent en entier.
En cas de cyberattaque, 82% des entreprises se fient d’abord à leurs ressources internes pour gérer la crise. En plus, 39% ont fait appel à des experts externes, et 28% aux services de police. «Jusqu’à récemment, il n’y avait pas d’unité spécialisée en cybercrimes dans la police, ni de ressources pour aider les entreprises. Les choses ont changé», explique M. Rens.
Des pistes de solutions
L’enquête propose plusieurs pistes de solutions, dont l’importance du partage d’informations pour combattre le cybercrime, l’imposition d’un code de conduite pour les éditeurs de logiciels, pour les tenir responsables des vulnérabilités de leurs produits, et l’effet multiplicateur que pourraient avoir les assureurs dans l’accompagnement de leurs clients en matière de sécurité.
On suggère aussi d’offrir de l’aide aux PME, qui sont décrites comme l’enfant pauvre de la cybersécurité, parce qu’elles sont moins susceptibles d’avoir un responsable en cybersécurité que la moyenne québécoise.
Au niveau provincial, «on pourrait s’inspirer du Nouveau-Brunswick, qui a pris une longeur d’avance sur le Québec, avec sa politique claire de cybersécurité, elle-même inspirée par celles mises en place en Israël», suggère M. Rens. Il souligne entres autres mesures la mobilisation des réseaux universitaire et collégial pour former des experts et pallier à la pénurie de main-d’œuvre spécialisée, mais aussi la construction d’un centre de données résistant aux catastrophes pour héberger et assurer la souveraineté des données.
Cybersécurité et campagne électorale
M. Rens voit d’un bon oeil que la cybersécurité s’invite dans la campagne électorale. «Établir une norme de cybersécurité s’impose. Rapporter les crises jour après jour est la meilleure des méthodes de sensibilisation.»
L’étude complète sur la cybersécurité et les infrastructures essentielles sera dévoilée dans le cadre d’un atelier d’In-Sec-M à Montréal le 4 octobre prochain.
Le projet a été réalisé par Sciencetech pour le compte de l’Alliance CATA avec le soutien financier du Ministėre de l’économie, de l’innovation et des exportations, CyberNB et Siemens Canada entre janvier et avril 2019, auprès de 210 répondants ayant déjà automatisé leurs processus de production et des entreprises considérées comme infrastructures critiques par le gouvernement fédéral. La moitié des entreprises sondées étaient basées au Québec.