En proie à la cybercriminalité, les infrastructures essentielles, les renseignements personnels et la prestation de services sont des exemples de sphères vulnérables qui pourraient paralyser toute une économie. Alors que les cybermenaces sont de plus en plus sophistiquées, renforcer les défenses de votre organisation s'avère plus crucial que jamais.
Les milieux de la sécurité et de la protection des données sonnent d'ailleurs l'alarme à ce sujet, surtout en ce qui a trait à l'année qui vient de s'écouler. En effet, l'été dernier, les pays membres de l'alliance des services de renseignements Five Eyes, soit leCanada, les États-Unis, la Nouvelle-Zélande, l'Australie et le Royaume-Uni, ont uni leurs forces pour lancer un avertissement à l'échelle mondiale quant aux plus importantes cybermenaces de notre génération. Dans un Bulletin de cybersécurité conjoint (en anglais seulement), ils ont relevé les vulnérabilités que les organisations doivent éliminer pour éviter de prêter le flanc à des cyberattaques.
Dans certains cas, les alliés du Canada ne se sont pas gênés pour pointer du doigt des puissances étrangères comme étant à l'origine de cyberattaques. Le Royaume-Uni a par exemple récemment identifié (en anglais) la Russie comme responsable d'une cyberattaque ayant eu des répercussions à l'échelle de l'Europe, et perpétrée à peine une heure avant l'invasion de l'Ukraine.
De même, des articles dans des Bulletins de cybersécurité conjoints (comme celui susmentionné) ont identifié les pirates informatiques parrainés par des États qui ont pris pour cibles des infrastructures essentielles au Canada et aux États-Unis.
Le message est clair : les menaces de cyberattaques sont grandes et réelles, et leur évolution se déroule à la vitesse grand V. Elles sont toujours plus sophistiquées, envahissantes et impitoyables quant à leur portée et leur incidence sur leurs cibles. La détection et la prévention sont donc essentielles pour mettre en œuvre les ressources nécessaires pour gérer une crise.
Évaluation de l'ampleur des cybermenaces selon le Canada : notez bien ce qui suit
Le document intitulé Évaluation des cybermenaces nationales (2023-2024), publié récemment par le Centre canadien pour la cybersécurité, vient corroborer l'ampleur du danger. Cette évaluation répertorie les cybermenaces les plus percutantes et problématiques, dont :
- Les rançongiciels qui demeurent une menace constante pour les organisations canadiennes.
- Les cybermenaces qui sont un danger constant pour les infrastructures essentielles. Une situation qui à son tour, a un impact direct sur les chaînes d'approvisionnement.
- Les cybercriminels qui s'en prennent aux infrastructures essentielles. Par exemple, depuis 2020, 400 organisations de soins de santé au Canada et aux États-Unis ont été les cibles d'attaques par le biais de rançongiciels. Récemment, c'était au tour de cinq hôpitaux du sud-ouest de l'Ontario (en anglais) de subir le même sort.
- Une augmentation des activités de cybermenaces à l'encontre de gouvernements municipaux et provinciaux, lesquelles mettent en danger les renseignements personnels et la prestation de services gouvernementaux.
- Au cours des deux prochaines années, la Russie aura recours à la cyberactivité malveillante comme « levier de politique étrangère » pour cibler des infrastructures essentielles.
- L'utilisation d'espiogiciels pour cibler des membres de certaines diasporas dans le but d'exercer une influence indue sur ces derniers.
- Les organisations attrayantes pour les États étrangers demeureront des cibles de choix, mettant fort probablement en danger des actifs de propriété intellectuelle.
- Les cybermenaces parrainées par des États qui mènent des opérations afin d'atténuer l'impact des sanctions. Ce type d'activité vise par exemple les actifs monétaires et les institutions financières.
Lorsqu'elles compromettent la sécurité d'un système d'information, ces cybermenaces sont susceptibles d'influencer et d'affecter grandement la vie quotidienne de plusieurs personnes. C'est un constat d'ailleurs affirmé par l'ancienne ministre de la Défense nationale dans une déclaration sur les cybermenaces ciblant les infrastructures essentielles dans les derniers mois. Cette déclaration contient également les conseils du Centre pour la cybersécurité du Canada, dont les 10 mesures de sécurité des TI pour protéger les réseaux Internet et l'information.
Liste de vérification pour évaluer les cybermenaces : votre organisation est-elle prête?
Selon le sondage PwC's Canadian Digital Trust Insights (en anglais) de 2023, « plus des deux tiers des dirigeants canadiens considèrent la cybercriminalité comme leur plus grande menace pour l'année à venir. »
Cela dit, les organisations doivent sérieusement penser à fortifier leurs « remparts », et ce, tant physiquement que virtuellement. À cette fin, nous vous recommandons de procéder à une évaluation approfondie de votre situation actuelle. Voici, pour commencer, une courte liste de vérification :
- Connaissez-vous la nature de l'information que votre organisation possède et son potentiel d'exploitation? Si elle s'avérait avoir une certaine valeur pour un intervenant étranger malicieux, quelles mesures avez-vous prises pour la protéger?
- Avez-vous érigé des cyberdéfenses comme des « patch » ou des systèmes de détection d'attaques? Avez-vous effectué une vérification diligente en ce qui concerne les menaces existantes?
- Votre organisation dispose-t-elle d'un protocole d'intervention pour les incidents de sécurité? Si oui, qui est concerné par ce protocole et en quoi consiste sa séquence d'événements?
- L'assurance de votre organisation couvre-t-elle les coûts reliés aux cyberattaques? Si ce n'est pas le cas, disposez-vous d'un fonds de réserve ou de ressources dans lequel pouvoir puiser en cas de besoin?
- En cas de cyberattaque et de violation de renseignements personnels, avez-vous signalé l'incident aux commissaires à la protection de la vie privée concernés?
- Avez-vous un protocole de formation en matière de cybersécurité? Disposez-vous d'une équipe spécialisée pour réagir aux cyberattaques? Votre organisation dispose-t-elle de l'expertise nécessaire pour détecter et prévenir les cyberattaques, y compris l'hameçonnage, les logiciels malveillants, les rançongiciels, etc.?
Des brèches dans les cyberdéfenses des organisations entachent inévitablement leur réputation et nulle n'est à l'abri : la meilleure protection demeure les mesures d'atténuation des risques.
Par exemple, en 2022, le système de santé de Terre-Neuve a été paralysé par une cyberattaque en plein milieu de la pandémie de Covid-19. L'offensive a compromis les renseignements personnels d'environ 58 000 personnes. Une enquête ultérieure a d'ailleurs révélé des preuves de cyberactivité malveillante plus de deux semaines avant le déploiement du rançongiciel.
Alors que les opérations en lignes reposent dorénavant sur une empreinte numérique, les mesures de lutte contre la cybercriminalité devraient être une priorité pour toutes les organisations afin de minimiser leur exposition aux risques et réduire leur responsabilité en cas de cyberattaque. Après tout, la cybersécurité est désormais inextricablement liée à la sécurité nationale.
Pour en savoir plus sur les mesures que peut prendre votre organisation et savoir si elle est bien parée contre les cybermenaces, veuillez contacter un membre de notre équipe juridique spécialisée en cybersécurité et protection des données.
Reem Zaia est avocate au sein du service de litige du bureau de Gowling WLG à Ottawa. Ancienne directrice des politiques et des affaires juridiques du ministre de la Sécurité publique du Canada, elle concentre sa pratique sur les questions de réglementation, de protection de la vie privée, de droit criminel et de droit de la sécurité nationale.