Qu’arriverait-il si une cyberattaque paralysait le secteur de l’électricité et des services publics dont nous ne saurions nous passer?
Voilà la question qu’explore « Le Monde après nous »[1], un nouveau film de Netflix mettant en vedette Ethan Hawke, Kevin Bacon et l’inestimable Julia Roberts.
Peu de détails sont fournis sur ce film dont la sortie est prévue en 2023, mais dans le roman dont s’inspire ce film, on s’intéresse à ce qui se passerait si une cyberattaque entraînait une panne d’électricité majeure et que des familles se voyaient obligées de chercher des moyens de survivre en l’absence des services essentiels qu’elles tenaient jusqu’alors pour acquis.
Il est certes à prévoir que l’interprétation risque d’être quelque peu dramatisée. Gardons aussi en tête que les probabilités qu’une cyberattaque d’une telle ampleur se produise réellement sont minces[2].
Néanmoins, selon de récentes constatations dans le domaine de la cybercriminalité, les pirates informatiques cibleraient délibérément de plus en plus les secteurs des infrastructures essentielles[3], notamment des organisations qui approvisionnent les services publics. Sachant que lorsqu’une infrastructure essentielle est compromise cela se ressent à très grande échelle, ces criminels misent sur l’effet de levier dont ils disposent pour extorquer des rançons de taille.
Rapport fédéral sur la cybersécurité : évaluation des risques pour les infrastructures essentielles
Le Centre canadien pour la cybersécurité a récemment publié un rapport[4] présentant de nombreuses conclusions intéressantes, dont les suivantes :
- Les rançongiciels demeurent l’une des formes de cybercriminalité les plus répandues et peuvent avoir une grande incidence sur la capacité d’une organisation ciblée de fonctionner.
- La cybercriminalité organisée constitue une menace pour la sécurité nationale et la prospérité économique du Canada.
- Les cyberpirates parrainés par la Russie et l’Iran (et ceux qui ne sont pas affiliés à un État opérant depuis l’un des de ces deux pays) sont susceptibles d’être à l'origine des principales menaces.
- Motivés par l’appât du gain, les cyberpirates risquent de concentrer leurs efforts sur des cibles attrayantes revêtant une grande valeur, comme des organisations du secteur des infrastructures essentielles.
Lorsque l’on cible des organisations du secteur des infrastructures essentielles, les probabilités de percuter le public à très grande échelle sont élevées.
Par exemple, qui serait touché par une attaque visant des services de transport en commun? Potentiellement toutes les personnes dépendant de tels services. Dans le même ordre d’idée, une attaque ciblant des services d’électricité ou d’aqueduc pourrait empêcher d’innombrables ménages et entreprises d’effectuer leurs activités de base. Et le fait de compromettre les pôles de traitement de paiements pourrait paralyser les activités commerciales et de vente au détail.
En raison de leur grande vulnérabilité, il n’est pas surprenant que les organisations du secteur des infrastructures essentielles soient si attrayantes aux yeux des cybercriminels. D’ailleurs, au cours des dernières années, certaines attaques se sont conclues par le versement de rançons importantes[5] et même dans les cas où aucune rançon n’a été payée, l’impact est considérable pour l’organisation qui cherche à rétablir ses services suite à une attaque[6].
Dans le contexte actuel, toutes les organisations (et même les particuliers) ont intérêt à prendre des précautions additionnelles pour éviter de faire l’objet d’une attaque fructueuse, et à établir des processus leur permettant de récupérer des renseignements sensibles et cruciaux en cas d’attaque.
Pourquoi les entreprises et organisations fournissant des services essentiels en particulier doivent-elles se protéger contre les cybermenaces? Parce qu’elles sont non seulement plus susceptibles d’être ciblées par des cybercriminels, elles pourraient être exposées à des poursuites judiciaires de la part de personnes ayant subi des conséquences négatives suite à une interruption de service.
Comment les organisations des secteurs des infrastructures essentielles peuvent-elles éviter d’être la cible de cyberattaques et atténuer les risques?
Ces organisations pourront atténuer les risques de cyberattaques et de poursuites juridiques subséquentes, en adoptant les mesures suivantes :
- S’assurer que l’infrastructure informatique utilisée (ou utilisée par l’intermédiaire de tiers) est périodiquement mise à jour.
- Maintenir des sauvegardes de données et de processus afin de minimiser les interruptions de service.
- Former les membres du personnel ayant accès aux données sensibles ou à l’infrastructure essentielle sur les pratiques exemplaires à suivre et les signaux d’alerte à surveiller.
- Maintenir un plan d’intervention à jour qui définit clairement les responsabilités et les mesures pouvant être mises en œuvre assez promptement.
- Maintenir un plan d’atténuation des risques comprenant l’identification de toutes les parties intéressées que l’organisation est contractuellement ou légalement tenue d’informer en cas d’attaque[7].
- Souscrire une police d’assurance appropriée pour les cyberrisques.
La liste ci-dessus n’est pas exhaustive, mais il est clair que plus une organisation est proactive pour se protéger contre une attaque et en minimiser les conséquences, plus il est probable que les interruptions de service seront minimisées et qu’un tribunal ou organisme de réglementation jugera que des mesures de protection adéquates avaient été adoptées.
Les organisations qui cherchent à se protéger contre les cyberattaques ou à s’en remettre ne sont pas seules : que ce soit en situation de crise ou pour se doter d’un plan d’intervention efficace, les consultants en cybersécurité (généralement des juristes) sont d’une aide précieuse et agissent dans l’intérêt de ces organisations, notamment en mobilisant l’expertise et les ressources judiciaires nécessaires.
Si votre organisation a besoin d’aide dans ce domaine, n’hésitez pas à communiquer avec un membre de l’équipe Cybersécurité et protection des données de Gowling WLG.
[1] Inspiré du roman du même nom de Rumaan Alam [lien].
[3] Sécurité publique Canada définit « infrastructures essentielles » comme suit : « les processus, les systèmes, les installations, les technologies, les réseaux, les biens et les services qui sont essentiels à la santé, à la sécurité ou au bien-être économique des Canadiens et des Canadiennes, ainsi qu'au fonctionnement efficace du gouvernement » [lien]
[4] « Évaluation des menaces de base : Cybercriminalité » [lien]
[5] Cette stratégie s’est avérée fructueuse pour certains cybercriminels, qui ont ainsi réussi à extorquer des millions de dollars de rançon. Voir, par exemple, le cas de la société Colonial Pipeline aux États-Unis [lien].
[6] Radio-Canada – Selon le gouvernement de Terre-Neuve-et-Labrador, le groupe de rançongiciel Hive était à l’origine des cyberattaques de 2021 visant ses systèmes de santé [lien] et la province aurait déboursé 16 M$ CAD pour s’en remettre.
[7] La plupart des provinces et territoires doivent respecter des obligations quant à la communication de certains renseignements à l’organisme de réglementation désigné en matière de protection de la vie privée.