La cybersécurité : une responsabilité partagée

Le cyberespace est un lieu de recherche et de partage par excellence. Toutefois, il réserve quelques surprises aux personnes utilisatrices, soit 57 % de la population mondiale en 2019. La complexité des systèmes et l’augmentation du nombre de données en circulation créent des enjeux de cybersécurité importants, pour lesquels des actions doivent être posées rapidement. Mais qui doit faire quoi?

Steve Waterhouse, anciennement officier de sécurité informatique au ministère de la Défense nationale, est chargé de cours au Campus de Longueuil de l’Université de Sherbrooke. Il cumule plus d’une vingtaine d’années d’expérience dans le domaine de la sécurité des technologies de l’information et vulgarise fréquemment son savoir dans les médias. Son approche proactive et ses interventions non censurées sont appréciées des gens qui se soucient de la gestion de leurs données personnelles.

D’abord, quelle est la responsabilité des citoyennes et des citoyens en matière de cybersécurité?

Les gens n’ont généralement pas conscience des dommages causés par de l’information transmise spontanément dans divers contextes. L’exemple par excellence est celui où un vendeur de bas demande votre numéro de téléphone et votre courriel à la caisse. Ces informations servent uniquement à bâtir une « identité client » utilisée pour vous faire de la publicité. Les entreprises sont ensuite libres de revendre ces informations aux plus offrants. La corrélation devient facile pour les personnes mal intentionnées qui accumulent les données provenant de différentes plateformes. Elles parviennent donc à faire du dommage : créer une fausse identité, faire des fraudes financières et effectuer d’autres activités illégales par l’intermédiaire d’Internet.

À quelles menaces sont confrontées les entreprises qui possèdent d’importantes banques de données?

Que cela vienne de l’extérieur ou de l’intérieur, les groupes cybercriminels recherchent des avantages pécuniaires. De l’extérieur, ils ciblent les secrets de production industriels et la propriété intellectuelle d’une compagnie, accèdent aux réseaux informatiques, exploitent l’information et les gens ou encore créent des attaques par déni de service.

Les attaques par déni de service visent à rendre inaccessible un serveur en provoquant une panne ou un fonctionnement dégradé du service. Cette manifestation électronique cible une entreprise dans le but de lui nuire ou de revendiquer un changement.

Différentes études indiquent que la menace à l’intérieur grandit progressivement. Lorsqu’une personne travaille légitimement avec des données, il y a un danger. Elle peut introduire des codes malveillants dans le système ou encore ouvrir une brèche afin que d’autres pirates informatiques puissent exploiter le réseau. C’est d’ailleurs ainsi qu’ils arrivent à créer la « fraude du président », qui consiste principalement à documenter l’organigramme d’une entreprise dans le but de convaincre et d’influencer frauduleusement les opérateurs financiers.

L'attribution des attaques est très difficile à faire. Celles-ci semblent parfois venir de Russie, alors qu’elles sont dirigées ici, au Québec. C’est impossible de dire avec certitude qui sont les coupables. Les forces policières essaient de travailler en collaboration avec les autres pays. Cependant, comme plusieurs d’entre eux n’ont pas de traité d’extradition avec le Canada, l’absence d’ententes extrajudiciaires rend les enquêtes particulièrement difficiles à réaliser.

L’extradition est une procédure d’entente grâce à laquelle un État livre à un autre une personne poursuivie ou condamnée par la justice. Elle est rendue possible par un traité qui fait preuve de l’accord entre les pays concernés.

La sécurité de l’information est une responsabilité partagée. Quels sont les différents partis et en quoi sont-ils interreliés?

Par obligation légale, la population donne beaucoup d’informations aux institutions pour ouvrir un dossier. Le gouvernement joue donc un rôle crucial en sécurité de l’information. Avec des lois mises en place ne répondant pas convenablement à la cyberréalité actuelle, il faut craindre pour l’intégrité des données. Pour des raisons de commodités, on utilise de l’information classée confidentielle, alors que ce n’est pas nécessaire. Bref, on s’expose aux risques.

En Europe, le règlement général sur la protection des données (RGPD) stipule qu’une entreprise a 72 heures pour rendre public un cas de compromission de l’information. Autrement, des amendes dissuasives sont infligées.

Il faut sanctionner les entreprises qui omettent une divulgation.
   La sécurité par l'obscurité, c'est fini au 21^e siècle!

Steve Waterhouse

La population a aussi un rôle à jouer. Elle doit prendre conscience que plus elle met de l’information personnelle sur les médias sociaux, plus elle est vulnérable. Elle est tenue de s’informer sur les raisons qui motivent les entreprises à exiger certaines données. Plusieurs d’entre elles ne doivent rien aux consommateurs et aux consommatrices. Elles sont libres de revendre l’information détenue en situation de faillite ou de fermeture, par exemple.

Comment pouvons-nous répandre les bonnes pratiques et sensibiliser la population aux enjeux de la cybersécurité?

Il faut exposer les ressources en ligne déjà existantes et éduquer les gens à l’aide de conférences et d’interventions dans les médias. Plus les gens seront exposés aux bonnes pratiques, plus ils seront en mesure de bien agir et d’élaborer leurs propres stratégies de cyberhygiène : gestion de bons mots de passe, sauvegardes et mises à jour nécessaires, identification des attaques d’hameçonnage, désactivation des applications vulnérables, etc. Les internautes prendront ainsi connaissance de l’information disponible et se maintiendront à jour. C’est important, compte tenu de la vitesse à laquelle la technologie évolue…