Le Canada devient la cible préférée des cyberattaquants et espions industriels étrangers. C’est du moins le constat des autorités canadiennes, confirmé par un récent rapport d’IBM. Heureusement, le pays peut compter sur l’expertise en cybersécurité de plusieurs pôles d’innovation, et le Québec en est le noyau.
En tant que chef de file mondial dans les domaines de l’énergie renouvelable, de l’aéronautique, du quantique et de la recherche en santé, le Canada est très en vue sur la scène internationale de l’innovation. Mais il y a un double tranchant qui accompagne le fait d’être un pays innovant et prolifique en recherche : plus on se démarque, plus nos données intéressent les pirates et preneurs d’otage du cyberespace.
Les secteurs dans la mire des cyberattaquants
Un nouveau rapport publié par IBM X-Force révèle que les secteurs de l’énergie, des services financiers et du commerce de détail ont été les cibles principales des cyberattaques en 2022.
Les attaques ont presque triplé dans les secteurs de l’énergie et des services publics, passant de 21 à 60 % des incidents globaux en seulement un an.
– IBM X-Force
Les attaques ont presque triplé dans les secteurs de l’énergie et des services publics, passant de 21 à 60 % des incidents globaux en seulement un an. La finance et l’assurance sont ensuite les plus touchées, représentant 20 % des attaques, tandis que le commerce de détail et le secteur gouvernemental en sont à 10 % chacun.
Dans plus d’un quart des cas, les criminels ont eu recours à l’extorsion dans un contexte où la pression était forte, ciblant les systèmes vulnérables de services dont l’arrêt représentait un enjeu majeur, tels que les services publics ou les banques.
67 % des incidents traités par X-Force au Canada résultaient de la collecte de données d’identification, et 56 % plus fréquemment que dans les statistiques mondiales.
Avec un coût moyen de 7,05 millions de dollars canadiens par incident (un record absolu) selon IBM, « les enjeux financiers sont plus importants que jamais ».
Quand le Service du renseignement sollicite l’aide des Canadiens
Le phénomène a augmenté à tel point au Canada que pour la première fois, en 2022, les autorités ont demandé aux Canadiens de « les aider à les aider ». Le Service canadien du renseignement de sécurité (SCRS) a lancé toute une campagne de sensibilisation axée sur le « partenariat avec les Canadiens », pour mieux assurer leur sécurité en temps de crise et de montée de la menace – montée notamment observée sur les plateformes web et les réseaux sociaux. Actif sur le terrain, le SCRS a produit et distribué publiquement de la documentation dédiée au sujet, et a mené des ateliers de sensibilisation auprès des entreprises. « En 2022, nous avons engagé la discussion avec les Canadiens de partout au pays pour favoriser le développement d’une population éduquée quant à la sécurité nationale, pour que la nation soit sensibilisée et résiliente contre la menace », de confirmer l’organisation par simple Tweet.
On note d’ailleurs plusieurs sorties publiques visant à rendre compte du phénomène et à solliciter la collaboration de la population. Pensons à la visite du directeur du Service canadien du renseignement de sécurité, David Vigneault, à l’Université de la Colombie-Britannique, où il a martelé le message.
« Les menaces qui pèsent aujourd’hui sur le Canada et les défis qu’il doit relever changent et évoluent rapidement et ne cessent de compliquer le contexte opérationnel. »
– David Vigneault, directeur du Service canadien du renseignement de sécurité
« À titre de directeur du Service canadien du renseignement de sécurité, ou SCRS, j’ai eu de nombreuses occasions de souligner l’importance de tenir, avec la population canadienne, des conversations éclairées et franches sur les questions de sécurité nationale et de renseignement. Les menaces qui pèsent aujourd’hui sur le Canada et les défis qu’il doit relever changent et évoluent rapidement et ne cessent de compliquer le contexte opérationnel. Le Canada doit réagir avec la même détermination. L’un des meilleurs moyens d’atténuer la menace consiste à rendre les cibles moins accessibles. Autrement dit, il s’agit de renforcer les défenses et de compliquer le plus possible la tâche à quiconque cherche à nous nuire. Une telle approche exige la tenue de la discussion empreinte de maturité à laquelle je fais allusion, qui commence par l’accroissement de la transparence et le renforcement de la confiance », a prononcé M. Vigneault lors de son allocution.
Enfin, Cherie Henderson, directrice adjointe par intérim du SCRS, fait état dans un rapport de mars 2022 des conséquences de « L’évolution rapide de la technologie, en raison de laquelle nous rencontrons un changement du niveau de la menace sans précédent. La menace est plus complexe, fluide, moins prédictible et par conséquent, plus défiante. Les attaquants mènent leurs activités sur l’espace en ligne, et exploitent davantage la technologie qui leur permet de se dissimuler. Les cybercriminels ont plus d’opportunités que jamais de le faire à mesure que notre monde devient de plus en plus interconnecté. »
En gros, le Service du renseignement ne s’est pas fait discret.
La réponse du Québec
Au Québec, province des plus innovantes et ayant de la ressource dans le domaine, on voit de nombreuses initiatives se mettre en place pour lutter contre le fléau.
On apprenait d’ailleurs cette semaine qu’en vue de mieux relever le défi, le gouvernement fédéral a choisi de faire appel au savoir-faire de l’Université de Sherbrooke (UdeS) pour mener d’importants travaux de recherche en cybersécurité.
Ce sont donc deux projets de recherche qui seront financés à hauteur d’un montant cumulatif de 1 952 781 $, accordé dans le cadre de la Stratégie nationale de cybersécurité par Sécurité publique Canada, dans le but de renforcer la résilience des infrastructures essentielles du Canada.
Deux projets à l’Université de Sherbrooke
« Le premier projet évaluera la résilience d’un redistributeur électrique de moyenne envergure dans un contexte d’industrie 4.0 (qui intègre des nouvelles technologies telles que l’Internet des objets, l’infonuagique et l’intelligence artificielle), notamment en identifiant de nouvelles menaces. Le second analysera la sécurité dans l’Internet industriel des objets dans un contexte de connectivité 5G et de traitement en périphérie, notamment en étudiant leur application en agriculture, en gestion de l’eau et sur le plan de la gestion des bâtiments », a indiqué l’UdeS par voie de communiqué.
Les travaux seront dirigés par trois cochercheurs principaux : Sébastien Roy, professeur au Département de génie électrique et de génie informatique de la Faculté de génie, Marc Frappier, professeur au Département d’informatique de la Faculté des sciences, et Pierre Martin Tardif, professeur au Département des systèmes d’information et méthodes quantitatives de gestion à l’École de gestion. Ils seront assistés de huit chercheurs et chercheuses issus du pôle de cybersécurité de l’UdeS.
Un hackathon pour concevoir une solution destinée aux PME
[Hackathon] Les étudiants invités à développer une solution de cybersécurité en un temps record
« Nos PME sont à risque. Les cybercriminels ont libre accès pour intimider et faire chanter les entrepreneurs et les propriétaires. Ces derniers ne sont pas en mesure de se défendre », fait valoir l’entreprise québécoise Indominus Services-Conseils qui, dans un souci de démocratisation des solutions en cybersécurité, et dans l’idée de stimuler l’innovation afin de mieux répondre aux besoins des entreprises, a eu l’idée d’organiser un hackathon sur le thème « Sécuriser les PME québécoises », qui débutera ce soir, dans les locaux de XRM Vision à Montréal.
L’événement articulé autour du « prototypage rapide » s’étendra sur trois jours, et réunira des développeurs regroupés en équipes pour produire le meilleure prototype d’application ou de solution technologique, en seulement trois jours – un outil accessible et démocratisé, qui répondra aux besoins des PME en matière de cybersécurité sans qu’elles aient besoin d’experts intermédiaires.
« Nous souhaitons donner l’opportunité à un groupe d’étudiants de collaborer à développer les pièces d’une solution qui aura une portée tant sociale que commerciale (…) En gros, ce qu’on veut faire, c’est prendre la suite de sécurité de Microsoft comme base et la bonifier d’une couche supplémentaire, qui en automatisera le déploiement et en facilitera l’utilisation intuitive, sans intermédiaire, au bénéfice des PME qui s’en serviront », relate, en entrevue avec CScience, le Président d’Indominus Services-Conseils, René-Sylvain Bédard.
À lire également :
Crédit Image à la Une : Pixabay