Plus que jamais, la cybersécurité s’impose comme une nécessité, tant pour les organisations publiques que pour les entreprises privées. Les petites et moyennes entreprises (PME) du Québec sont-elles bien équipées pour faire face aux cyberattaques, dont elles sont de plus en plus victimes?
« L’erreur que les entrepreneurs font souvent est de se dire ‘je suis trop petit, les pirates ne s’intéresseront pas à moi’. Maintenant, les gens sont beaucoup plus conscients du danger, et la pandémie a renforcé le besoin en cybersécurité. On se rend compte que les professionnels des technologies de l’information (TI) ne doivent plus être considérés seulement comme une dépense, mais bien comme le point névralgique d’une organisation, peu importe son secteur d’activités, qu’il s’agisse de la santé, de technologies ou du domaine manufacturier », apporte David Hervieux, président-directeur général (PDG) de Devolutions, qu’il a fondée en 2010 pour offrir des solutions alliant productivité et sécurité aux TI.
Présente dans plus de 140 pays, auprès de 800 000 utilisateurs issus de petites et moyennes entreprises (PME) de tous les secteurs, Devolutions leur propose un accompagnement personnalisé pour les aider à optimiser leur sécurité contre les cyberattaques. « Nous croyons qu’il est crucial de traiter les PME également. C’est pourquoi Devolutions s’efforce de combler les besoins de toutes les entreprises, quelle que soit leur taille ou provenance. »
La menace
Le télétravail a-t-il augmenté les risques de cyberattaques? « Il est vrai que les télétravailleurs peuvent être plus vulnérables lorsqu’ils utilisent leur propre connexion Internet. Mais c’est quand le réseau de l’entreprise au bureau est infecté que la situation devient critique. Le déclencheur est généralement l’ouverture de courriels sur le réseau de l’entreprise. C’est là que réside le danger, car les pirates réussiront ainsi à s’introduire dans le système et à prendre possession des droits d’administrateurs, pour ensuite atteindre la sauvegarde informatique », d’expliquer le PDG. Et qu’arrive-t-il ensuite? « De là, ils tentent la cyber-extorison, c’est-à-dire qu’ils vont demander une rançon en fonction de ce que peut payer l’entreprise, après en avoir étudié le profil en consultant les documents piratés. »
Ce genre d’attaque est possible grâce aux « rançongiciels, complète Martin Lemay, directeur de la sécurité de l’information chez Devolutions. Les PME ont rarement les ressources et les moyens pour se protéger contre cette menace. Le rançongiciel est particulièrement dévastateur en ce qu’il permet de déployer un logiciel malveillant dans le système de l’entreprise pour chiffrer les données et demander une rançon. C’est comme un modèle d’affaires pour les pirates, qui ne s’arrêtent plus au chiffrement pour paralyser les opérations sur le système ou l’infonuagique, mais vont jusqu’à menacer de vendre les informations de l’entreprise ou de les rendre publiques. Ce ne sera pas de l’espionnage industriel, parce qu’il ne s’agira pas de revente à des gouvernements ou à des acteurs à plus haut profil. Le rançongiciel cible tout les types de profils, pour autant qu’il y ait un potentiel de gain monétaire pour son utilisateur. »
Il rappelle l’importance de se doter de mots de passe moins faciles à déchiffrer, et différents d’un site à l’autre. « La majorité des gens utilisent le même mot de passe, facile à mémoriser, sur la même plateforme, ce qui les rends plus vulnérables. »
La moitié des PME victimes de cyberattaques
À l’occasion de son premier Sommet de la sécurité informatique, ITSec, Devolutions a révélé les conclusions d’une étude qu’elle a menée auprès des PME québécoises : 85 % d’entre elles se préoccupent de leur cybersécurité, mais seulement 23 % adoptent l’ensemble des mesures de protection dites de base. « D’ailleurs, la moitié des répondants ont admis que leur entreprise avait été victime d’une cyberattaque au cours de la dernière année. Pourtant, neuf entreprises sur dix pensent être bien protégées », précise M. Hervieux.
« Au Québec, si l’innovation en matière de cybersécurité est au rendez-vous, les entreprises, elles, ont trois ans de retard lorsqu’il s’agit de se doter des meilleures mesures en matière de sécurité informatique. » Le PDG estime que la création du Ministère de la Cybersécurité et du Numérique joue un rôle essentiel dans l’activation du processus vers une démocratisation des mesures de cybersécurité à plein potentiel. Des réformes quant au cadre juridique accélèrent aussi ce pas.
Le cadre législatif
Au Québec, en matière de protection des données dans le secteur des affaires, c’est la Loi sur la protection des renseignements personnels dans le secteur privé qui s’applique. Elle prévoit les normes de collecte, d’utilisation et de communication de renseignements personnels dans la province par toute personne exploitant une entreprise.
Il y a maintenant deux ans, Desjardins dévoilait la plus grande fuite de données personnelles de l’histoire du Québec. Le 22 septembre 2021, Québec adoptait le Projet de loi 64 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), afin de réformer le régime de protection des renseignements personnels régissant les secteurs privé et public. Ce projet de loi prévoit notamment que toute fonction d’identification, de localisation ou de profilage doit être désactivée par défaut. Les témoins de connexion qui peuvent être identifiés, géolocalisés et profilés ne doivent l’être que s’ils y consentent, sans quoi le collecteur est passible de sanctions. Ce dernier doit aussi aviser les utilisateurs de tout incident de confidentialité concernant leurs renseignements personnels, lorsqu’ils courent un risque de préjudice sérieux.
Les solutions
Pour se protéger contre ces attaques, il est recommandé d’opter pour un VPN (Virtual Private Network), ou réseau privé virtuel, et de se doter de ressources en TI qui, comme pour la main-d’oeuvre dans divers secteurs, se font rares.
Parmi les solutions qu’elle offre, Devolutions propose en ce moment des logiciels de gestion de mots de passe et d’accès privilégiés pour un forfait de 10 000 $ par entreprise, sur une période de 12 mois, jusqu’à hauteur de 1 M $, dont le produit « Password Hub Business » et « Devolutions Server ».
« L’offre s’insère dans une perspective d’accompagnement, et permet de centraliser tous les mots de passe d’une organisation afin de choisir et de limiter les accès à certains groupes au sein de l’entreprise. Lorsque vous vous connectez sur Facebook par exemple, vous pouvez ainsi limiter l’accès au compte Facebook à seulement deux employés, et chaque employé peut avoir ses propres mots de passe », illustre M. Hervieux.
« Dans le secteur de la sécurité informatique, beaucoup d’innovation se fait, et certaines solutions dispendieuses, qui sollicitent même l’intelligence artificielle (IA), sont optionnelles. Mais avant, ce qu’il faut mettre en place, sans que ce soit ruinant, c’est une bonne hygiène et une bonne organisation quant aux accès aux données, aux mots de passe, et à l’activation d’une authentification multifacteur (MFA) », insiste M. Hervieux.
Des solutions en IA
Notons que des technologies d’intelligence artificielle sont déjà intégrées à certains outils, tels que les anti-virus, les pare-feux, les passerelles mail ou web, ou encore les solutions EDR (Endpoint Detection and Response), qui réagissent spontanément aux attaques et filtrent le trafic malveillant. Google a aussi intégré l’apprentissage profond (deep learning) pour filtrer les spams dans Gmail.
Des sondes réseaux se servent également de l’IA et de l’apprentissage du comportement « normal » d’une infrastructure ou d’un système, pour y détecter toute anomalie et émettre une alerte quant aux risques de cyberattaque.
Les réseaux d’entreprise (IT) commencent aussi à s’équiper de sondes-réseaux, telles que le système de détection Trackwatch qui se compose à la fois de sondes de détection de menaces avancées et d’une plateforme de gestion centralisée.
Les institutions bancaires ont d’ailleurs recours à cette méthode pour prévenir la fraude, reposant sur l’IA et ses algorithmes pour apprendre le comportement habituel des clients, et en détecter les transactions anormales afin d’en alerter l’administration.
Sur le thème de la cybersécurité :
- Article du 14 juin 2022 : 35 % des Québécois utilisent la reconnaissance faciale pour s’authentifier
- Article du 2 juin 2022 : DATAVORE – Pour la démocratisation des données ouvertes, mais avec plus de gouvernance
- Article du 9 avril 2021 : Cybersécurité : quand l’IA joue au shérif
Crédit Image à la Une : Stillness InMotion, Unsplash