Début du contenu principal.
Les cyberattaques contre des industries canadiennes sont en hausse, selon IBM
Les cyberattaques contre des industries canadiennes sont de plus en plus fréquentes, a révélé mercredi le dernier rapport de l'équipe de recherche en cybersécurité X-Force d’IBM.
Les données indiquent que les attaques sur les secteurs de l’énergie et des services publics auxquelles a dû répondre IBM ont presque triplé en 2022, passant de 21% à 60%. Ces deux secteurs ont été les plus ciblés par les malfaiteurs au cours de la dernière année, suivis par la finance et l’assurance (20 %), les affaires de détail (10%) et les affaires gouvernementales (10%).
Selon le rapport, des stratagèmes d’extorsion ont été utilisés dans plus d’un quart des attaques, pour un coût moyen de plus de 7 millions $ canadiens par incident, un «record absolu» selon IBM.
Aux yeux du spécialiste en cybersécurité Steve Waterhouse, la situation «continue de se dégrader» depuis quelques années, et le nombre d’incidents rapportés demeure sous-évalué.
À lire également:
- Le SCRS met en garde contre des menaces possibles contre l'industrie de l'intelligence artificielle
- Le gouverneur du Wisconsin a banni l'application TikTok des téléphones gouvernementaux
- Le ministre Mendicino prêt à modifier son projet de loi sur la cybersécurité
«Malgré toute la sensibilisation, l’enseignement et les meilleurs moyens sur le marché, il y a encore des organisations qui deviennent victimes. On constate qu’elles n’ont tout simplement pas fait le minimum pour protéger leurs infrastructures», explique-t-il en entrevue.
Alors que les secteurs manufacturiers reprennent leurs activités en contexte post-pandémique, l’industrie du rançongiciel (un logiciel malveillant qui prend en otage des données personnelles dans le but de soutirer de l’argent) sait que certaines entreprises n’ont pas le temps ou les moyens nécessaires pour négocier. Celles-ci vont donc payer la rançon demandée, souligne M. Waterhouse, malgré qu’il soit déconseillé de le faire.
«Ce qu’on a vu en 2022, avec la fuite d’informations, c’est surtout une perte de compétitivité. Par exemple, quand Bombardier s’est fait avoir, [l'entreprise a] perdu l’avantage de développement du prochain Ski-Doo électrique, indique le spécialiste. (...) Ça veut dire que ce ne sera peut-être pas eux qui vont le mettre sur le marché en premier».
Des habitudes de travail problématiques
En général, ce ne sont pas les moyens techniques qui doivent être modifiés au sein des entreprises, estime Steve Waterhouse, mais bien «les comportements et les façons de travailler».
«Les faussaires tirent profit des mauvaises habitudes des gens. (...) Changer les habitudes de travail, ça veut aussi dire sauvegarder l’information et la mettre ailleurs qu’avec d’autres données qui n’ont pas rapport. Les informations personnelles doivent être chiffrées et stockées quand elles sont au repos».
Avant toute chose, les organisations doivent faire l’inventaire des moyens électroniques avec lesquels elles travaillent et de savoir «qu’est-ce qui est branché où».
«Souvent, elles ne savent pas non plus qui est branché où et comment. On permet aux employés d’amener leurs ordinateurs de chez eux qui ne sont même pas documentés correctement, pas protégés et même pas tenus en stock», déplore l’expert.
La mauvaise segmentation vient aussi aggraver la plupart des cyberattaques majeures — par exemple, lorsque le réseau administratif n’est pas séparé du réseau de production — et peut particulièrement nuire aux PME.
«Ça n’a pas de frontières, cette menace-là. Si tout le monde en prend conscience et applique les stratégies nécessaires, ça va aider à améliorer l’état de la situation», ajoute-t-il.
Manque de sensibilisation du personnel
«Il faut faire un travail de fond : ce n’est pas juste de déployer le prochain antivirus ou encore d’acheter le dernier pare-feu. Ce ne sont que des moyens techniques qui viennent appuyer les stratégies», soutient M. Waterhouse.
Selon lui, le manque de suivi des employés et des utilisateurs quant à l’hameçonnage et à la gestion des mots de passe vient exacerber les risques de cyberattaques.
«Quand la Société de transport de Montréal a été victime, elle venait de faire un exercice et tout était à jour. Et malgré ça, il n’a fallu qu’une seule personne clique sur un lien pour geler les activités administratives pendant six semaines», souligne l’ancien responsable de la sécurité de l’information gouvernementale du ministère de la Cybersécurité et du Numérique.
La responsabilité revient ainsi «à chaque dirigeant d’entreprise» d’instaurer une culture de la sécurité de l’information, notamment en interdisant les sites risqués pour l’ensemble du personnel.
«Malheureusement, en 2023, des exceptions sont encore faites en haut. Ils voient ça comme en privilège exécutif d’avoir accès à internet librement, en l’absence de la compréhension de la menace informatique, indique-t-il. C’est souvent l’employé qui va prendre toutes les précautions nécessaires pour ne pas que ça lui soit imputable».