Les nouveaux pirates

Offert par Les Affaires


Édition du 16 Mai 2015

Les nouveaux pirates

Offert par Les Affaires


Édition du 16 Mai 2015

Par Julien Brault et François Normand

[Photo: Shutterstock]

La cybercriminalité n'est plus l'affaire de cracks de l'informatique travaillant dans le sous-sol de leurs parents. C'est une affaire de gros sous qui cause 23 milliards de dollars de pertes financières par année dans le monde. Le cybercrime attire aujourd'hui aussi bien le crime organisé que des malfaiteurs sans connaissances informatiques. Et toutes les entreprises sont des cibles potentielles.


À lire aussi:
Cinq stratégies pour réduire le risque


Il n'est plus nécessaire d'avoir des connaissances en informatique pour pirater une entreprise. Éric Parent, pdg de LogicNet, en a fait la démonstration le 11 mars dernier dans le cadre d'un colloque organisé par Finance Montréal.


En présence de deux organisateurs de l'événement, Éric Parent a demandé à un pirate qui vendait les mots de passe d'une entreprise québécoise de lui prouver qu'il pouvait lui procurer la « marchandise » promise. Il lui a fourni le nom d'un employé de l'entreprise. Une minute plus tard, le pirate lui envoyait une capture d'écran de la boîte de courriels de l'employé, dans laquelle on pouvait voir les dates d'envoi. « C'était un criminel qui vendait des noms d'utilisateurs et des mots de passe sur un site du type d'eBay, où on peut demander des catégories d'entreprises ou des noms d'entreprises spécifiques », raconte Éric Parent.


Ce dernier s'est fait offrir d'acheter un bloc de cinq mots de passe et noms d'utilisateurs pour 1,5 bitcoin, soit environ 500 $, selon le cours de ce jour-là. M. Parent a n'a pas donné suite à la proposition du pirate. Il a aussi pris soin de camoufler le logo de l'entreprise présenté sur la saisie d'écran lors de son allocution.


L'entreprise piratée a évité de se retrouver sous les projecteurs ce jour-là, mais elle n'est pas « sortie du bois » pour autant. Selon Éric Parent, la situation dure depuis plus de six mois, et ce, bien qu'il ait informé l'entreprise de la situation. « Le pirate m'a dit qu'il pouvait nous obtenir de nouveau le bon mot de passe même si l'utilisateur le changeait, ce qui démontre qu'il est bien installé dans cette entreprise-là », dit M. Parent.


L'aveuglement volontaire serait fréquent parmi les entreprises victimes de cyberattaques. Marc Fournier, consultant en sécurité de l'information chez PwC, soutient d'ailleurs que les entreprises canadiennes ont tendance à sous-investir en cybersécurité. « Elles attendent qu'il y ait une atteinte à la réputation ou une perte financière importante, dit M. Fournier. Le client devra payer 200 000 $ ou plus pour régler un problème qui lui a coûté 100 000 $ ; alors, il préfère attendre. »


Selon Marc Fournier, un tel calcul pourrait finir par coûter cher aux entreprises concernées. « Je leur ai dit : "Éventuellement, vous allez négocier une acquisition, et eux, ils vont le savoir, car ils sont dans vos murs et ont accès à vos courriels. Vous allez être à l'étranger en train de négocier, et c'est là qu'ils vont passer à l'attaque et qu'ils enverront un courriel pour transférer des centaines de milliers, voire des millions de dollars dans leur compte". »


De plus, les entreprises qui agissent ainsi mettent à risque leurs clients, employés et partenaires, si bien que la Californie a adopté des lois contraignant les entreprises à adopter une attitude plus responsable. Dans l'État américain, la législation oblige les entreprises à se doter d'un système de cybersécurité raisonnable, mais surtout, à dévoiler toute attaque dans laquelle des pirates ont eu accès à des renseignements personnels de résidents californiens.


Au Canada, le gouvernement conservateur planche sur un projet de loi qui irait dans le même sens, mais qui ne toucherait que les entreprises jugées stratégiques, comme les géants des télécommunications. Annoncé à l'occasion de la publication du budget 2015-2016 en avril dernier, le Protection of Canada's Vital Cyber Systems Act (c'est le nom avancé par la presse anglophone) devrait forcer certaines entreprises à rapporter au gouvernement fédéral les cyberattaques dont elles sont victimes.


À lire aussi:
Cinq stratégies pour réduire le risque



image

Communication interne

Mardi 27 novembre


image

Gestion de la formation

Mercredi 05 décembre


image

Santé psychologique

Mardi 22 janvier


image

Contrats publics

Mardi 22 janvier


image

Sommet Énergie

Mardi 29 janvier


image

ROI marketing

Mardi 29 janvier


image

Financement PME

Mercredi 30 janvier


image

Science des données

Mardi 12 février


image

Pénurie de talents

Mercredi 13 mars


image

Objectif Nord

Mardi 09 avril


image

Femmes Leaders

Mercredi 24 avril


image

Gestion agile

Mercredi 08 mai

Sur le même sujet

Les entreprises canadiennes ont dépensé 14G$ en cybersécurité

16/10/2018 | lesaffaires.com

95 % des répondants à ce sondage ont affirmé avoir recours à « une certaine forme de cybersécurité ».

Une entreprise canadienne sur cinq touchée par une cyberattaque en 2017

Le motif des attaques était plus souvent une tentative de vol d'argent ou une demande de paiement d'une rançon.

À la une

L'Action de grâce arrive tôt en Bourse

BLOGUE. Les investisseurs en mal de bonne nouvelles ont eu droit à une véritable superfecta pour terminer la semaine.

La guerre en Asie est-elle inévitable?

17/11/2018 | François Normand

ANALYSE - Les similitudes entre l'Europe en 1914 et l'Asie de l'Est en 2018 sont troublantes. Voici pourquoi.

À surveiller: les titres qui ont attiré votre attention

17/11/2018 | lesaffaires.com

(Re)voici quelques recommandations qui pourraient influencer les cours prochainement.