Tant et aussi longtemps que les entreprises ne partageront pas entre elles leurs bonnes et mauvaises expériences face aux cyberattaques, les cybercriminels vont continuer d’avoir le beau jeu. C’est ce que soutient Steve Waterhouse, expert en cybercriminalité, invité lors de la conférence Sécurité de l’information présentée par les Événements Les Affaires, le 20 mars dernier, à Montréal. « Cessez de garder pour vous, vos expériences de cyberattaques. Parlez-en! Les cybercriminels ne se gênent pas, eux, de communiquer entre eux les failles de vos systèmes », a expliqué Steve Waterhouse lors d’un panel portant sur la collaboration de la sécurité de l’information. Ex-officier de la sécurité informatique au sein du Ministère de la Défense nationale, M. Waterhouse est aujourd’hui président fondateur de l’entreprise Infosecsw qui propose de l’analyse, des formations et des conférences en cybersécurité.

Plus que jamais, il faut collaborer

« Certaines grandes entreprises ont déjà commencé à s’échanger entre elles de l’information à ce sujet », a fait savoir Béatrice Couture, présidente de CyberÉco au cours de ce même panel de discussions. Cet organisme a la particularité d’avoir été créé à l’automne 2018 par deux concurrents du milieu financier, soit Desjardins et Banque Nationale, afin de trouver des solutions communes pour mieux contrer et surtout de mieux prévenir les cyberattaques. Le cabinet Deloitte et le Groupe RHEA font également partie des membres fondateurs de cette organisation qui lutte contre la fraude ainsi que le vol d'identité ou de données. « Plus que jamais, la collaboration est nécessaire entre les entreprises. En fait, les organisations doivent cesser de voir leurs moyens de protection comme un avantage compétitif face à leurs concurrents. Si elles détiennent des procédés efficaces, qu’elles les partagent avec les autres entreprises. Autrement, c’est la réputation de notre économie qui est en jeu. Les cybercriminels n’hésitent pas à se partager entre eux le nom des zones géographiques et des secteurs d’entreprises qui présentent des faiblesses », a ajouté Mme Couture.

Red Team, Blue Team

Avant même que des cyberattaques se produisent, certaines organisations les provoquent. À l’Autorité des marchés financiers (AMF), qui regroupe plus de 800 employés, on a mis en place l’approche Red Team Blue Team il y a moins d’un an. L’équipe rouge étant celle qui attaque et la bleue étant celle qui protège l’organisation. « L’organisme a fait appel à une firme externe pour jouer le rôle des méchants, a raconté Mark Kaven Lamothe Lafrenière, responsable de la sécurité de l’information numérique à l’AMF. L’exercice, a-t-il dit, a permis de de mettre la lumière sur des faiblesses, mais aussi sur les forces des mesures de protection déjà en place. Certains experts, présents dans la salle, nous ont indiqué que ce sont à peine 10% des grandes entreprises au Québec qui mènent actuellement ce type d’approche au sein de leur organisation. Ces exercices de protection sont malheureusement quasi inexistants au sein des PME. Conscientes que ce ne sont pas toutes les entreprises qui ont le budget pour introduire cette approche, certaines firmes développent des alternatives. « Chez Richter, nous avons développé un atelier qui se déroule sous forme de jeu d’attaques et de contre-attaques qui s’adresse aux entreprises. Cet atelier, qui varie de la demi-journée à la journée, peut fort bien être présenté comme une activité de consolidation d’équipe », a fait savoir Bertrand Milot, vice-président AS-Cyberdéfense, risque et performance TI chez Richter.

Recruter à l’international

Se préoccuper de cybercriminalité est une chose. De pouvoir compter sur l’aide d’un expert en cybercriminalité au sein de son organisation en est une autre. Selon une étude de Deloitte, les besoins en termes de cybertalents vont augmenter de 40% au Canada d’ici 2021. « On estime que les entreprises canadiennes nécessiteront du soutien de plus de 28 000 experts. Actuellement, il n’y en a que 20 000 sur le marché du travail. Et les universités ne fournissent pas. Où donc peut-on trouver ces professionnels ? L’international devient une alternative à considérer », a soulevé Sophie Demarquette, directrice associée et cofondatrice de MeeTI, une agence spécialisée dans le recrutement de talents en TI et en cybersécurité, axé sur l’international. Les sociétés québécoises, a indiqué la conférencière, ont tout avantage à profiter de l’aura dont fait l’objet le Canada à l’étranger, et plus particulièrement celles de Montréal, pour attirer des cybertalents venus d’ailleurs. De plus, a insisté Sophie Demarquette, il s’agit d’une alternative pouvant permettre aux entreprises d’éviter les surenchères de salaires. « Ce sont les défis du projet technologique proposé par les entreprises en plein recrutement qui constituent le principal critère d’attraction auprès des candidats étrangers. Ce critère devance amplement celui du salaire qui arrive au 4e rang, derrière le sentiment d’appartenance et la flexibilité de la vie au travail », a-t-elle précisé. Enfin, ce processus de recrutement exige toutefois une condition sine qua non : la transparence de l’employeur. « N’oubliez pas que ce candidat choisit de venir travailler pour vous, dans un autre environnement, un tout autre pays. Assurez-vous que les règles soient claires dès le départ. Vous verrez que l’intérêt de ce dernier pour votre projet techno sera bien plus efficace que n’importe lequel des réveille-matins. »