Au-delà de la sensibilisation: la résilience numérique du Canada

Publié le 16/10/2023 à 13:52

Au-delà de la sensibilisation: la résilience numérique du Canada

Publié le 16/10/2023 à 13:52

Le mois d’octobre est le Mois de la sensibilisation à la cybersécurité. (Photo: 123RF)

EXPERT INVITÉ. Cybersécurité: où en sommes-nous au Canada ?

Le mois d’octobre est le Mois de la sensibilisation à la cybersécurité, en réalité, il s’agit d’une campagne internationale visant à sensibiliser le public à l’importance de la cybersécurité. Les réseaux sociaux sont inondés de beaux discours sur l’importance de protéger nos entreprises ainsi que les renseignements personnels de nos concitoyens, clients de ces dernières. Au-delà des bonnes intentions et des beaux discours, qu’en est-il vraiment de la situation actuelle en matière de cybersécurité au Canada ?

La Course aux Armes Numériques: l’Ère des Cyberattaques étatiques.

Il est de plus en plus évident que certains états parrainent des groupes de cybercriminels pour atteindre leurs objectifs géopolitiques. Ces cybercriminels, utilisant des technologies sophistiquées, ciblent non seulement les actifs numériques critiques des nations rivales, mais étendent également leurs attaques aux entreprises. Cette dualité inquiétante révèle que les cyberattaques ont évolué pour devenir une nouvelle forme de conflit, où la guerre est menée numériquement et où des sanctions informelles sont imposées par le biais de la cybercriminalité, avec des extorsions financières de plus en plus courantes.

Dans le contexte du conflit entre la Russie et l’Ukraine, plusieurs cyberattaques ont été menées en représailles contre les pays de l’OTAN qui soutiennent officiellement l’Ukraine. Plus récemment, l’assassinat d’un leader de la communauté sikhe à Surrey, en banlieue de Vancouver, a soulevé des tensions entre l’Inde et le Canada. Ces tensions se sont rapidement concrétisées en cyberattaques.

 

Voici quelques exemples, seulement pour septembre 2023 :

Description

Date Revendiqué par

Attaque DDoS sur le site web des forces armées canadiennes.

 

27 septembre

 Groupe indien de cybercriminels

Une cyberattaque indienne de type DDOS contre l’Hôpital d’Ottawa en guise de représailles contre le Canada

26 septembre IndianCyberForce

La Chambre des communes visée par une cyberattaque

25 septembre IndianCyberForce Selon incyber.org
Accès non autorisé : Air Canada 21 septembre
 
Attaque DDOS contre l’agence des services frontaliers du Canada 17 septembre Nondame057 – Groupe pro-russe de cybercriminels

 

Il serait possible de poursuivre la liste pour plusieurs pages, mais vous comprenez le principe…

 

Est-ce que le gouvernement canadien à une stratégie ?

En 2018, un budget de 500 millions de dollars a été alloué pour améliorer la stratégie canadienne de cybersécurité. Cette stratégie est supportée par une collaboration entre différentes agences gouvernementales canadiennes. Cet important budget a permis :

· Le financement du nouveau Centre canadien de cybersécurité pour soutenir le leadership et la collaboration entre différents niveaux de gouvernement et partenaires internationaux.

· La création de l’Unité de coordination nationale de la cybercriminalité pour renforcer la capacité de la GRC à enquêter sur la cybercriminalité.

· Le financement pour encourager l’innovation et la croissance économique, ainsi que le développement des talents en cybersécurité au Canada.

Malgré ces efforts louables, force est de constater que le Canada, ses entreprises ainsi que ses infrastructures critiques demeurent très vulnérables. La majorité des entreprises canadiennes n’ont pas de plan pour faire face à une cyberattaque et n’ont aucune idée comment le Centre canadien de cybersécurité pourrait les aider. Est-ce que les entreprises qui supportent les infrastructures critiques comme l’énergie, les télécommunications, les services financiers, les transports et la santé ont des stratégies de résilience alignées avec la stratégie canadienne ? Je pense qu’il y a encore beaucoup de travail à faire.

 

Est-ce que les PME adhèrent ?

Un autre sujet important à mon avis concerne la manière d’aider les petites et moyennes entreprises (PME) à améliorer leur posture en matière de cybersécurité. Les PME sont très vulnérables aux cyberattaques et elles manquent souvent d’équipes dédiées à la cybersécurité. Même lorsqu’elles disposent d’équipes en technologie de l’information, elles peuvent ne pas avoir les compétences nécessaires pour faire face aux menaces.

Certaines initiatives, telles que le programme de certification CyberSécuritaire Canada, ont été lancées. Cependant, le programme est actuellement en suspens, car les PME y adhèrent peu en raison de sa procédure fastidieuse et de son incapacité à traiter directement les problèmes

fondamentaux. La situation se répète un peu avec le Programme canadien d’adoption numérique. Il se concentre également sur les évaluations de la posture en cybersécurité et la production de plans par des consultants accrédités. L’objectif principal des consultants est la vente d’heures de consultation, ce qui est compréhensible. Pour aider concrètement les PME, les programmes de soutien gouvernementaux devraient accorder la priorité à des mesures concrètes et réalisables, telles que les sauvegardes, l’authentification à plusieurs facteurs, la surveillance et la détection de logiciels malveillants. Ce sont des contrôles de cybersécurité fondamentaux dont toutes les PME ont besoin.

 

Quels sont les incitatifs pour les entreprises ?

La peur, évidemment, personne ne souhaite être victime d’une cyberattaque. Les assureurs exigent que des mesures de cybersécurité soient en place avant d’offrir une couverture d’assurance cyber. Les investisseurs commencent à évaluer les risques liés à la cybersécurité lors de leurs vérifications préalables. Les grands donneurs d’ordre exigent de plus en plus de maturité en cybersécurité de la part de leurs partenaires. Enfin, la loi 25 au Québec incite certainement les entreprises à la réflexion. Les projets de loi C-26 et C-27 au Canada exerceront certainement une pression supplémentaire pour les encourager à prioriser leurs investissements en

 

 

À propos de ce blogue

Martin Berthiaume travaille dans le domaine de la cybersécurité depuis plus de 20 ans. Il a un parcours de carrière atypique, ce qui est souvent le cas en cybersécurité. Titulaire d’un baccalauréat en actuariat de l’Université Laval, Martin a fondé en 2004 le Groupe Enode, parmi les premières entreprises en cybersécurité au Canada, offrant une plateforme de gouvernance et de gestion des risques, qui a été acquise par TELUS en 2014.  En 2018, avec la vision et l’ambition de développer la meilleure solution contre les cyberattaques au monde, Martin a fondé Mondata, qui offre la première plateforme de Cybersécurité 3e génération. Son objectif ultime ? Démocratiser, vulgariser et rendre accessible la cybersécurité pour toutes les organisations, car peu importe la taille de votre entreprise, les risques se font de plus en plus présents et il est temps d’y remédier.

Martin Berthiaume

Sur le même sujet

Blogues similaires

Tous égaux face aux IA ?

26/03/2024 | Olivier Laquinte

EXPERT INVITÉ. On entend le plus souvent les trop optimistes et les trop pessimistes.

Emplois coupés ou semaine de 4 jours: l'avenir du travail à l'ère de l'IA

08/04/2024 | Hugues Foltz

BLOGUE INVITÉ. Repenser l’essence du travail à l'aube de la quatrième révolution industrielle.

Vos diplômes ne m’impressionnent pas!

11/04/2024 | Dominic Gagnon

Le diplôme est important, mais il y a beaucoup plus à considérer lorsque vient le temps d’embaucher quelqu’un.