Cyberrisques: pas le moment de baisser la garde

Publié le 19/11/2023 à 11:00

Cyberrisques: pas le moment de baisser la garde

Publié le 19/11/2023 à 11:00

Par Philippe Jean Poirier
|

Depuis le lancement de ChatGPT, les cyberpirates ont un nouvel outil pour rédiger des courriels d’hameçonnage plus convaincants. (Photo: 123RF)

CYBERSÉCURITÉ. Dans la dernière année, les entreprises québécoises ont maintenu le travail hybride tout en intensifiant leur transformation numérique, ce qui les rend plus vulnérables aux cyberattaques. Or, plusieurs indicateurs suggèrent qu’elles sous-investissent dans la sécurité de leurs infrastructures. 

C’est ce qui ressort du Portrait TI 2023 de Novipro, qui se base sur un sondage mené en mars 2023 auprès de 635 décideurs d’entreprises canadiennes. Selon ces données, l’intention des entreprises d’investir dans des « solutions de sécurité » est en dégringolade, étant passée de 43 % en 2018 à seulement 19 % en 2022. Même phénomène du côté des organisations qui ont offert de la formation en cybersécurité à leurs employés : le pourcentage s’érode d’année en année, passant de 74 % en 2019 à 59 % en 2022. 

Martin Pelletier, chef de la stratégie à Novipro, nuance ces résultats. « En parlant aux dirigeants d’entreprises, on se rend compte que les très grandes organisations surinvestissent en cybersécurité — par souci de conformité et pour protéger leur réputation. À l’opposé, les petites entreprises investissent très peu, car elles pensent que ça [les cyberattaques] n’arrive qu’aux autres. »

Abondant dans le même sens, Nicolas Duguay, codirecteur général d’In-Sec-M, grappe canadienne qui promeut l’industrie de la cybersécurité et accroît les capacités d’innovation, de commercialisation et de croissance des entreprises dans ce domaine, juge que les PME sont devenues des « proies faciles » faute d’avoir négligé la question de la cybersécurité. « La vaste majorité des PME qui subissent une brèche sont compromises par un courriel contenant un maliciel. On n’est pas dans des scénarios très sophistiqués. L’attaque est envoyée par un bot qui fait de l’envoi massif de courriels. C’est littéralement de la pêche au filet », illustre-t-il.

 

Vulnérabilité humaine et technologique 

Depuis le lancement de ChatGPT, les cyberpirates ont un nouvel outil pour rédiger des courriels d’hameçonnage plus convaincants. « L’époque où l’on pouvait repérer un courriel malveillant par le simple fait qu’il présente des fautes d’orthographe est révolue, confirme Bernard Després, associé et directeur de la pratique en cybersécurité à MS Solutions. Avec l’utilisation des outils d’intelligence artificielle, les campagnes d’hameçonnage sont plus réalistes dans leur contenu et plus sophistiquées dans leur ingénierie sociale. » 

À sa manière, l’inflation vient elle aussi fragiliser les entreprises quant au cyberrisque. D’une part, parce que celles-ci ont revu à la baisse leur investissement en technologie. D’autre part, parce que les employés sont plus vulnérables à des offres de corruption. « La compromission du personnel interne fait partie des options considérées par les criminels présents sur les forums du Web clandestin », rapporte Bertrand Milot, président et fondateur de la firme de cybersécurité Bradley & Rollins. On tente de faire faire une erreur à un employé et, après, on le manipule. Avec la conjoncture économique, proposer 10 000 $ à une personne a plus d’impact qu’avant. » 

Les entreprises ont en outre plus de surface informatique « exposée » qu’avant la pandémie. Selon un sondage mené en août par l’Ordre des conseillers en ressources humaines agréés (CRHA), 81 % des organisations québécoises permettent à leurs employés de faire du télétravail à temps plein ou selon une formule hybride. « Les télétravailleurs font cohabiter de l’informatique corporative avec de l’informatique ludique ou résidentielle liée à l’Internet des objets, tels que des télévisions, des thermostats ou toutes autres commodités connectées », note Bernard Després. Ces appareils n’ont « pas de mis à jour ou de correctifs logiciels », poursuit-il, ce qui a pour effet de placer le matériel informatique de l’entreprise dans un environnement « non contrôlé ».

 

Exiger plutôt que convaincre

Existe-t-il une voie de salut ? Pour Nicolas Duguay, l’adoption de meilleures pratiques de cybersécurité ne pourra se faire sans l’impulsion des gouvernements. « La tendance la plus intéressante que je vois en ce moment est un durcissement des exigences gouvernementales envers les PME. » 

Le codirecteur général d’In-Sec-M constate que les législateurs s’activent partout dans le monde et à tous les ordres de gouvernement. « Les États se sont rendu compte que les PME étaient le maillon faible de leurs chaînes d’approvisionnement et il commence à y avoir un sentiment d’urgence à aborder cet enjeu. Dans le passé, on a essayé de convaincre les entreprises d’investir davantage en cybersécurité. Maintenant, on est plus coercitif. C’est une tendance claire. »

Il en prend pour preuve l’entrée en vigueur du projet de loi 25 sur la protection des renseignements personnels au Québec ainsi que les projets de loi fédéraux C-26 (Loi concernant la cybersécurité) et C-27 (Loi sur la protection de la vie privée des consommateurs) qui s’intégreront bientôt au cadre législatif canadien. Autant de signaux que les entreprises doivent mettre le cyberrisque en tête de leur radar.

 

///

Causes principales des cyberattaques, selon les entreprises : 

– Attaque externe sans lien avec l’entreprise : 38 %

– Compromission interne malveillante : 30 %

– Compromission interne non volontaire : 12 %

– Attaque indirecte par la chaîne d’approvisionnement : 12 %

– Ne sais pas/préfère ne pas répondre : 8 %

 

Source : Novipro

 

Sur le même sujet

Les équipes de TI ont moins la cote

24/04/2024 | Emmanuel Martinez

Les équipes des TI sont moins engagées qu’avant dans les décisions de leurs entreprises, selon le rapport «Portrait TI».

La course aux ordinateurs quantiques: enjeux pour la cybersécurité et l'équilibre des pouvoirs

09/04/2024 | Martin Berthiaume

OPINION. La course à la domination quantique présente des parallèles avec la course à l’armement nucléaire.

OPINION Les entreprises technologiques canadiennes déplorent la bureaucratie gouvernementale
03/04/2024 | La Presse Canadienne
Comment une Américaine s'est fait dépouiller en cryptomonnaie?
26/02/2024 | AFP
Le projet de loi sur les préjudices en ligne prévu la semaine prochaine, dit Trudeau
21/02/2024 | La Presse Canadienne

À la une

L’État ne doit plus être au service de l’automobile

Il y a 4 minutes | Pierre-Olivier Pineau

EXPERT INVITÉ. Si le Québec veut être carboneutre en 2050, l'État ne peut plus continuer d'être au service de l'auto.

Le repreneuriat dépasse la création d'entreprise

Il y a 49 minutes | Emmanuel Martinez

Pour la première fois, le repreneuriat a dépassé la création d’entreprise au Québec en 2021.

Repreneuriat: des employés au rendez-vous

01/05/2024 | Emmanuel Martinez

REPRENEURIAT. Le taux de survie des coopératives est bien meilleur que celui des entreprises privées.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024