(Photo: 123RF)

CYBERSÉCURITÉ. Dans un monde où les cyberattaques se multiplient, les entreprises ne doivent plus se dire si une intrusion surviendra ou pas, mais ce qu’elles devront faire lorsque l’attaquant trouvera une brèche.

« Les assaillants se modernisent et s’adaptent aux protections en place, explique Alexandre Fournier, fondateur de la firme de consultation Crise et Résilience. C’est un peu comme les histoires de dopage dans le sport : l’industrie de la cybersécurité est toujours à la traîne des cyberattaquants. »

Dans ce contexte, il propose le concept d’« antifragilité », qui consiste à être plus résilient face aux menaces, mais aussi d’avoir un plan de gestion de crise et de continuité des opérations en cas de défaillance. « Il s’agit de trouver des solutions de contournement avant un accroc pour que lorsque cela arrive, on ne soit pas fragile, note-t-il. Et dans le fonctionnement même de l’entreprise, c’est de trouver maintenant des moyens pour être plus solide. »

Des pots de miel

Frédéric Cuppens, professeur titulaire au Département de génie informatique et génie logiciel de Polytechnique Montréal, constate aussi que la cybersécurité se repense sur des bases de résilience.

« Il faut bien sûr éviter les cyberattaques, mais même si elles aboutissent, il est essentiel qu’elles ne débouchent pas sur des dénis de service, dit-il. Ces meilleures capacités pour absorber les attaques ressemblent à des concepts de stratégies militaires. On a construit des châteaux forts avec plusieurs séries de murailles. Cela dit, on place aussi des sentinelles qui déclenchent des alertes pour pouvoir réagir rapidement lors d’une attaque, on a des unités mobiles qui peuvent intervenir en cas de brèche. »

Il explique que la sécurité informatique passe maintenant par des défenses plus mobiles, plus en profondeur, ce qui peut même impliquer de déjouer l’attaquant par des leurres. « On peut mettre l’intrus sur une fausse piste avec un “pot de miel”, qui lui donne l’impression d’attaquer une vraie cible alors que ce n’est pas le cas, mentionne-t-il. Le temps que l’attaquant passe sur la fausse cible, c’est du temps qu’on gagne pour mieux réagir et protéger. »

Dans cette course de vitesse, le pirate aura l’avantage tant que l’organisation visée reste statique. « L’idée, c’est de changer la dynamique, explique le professeur. Si le défenseur est plus actif, il pourra prendre le dessus. »

Aucune confiance

Le modèle « Zero Trust » (« zéro confiance ») est une approche de défense qui est appelée à se répandre. Il est différent du pare-feu traditionnel. Parfois nommée « sécurité sans périmètre », cette stratégie vise à restreindre l’accès aux données à ceux qui en ont vraiment besoin et à toujours vérifier l’identité de l’usager. Cette architecture est multicouche grâce à une réauthentification constante de l’ensemble des appareils et des utilisateurs qu’ils se trouvent ou non dans le périmètre de l’organisation.

« C’est une autre façon de faire les infrastructures numériques, explique Régis Desmeules, conseiller stratégique à la direction du Groupe Cyberswat. C’est un “game changer” sur le moyen et le long terme. Dans les grandes entreprises de services financiers, de télécommunications et de l’énergie, il y a des projets “zero trust” qui ont démarré. »

Régis Desmeules, conseiller stratégique à la direction du Groupe Cyberswat. (Photo: courtoisie)

Ces approches multicouches de sécurité exigent la collaboration de tous les domaines et les disciplines, selon Adel El Zaïm, vice-recteur à la recherche, à la création, aux partenariats et à l’internationalisation de l’Université du Québec en Outaouais. L’informaticien n’est plus seul à mettre en place un réseau de protection. Il a besoin d’aide de la direction, de chargés de projet, de juristes, d’usagers, des ressources humaines, etc. « Souvent, on a tendance à dire qu’on est en retard au Québec, dit-il. Mais je ne crois pas que ce soit le cas. Quand on regarde l’approche multidisciplinaire, on est en avance sur l’Europe. »

L’IA à la rescousse

Dans ce jeu du chat et de la souris avec les cyberpirates, l’intelligence artificielle s’avère un outil prisé. Elle est notamment utile pour la surveillance et la détection d’anomalies dans les systèmes informatiques, qui sont parfois le signe d’une intrusion.

« On n’a pas le choix, il faut automatiser, car il y a tellement d’attaques, explique le président de la firme de sécurité informatique Mondata, Martin Berthiaume. Une fois qu’un analyste voit 100 fois la même alerte, il devient blasé. On appelle cela la fatigue des alertes. La machine est meilleure pour ce genre de tâches répétitives et l’humain peut se concentrer sur des cas qui sont a priori plus fondés. »

Le recours à l’IA permet de traiter davantage de données et de maximiser ses ressources humaines, un aspect crucial pour un secteur où la rareté de main-d’œuvre est marquée. Elle se répand donc rapidement. Alexandre Fournier dit l’utiliser quotidiennement. « En gestion de crise, certaines décisions sont faciles à prendre et immédiates, mais d’autres sont moins évidentes, affirme le patron de Crise et Résilience. L’IA amène des pistes de réflexion sur lesquelles on peut creuser. Cela aide à anticiper les effets collatéraux. »

« L’IA prendra de l’expansion. C’est un changement de paradigme, car c’est rapide et facile, ajoute-t-il. Toutefois, il faut un contrôle humain, puisque cela pourrait être dangereux si la base d’apprentissage et l’algorithme ne sont pas adaptés à la situation. »

Frédéric Cuppens de Polytechnique Montréal soulève aussi la vulnérabilité de l’IA. « Sa sécurisation est une vraie problématique, déclare-t-il. Comment par exemple éviter des attaques par empoisonnement des données ? On développe de l’IA, mais on ne prend pas en compte cette dimension de la sécurité, qui vient trop souvent en deuxième.

Comme avec d’autres technologies, on attend qu’il y ait des problèmes avant de songer aux solutions. »