Notre blogueur doute de l'efficacité des lois C-26, C-27, au fédéral, et 25, au Québec, pour nous protéger contre la prochaine cyberattaque. (Photo: 123RF)
BLOGUE INVITÉ. Je commence par une mise en garde: je ne suis pas un expert en cybersécurité. En fait, s’il y en a qui me lise, c’est un peu à vous que je m’adresse aujourd’hui.
Il y a quelques semaines, j’ai assisté à une conférence de Jean-Marc Rickli, chef des risques globaux et émergents au Geneva Center for Security Policy. Au cours de son allocution, M. Rickli brossait un rapide portrait de l’utilisation des technologies par des groupes et des gouvernements afin de déstabiliser des individus, des entreprises ou des pays.
À travers les exemples d’utilisation des maliciels, du deepfake ou tout simplement à travers la diffusion de vidéos mensongers, j’avoue avoir eu froid dans le dos. Au final, j’ai fini par me demander ce que nos entreprises peuvent réellement faire pour se protéger. En fait, avons-nous les moyens comme dirigeants et dirigeantes de petites, moyennes et même de grandes entreprises pour protéger adéquatement nos organisations?
Certes, nous pouvons mettre en place des politiques, des procédures, faire de la sensibilisation et de la formation. Nous pouvons aussi renforcer la sécurité de nos applications, mais est-ce suffisant?
Face à cette menace grandissante, des lois ont été votées afin de responsabiliser les entreprises et de protéger, vous et moi. Les lois C-26, C-27 du gouvernement fédéral et le projet de loi 64, devenu loi 25, du gouvernement provincial visent principalement la protection des données personnelles. Elles ont aussi pour effet de sensibiliser les entreprises à l’importance de réfléchir aux cybermenaces et d’agir.
À (re)lire: Entreprises, êtes-vous prêtes pour la loi 25?
Par contre, il me semble qu’elles poussent aussi le problème vers les entreprises qui, au risque de me répéter, me semblent bien démunies face à l’ampleur du défi.
Je n’ai pas l’impression que ces lois nous protègent contre le prochain «Wannacry», ce rançongiciel qui a paralysé le système de santé britannique il y a quelques années. Je connais plusieurs entrepreneurs.es dont les organisations ont dû cesser leurs activités pendant plusieurs jours voire plusieurs semaines à la suite d’une attaque. Non seulement les coûts monétaires sont-ils énormes pour remettre en fonction leurs systèmes, le risque concernant la réputation l’est encore davantage.
Quand vient le temps de traiter de cybermenace, j’ai l’image de Lucky Luke dans le Far West qui est là pour faire régner la loi et l’ordre en marge du système «officiel». Il y a quelques normes, mais chacun est un peu laissé à soi-même face aux bandits, qui semble-t-il, sont souvent soutenus par des états, lorsque ce n’est pas les gouvernements eux-mêmes qui organisent les attaques.
Au Canada, il ne nous viendrait pas à l’esprit d’avoir un garde de sécurité devant la porte de nos maisons ou de nos commerces. Nous nous attendons à ce que les différents corps policiers veillent sur nous et que l’armée protège nos frontières.
En 2022, est-ce utopique de penser que notre sécurité et notre souveraineté numérique ne sont pas si différentes que notre sécurité physique?
Je n’ai pas la réponse, mais je lance la question. À cette période de l’année où l’on refait souvent le monde devant un verre de rosé, je vous invite à me donner votre opinion. Que vous soyez des experts ou non, qu’en pensez-vous? Ultimement, à qui incombe la responsabilité de protéger les citoyens et les entreprises d’un pays dans le cyberespace?