Fermer×
Vie privée | Argent

Lutte contre les cyberattaques : impossible sans une meilleure collaboration

Par : Maryse Guénette
CRÉDIT PHOTO : Alvaro Reyes (Unsplash)

Quiconque s’intéresse à l’actualité entend couramment parler de cyberattaques. Celles-ci représentent un défi en matière de sécurité tant pour le secteur privé que pour le secteur public. Dans la thèse de doctorat d’un chercheur, des experts en cybersécurité exposent certains problèmes et proposent des pistes de solutions.

Aucune organisation n’est à l’abri des personnes malveillantes qui parviennent à mettre la main sur les renseignements personnels de ses clients (comme cela a été le cas chez Capital One et chez Desjardins), ou encore qui l’attaquent, souvent en bloquant son système informatique et en lui demandant de l’argent pour le débloquer (cette cyberattaque se nomme rançongiciel).

« Les entreprises victimes d’un rançongiciel ne peuvent plus avoir accès à leurs données, dit Pierre-Luc Pomerleau, chercheur postdoctoral à l’Université d’État de Géorgie. Les hackers menacent de les effacer ou de les rendre publiques sur le Dark Web si elles ne paient pas la rançon qui leur est demandée. »

Depuis le début de l’année 2020, de nombreuses cyberattaques ont eu lieu contre des organisations canadiennes. Il s’agissait surtout de grosses entreprises, là où il est possible de demander une rançon élevée, mais des institutions publiques ont aussi été visées. À titre d’exemples, mentionnons les cyberattaques dont ont été victime l’Agence du revenu du Canada et la Société de transport de Montréal.

Dans sa thèse de doctorat intitulée Lutter contre les cybermenaces pesant sur les institutions financières au Canada : étude qualitative d’une approche de partenariat public-privé pour protéger des infrastructures critiques, Pierre-Luc Pomerleau s’intéresse aux difficultés que rencontrent les institutions financières lorsque vient le temps de contrer les cyberattaques. « Au Canada, peu de recherches ont été faites sur ce sujet, dit-il. Pourtant, la fraude a des impacts sociaux et psychologiques importants. »

De telles conséquences sont d’abord vraies pour les consommateurs. « Dans les dernières années, nombre de personnes ont témoigné avoir été victimes d’un vol d’identité ou d’une brèche de sécurité, dit M. Pomerleau. Elles ont dû prendre des mesures pour se protéger, pour éviter que quelqu’un utilise leur identité. Ça leur a causé un stress énorme. »

Les cyberattaques ont aussi beaucoup d’effet sur les entreprises. « Quand les hackers leur demandent de payer une rançon pour retrouver l’accès à leurs données, elles payent généralement, car elles doivent protéger les renseignements personnels de leurs clients. Cela a des répercussions économiques importantes pour elles. Et c’est difficile pour les personnes qui doivent gérer ça. »

 

Des rôles complémentaires

Dans son étude, M. Pomerleau cite des chiffres de Statistique Canada. On y apprend ainsi que, selon l’organisme fédéral, 21 % des entreprises canadiennes auraient déjà « été touchées par un « incident de cybersécurité » qui a eu des répercussions sur leurs activités. Et que, la plupart du temps, elles ne l’ont pas signalé aux autorités compétentes – seulement 10 % d’entre elles se sont donné cette peine. Il reprend aussi les chiffres de Sécurité publique Canada  selon lesquels le coût de la cybercriminalité équivaut à 0,17 % du produit intérieur brut (PIB), ce qui représente des pertes annuelles de plus de 3 milliards de dollars.

C’est malheureux que les signalements ne soient pas plus nombreux. S’ils l’étaient, on aurait une meilleure idée de l’ampleur du problème. Actuellement, personne ne connaît la somme globale des pertes et le nombre total de victimes. Mais si on fait une règle de trois, on peut potentiellement parler de pertes de l’ordre de 30 milliards de dollars. »

Pierre-Luc Pomerleau, chercheur postdoctoral à l’Université d’État de Géorgie et auteur de l’étude

Les entreprises ont pourtant de l’information sur les cybercrimes qui les menacent. « Actuellement, le secteur privé investit énormément dans la prévention ainsi que la détection des fraudes, dit M. Pomerleau. Mais il n’a pas les pouvoirs légaux lui permettant de protéger son infrastructure. Le secteur public, lui, a ces pouvoirs légaux et aussi la capacité d’agir, mais il n’a pas l’expertise nécessaire. Il faudrait que les deux trouvent le moyen de travailler ensemble. »

 

Des problèmes… et des solutions

Qu’est-ce qui les en empêche ? Selon les spécialistes qui ont participé à l’étude, il y aurait d’abord un problème de confiance. « Présentement, la transmission d’information se fait entre deux personnes qui, au fil des ans, ont développé un certain lien, dit M. Pomerleau. Mais cela pose problème. Car si une des deux personne change d’emploi, il faut repartir de zéro. Il serait donc important qu’un lien de confiance puisse se créer entre les organisations elles-mêmes. Cela permettrait sûrement de contrer certains crimes. »

C’est possible ? Les participants à l’étude croient que oui. À condition qu’un cadre juridique soit mis en place pour que des partenariats s’établissent en respectant certaines balises légales.

Actuellement, on accorde beaucoup d’importance à la protection de la vie privée des citoyens, et c’est très bien. Mais pour contrer la fraude, il faut que le secteur privé et les policiers puissent échanger un minimum d’information. »

Pierre-Luc Pomerleau

La tâche n’est pas facile. Les hackers peuvent agir de l’autre bout du monde. Et ils se sentent libres de faire ce qu’ils veulent. « Si on ne peut pas partager d’information sur les acteurs, les réseaux, les modus operandi, c’est difficile de faire diminuer le nombre d’événements criminels. »

Le partage d’information pourrait se faire via des plateformes sécurisées. C’est d’ailleurs ce que préconisent les participants à l’étude, en proposant la création d’un centre de partage virtuel (virtual fusion center). Selon eux, un tel centre permettrait aux personnes des secteurs privé et public de travailler ensemble sans avoir à se déplacer. Il leur permettrait aussi de le faire en temps réel en utilisant des mécanismes sécurisés encryptés. Il leur permettrait enfin de voir tous les incidents de cybersécurité qui se produisent, et de contrer plus facilement les cybercrimes.

De tels partenariats existent déjà aux États-Unis (où se trouve la National Cyber-Forensic and Training Alliance), au Royaume-Uni (c’est le Joint Money Laundering Intelligence Taskforce) et en Australie (la Fintel Alliance). « Ces partenariats sont très efficaces, dit M. Pomerleau. Ils permettent d’avoir une vue d’ensemble, de faire des liens entre divers événements ainsi que de mieux connaître les menaces qui nous guettent et de mieux les contrer. Le Canada devrait s’en inspirer pour mettre en place un centre dont le fonctionnement serait adapté à sa réalité ».

 

L’étude

La thèse de doctorat Countering the Cyber Threats Against Financial Institutions in Canada : A Qualitative Study of a Private and Public Partnership Approach to Critical Infrastructure Protection,(Université Northcentral, La Jolla, Californie, 2019) (en anglais seulement) a été écrite par Pierre-Luc Pomerleau, chercheur postdoctoral à l’Université d’État de Géorgie. On y trouve une analyse de la situation actuelle en matière de lutte contre les cyberfraudes, une description des failles ainsi que des propositions de solutions susceptibles d’améliorer les choses.

Pour mener à bien sa recherche, l’auteur a fait une revue de la littérature ainsi qu’un sondage auprès de 10 spécialistes en cybersécurité et des entrevues avec 9 d’entre eux. Tous travaillaient dans des institutions financières canadiennes, mais la plupart avaient préalablement fait carrière dans un autre domaine, notamment dans un corps policier ou dans un organisme veillant à l’application de la loi. Notons que, en nous accordant une entrevue, M. Pomerleau s’est fait leur porte-parole.

Depuis la publication de sa thèse, Pierre-Luc Pomerleau a écrit le livre Countering Cyber Threats to Financial Institutions qui porte sur le même sujet.