Un nouveau rapport de l’autorité canadienne de premier plan sur la cybersécurité avertit que les criminel·les ont nos infrastructures essentielles dans leur ligne de mire. Les cyberrisques posés par les longs cycles de vie des réseaux industriels et de l’équipement des services publics sont depuis longtemps connus de ceux qui travaillent dans cet environnement. Mais les conséquences réelles de ces risques deviennent de plus en plus claires.
Dans un rapport récent, le Centre canadien pour la cybersécurité sert une mise en garde concernant le fait que « … les cybercriminel·les motivé·es financièrement continueront fort certainement de cibler des organisations de grande valeur dans les secteurs d’infrastructures essentielles au Canada et dans le monde entier. »
Des secteurs comme la santé, le transport et les télécommunications sont essentiels à la vie quotidienne des Canadien·nes, ce qui en fait des cibles attrayantes pour les acteur·rices malveillant·es. Les cyberattaques réussies contre des infrastructures essentielles pourraient perturber ou même menacer la vie des Canadien·nes.
L’avertissement du Centre pour la cybersécurité fait suite à une violation majeure ayant touché l’une des plus grandes sociétés énergétiques du Canada : elle a empêché une partie de la clientèle d’utiliser des cartes de crédit ou de débit dans plus de 1 500 points de vente au détail Petro-Canada partout au Canada.
Malheureusement, la nature de plus en plus connectée de la technologie opérationnelle et le long cycle de vie technologique des infrastructures essentielles offrent de nouvelles façons aux pirates d’accéder aux systèmes sur lesquels nous comptons et de les perturber.
Un exemple révélateur? En 2015, un système d’exploitation de Microsoft appelé Windows 3.1, lancé pour la première fois en 1992, faisait toujours fonctionner des systèmes de contrôle de la circulation aérienne clés dans l’un des plus grands aéroports de France. En tout cas, jusqu’à ce que le système plante et immobilise les opérations. Même si cette interruption n’était pas due à une cyberattaque, elle met en lumière le fait que nos vies modernes sont soutenues à de nombreux endroits par une technologie désuète qui ne tient pas compte des enjeux de sécurité modernes.
En tirant parti des outils d’automatisation et d’intelligence artificielle (IA), les cybercriminel·les exploitent ces vulnérabilités et font évoluer leurs tactiques plus rapidement que les responsables des mises à niveau des infrastructures et des défenses organisationnelles ne peuvent le faire.
Entre les mains d’une seule personne, l’IA peut être utilisée pour cerner les vulnérabilités dans les cyberdéfenses d’une organisation. Dans un autre cas, elle peut être utilisée pour attaquer ces mêmes faiblesses. La puissance de l’informatique moderne et de l’IA pour traiter des quantités massives de données peut transformer l’objectif des violations de données. Plutôt que de simplement exiger une rançon, une violation peut être la première étape d’une campagne plus ciblée basée sur une collecte d’informations récoltées.
Lorsque vous travaillez en contrevenant à la loi, il est plus facile d’être un·e « pionnier·ère » et de faire des essais avec de nouveaux outils pour contourner les défenses d’une organisation. En comparaison, les organisations légitimes, en particulier les grandes, ont souvent de la difficulté à adopter de nouvelles technologies, en particulier dans un environnement d’infrastructures essentielles, en raison des complexités du changement de processus ou du risque d’interruptions de service.
Malheureusement, cela signifie que les « gentil·les » sont plus susceptibles de ressentir les répercussions des nouvelles technologies avant de pouvoir les utiliser pour leur propre défense.
À l’avenir, la cybersécurité doit être au centre de notre approche nationale en matière d’infrastructures essentielles. Il convient que de solides cyberdéfenses soient au cœur de toute évaluation du cycle de vie d’un projet ou de la viabilité des systèmes proposés. Qu’il s’agisse d’une nouvelle usine de traitement de l’eau ou d’un réseau électrique mis à niveau, nous devons concevoir des systèmes cyberrésilients dès le départ, afin de ne pas nous retrouver coincé·es dans des rénovations de sécurité coûteuses plus tard. Cela signifie qu’il faut adopter l’évolutivité et l’extensibilité, en reconnaissant que le paysage de la technologie et des menaces changera avant qu’un actif n’atteigne la fin de sa durée de vie.
Le gouvernement peut également tirer parti de ses pouvoirs d’approvisionnement pour promouvoir une cybersécurité plus forte. Tout comme les processus d’approvisionnement fédéraux qui exigent que les demandeur·ses évaluent l’impact sur l’environnement ou l’identité de genre d’un projet, la cybersécurité doit être prise en compte dans la façon dont les fonds publics fédéraux sont distribués à tout projet d’infrastructure essentielle. De même, le gouvernement doit poursuivre ses efforts pour s’aligner sur les normes de sécurité reconnues comme le modèle de maturité de la cybersécurité qui est mis en pratique aux États-Unis depuis un certain temps. L’alignement avec nos allié·es mondiaux·ales sur des normes de cybersécurité solides, en particulier celles avec lesquelles des infrastructures sont interconnectées, ne peut que contribuer à améliorer notre résilience globale.
Pour nos réseaux existants, qui fonctionnent encore peut-être avec une technologie vieillie (parfois ancienne), nous devons déterminer des solutions conviviales qui peuvent aider à renforcer leurs défenses. Par exemple, un pare-feu réseau qui surveille le trafic entrant et sortant pour détecter les menaces malveillantes connues peut souvent être intégré même dans les environnements de technologie de l’information les plus archaïques. De plus, la grande majorité des violations de la cybersécurité sont le résultat d’erreurs humaines, il est donc essentiel de tenir notre main-d’œuvre au courant des dernières pratiques de sécurité.
Des milliards de dollars ont été promis pour restructurer les réseaux d’infrastructures essentielles au cours de la prochaine décennie. Pour assurer la sécurité et la prospérité du Canada, la cybersécurité et la résilience doivent être au cœur de ces travaux, à l’avenir.
Jon Ferguson dirige l’unité de cybersécurité et des services DNS de CIRA, qui s’appuie sur les services DNS de classe mondiale de l’organisation pour fournir des services de cybersécurité et de formation aux Canadiens et à la communauté Internet mondiale. Au cours des 15 dernières années, Jon a occupé des postes de direction de produits pour des organisations qui élaborent des solutions d’Internet des objets et de cybersécurité distribuées à l’échelle mondiale.
