Niveau du haut

Éthiques et Sociétés Communication

Steve Waterhouse (Photo: Courtoisie)

Cybersécurité: Trois questions à Steve Waterhouse

Trois questions à… Steve Waterhouse, spécialiste en cybersécurité, formateur certifié Cisco, CompTIA et CWNP et ancien officier de sécurité informatique au ministère canadien de la Défense nationale.

Propos recueillis par Zora Ait El Machkouri

La ville américaine de Baltimore immobilisée pendant plus d’un mois, au printemps dernier, par des pirates qui demandent une rançon via un rançongiciel (ransomware), la banque Capital One qui se fait voler les données de près de 106 millions de clients via une faille de serveur cet été, des hôpitaux français paralysés par un virus informatique au mois d’août, au même moment, au moins trois tentatives d’intrusion dans les serveurs informatiques de Revenu Québec, le fisc provincial, juste après une importante fuite interne de données concernant 23 000 de ses employés et en juin les données personnelles de 2,9 millions de membres du Mouvement Desjardins subtilisés par un employé de la coopérative financière québécoise… Les vols de données et les cyberattaques font la manchette depuis quelques mois. Les explications d’un expert.

Q: À votre avis, devrions-nous désormais nous habituer à une telle récurrence des cyberattaques ? Pour quelles raisons?

R: Un des buts ultimes des « attaquants » est d’aller chercher du financement. Que ce soit via un rançongiciel ou une extorsion de données, le but est d’aller négocier cette information afin de demander de l’argent. Soit les individus ou les compagnies sont négligents dans la sauvegarde des données - donc il n’y a tout simplement pas de sauvegarde –, soit il y a une sauvegarde, mais celle-ci est mal faite. Au moment de « monter » leur système informatique, les entreprises assument que tout ira bien, mais, au cours des années suivantes, il y a des ajouts et des modifications qui ne reflètent plus le concept original.
Or, la majorité des institutions et des entreprises privées demeurent des réactionnaires. Elles vont réagir une fois qu’elles ont été confrontées au problème. Car beaucoup de gestionnaires pensent que la prévention – qui est coûteuse – n’est pas mesurable en termes de retour sur l’investissement. Pourtant, un système informatique n’est pas différent d’une automobile : il ne faut pas attendre qu’il soit trop tard avant d’en faire l’entretien.
Malheureusement, plusieurs gouvernements et entreprises privées ont des gestionnaires qui ne pensent pas qu’il faut consacrer temps et efforts aux services informatiques, car ce n’est pas palpable. Ce n’est pas un bâtiment physique en décrépitude dont nous devons refaire la façade. L’informatique est intangible. Sauf que quand l’information n’est plus disponible, il est trop tard.

Q: Outre les compagnies privées qui se basent sur des choix en fonction de leur agenda économique, pouvons-nous dire que les gouvernements sous-estiment, voire sont négligents à l’égard des menaces informatiques ?

R: Clairement ! Au Canada, le gouvernement fédéral, a un avantage sur le gouvernement provincial québécois, parce qu’il a des ressources et de la visibilité à l’échelle mondiale. Au Québec, il y a très peu de perspectives externes, ce qui fait que la menace est mal évaluée. Tout ce qui concerne les cyberattaques a une connotation internationale, car elles n’ont pas de frontières. Bien qu’il soit ouvert sur le monde, le gouvernement québécois est très mal positionné à cet égard. Il possède certainement les meilleurs équipements pour protéger un accès externe vers l’interne, comme toutes les entreprises, mais au-delà de cette protection, les employés et le service informatique interne doivent être rééduqués sur les nouvelles menaces et les avancées dans le domaine. C’est ce qui manque.
De toutes celles qui existent, la menace interne est la plus émergente. Par exemple, Revenu Québec, qui y a fait face cet été, connaît ce même problème depuis dix ans. La confiance aveugle envers un employé est révolue : il n’est plus possible d’assumer avoir sa pleine loyauté. Aujourd’hui, la dynamique est différente de ce précepte des années 1960.
L’autre problème fondamental est la gestion de l’information. Quand nous entendons dire qu’il faut protéger les informations du gouvernement, mais qu’il n’y a aucune classification qui permet de savoir quelle information est plus importante qu’une autre, c’est très difficile de mettre en place une protection uniforme sur toutes les données qui existent.

Pour lire l'interview complète

 

Dans la catégorie Numéro 43 (Sept-Nov 2019)

Éditorial: Le monde en crises par François Audet

Ce n'est pas nouveau : le monde a toujours vécu des crises, et ce, de manière cyclique. Nous sommes actuellement dans une de ces périodes où la planète vit des événements dont les conséquences sur les populations et la planète seront bouleversantes.

Lire plus ›

L'importance de la coopération en cybersécurité internationale

Le Forum économique mondial place le vol de données et les cyberattaques respectivement au quatrième et cinquième rang de son rapport 2019 sur les risques mondiaux, en termes de probabilité et d'impact. Aujourd'hui, les cyberattaques sont constantes et les vulnérabilités des systèmes…

Lire plus ›

Changements climatiques: entre déclin du rôle étatique et montée des acteurs locaux

Dès son entrée en fonction, le président américain Donald Trump a dénoncé l'Accord de Paris sur le climat. Plus récemment, le président brésilien Jair Bolsonaro a assuré une piètre gestion des importants incendies en Amazonie. Si des chefs d'États montrent leur défiance face aux…

Lire plus ›

Environnement: le mirage dakarois du « zéro déchet »

Au peu glorieux palmarès des villes les plus polluées du globe, Dakar fait triste figure parmi les dix premières. Une conjoncture qui s'explique – en partie – par le laxisme de l'État, des lacunes en matière d'infrastructure et de moyens et par l'indiscipline citoyenne.

Lire plus ›

Menu secondaire

 
 

Menu de navigation 2