Des failles dans les mesures de cybersécurité des entreprises canadiennes pourraient les rendre vulnérables à des attaques sophistiquées de la part de pirates, révèlent des documents.

Selon un mémorandum de juillet 2012 du ministère fédéral de la Sécurité publique, les failles logicielles sont de plus en plus nombreuses, et les coûts liés à la sécurité informatique seraient élevés, alors que les entreprises ne seraient pas toutes prêtes à investir suffisamment pour corriger les problèmes.

La majorité des infrastructures essentielles du pays - y compris les réseaux de distribution d'électricité, les systèmes bancaires, les réseaux de transport et les réseaux de télécommunications - appartiennent au secteur privé où aux gouvernements provinciaux.

Leur fonctionnement sans anicroche est nécessaire au bien-être économique, politique et social de l'État, selon un rapport du vérificateur général publié l'automne dernier.

Malgré un engagement à protéger ces infrastructures contre les attaques numériques, le gouvernement fédéral a traîné de la patte pour établir des partenariats avec divers responsables, mentionne le document.

Dans un cas particulier, des informations révèlent qu'une agence fédérale a mis en garde contre les attaques de pirates visant des infrastructures essentielles, et ce près de six mois avant une atteinte à la sécurité chez Telvent Canada, une entreprise en technologie dont les systèmes aident à gérer des oléoducs et gazoducs.

Des documents obtenus après une demande d'accès à l'information mentionnent que le Centre canadien de réponse aux incidents cybernétiques (CCRIC) a envoyé quatre alertes à des experts en technologie liés à des infrastructures essentielles et aux «industries qui y sont liées» dans les mois précédant l'attaque.

Ces alertes indiquaient que les pirates envoyaient des courriels malveillants sous le couvert de messages internes dans le secteur de l'énergie. Elles détaillaient, pour les entreprises, les gestes à faire pour se protéger.

Le CCRIC a indiqué qu'il ne commentait pas des événements spécifiques, mais a souligné qu'il ne pouvait pas forcer les entreprises à respecter leurs recommandations.

Le chien de garde de la cybersécurité précise que son rôle est de recueillir des informations sur les menaces et de les partager avec le secteur privé, d'autres ordres de gouvernement, et des partenaires en matière de sécurité.

Selon Angela Gendron, du Canadian Centre of Intelligence and Security Studies de l'Université Carleton, les déclarations volontaires peuvent s'avérer être «un champ de mines».

Les entreprises pourraient refuser de rapporter une attaque, puisque cela pourrait nuire à leur réputation, a-t-elle ajouté.

«Leurs évaluations des risques et du niveau de sécurité nécessaire pour protéger leurs biens pourraient différer de ce que nous considérons comme approprié en tant que société», souligne Mme Gendron dans un courriel.

«L'argent fait bien sûr partie du problème. Devions-nous nous attendre ou exiger d'une entreprise privée défraie les coûts des mesures de sécurité bénéfiques pour tous, mais qui ne sont peut-être pas celles que l'entreprise estime nécessaires pour protéger leurs propres biens privés et leur rentabilité?»