La protection contre les attaques informatiques est devenue un enjeu majeur pour les PME québécoises. Alors que près du quart des entreprises au pays en sont victimes chaque année, les Commissionnaires du Québec mettent sur pied une nouvelle entité, VYGL – prononcez « vigile » –, dont la mission sera de fournir à la fois protection et éducation à la cybersécurité aux PME et à diverses institutions publiques de la province.

Raphael Pirro Raphael Pirro
La Presse

Dans la foulée de l’affaire Desjardins l’été dernier, des spécialistes en cybersécurité ont sonné l’alarme : les PME du Québec sont trop vulnérables. Une étude publiée par la Banque de développement du Canada le 9 juillet dernier avait dévoilé que 32 % des directeurs d’entreprise sondés estimaient que le « principal défi » pour leur croissance en ligne était la capacité d’assurer la sécurité de leurs données.

Selon Benoît Gagnon, vice-président aux technologies de l’information chez les Commissionnaires du Québec, un OBNL qui emploie des ex-militaires et ex-policiers en transition, 60 % des PME qui ont été victimes de cyberattaques ferment leurs portes après six mois.

La Presse s’est entretenue avec M. Gagnon ainsi qu’avec Marc Parent, chef de la direction des Commissionnaires et ancien directeur du Service de police de la Ville de Montréal, deux personnages clés derrière VYGL.

À quel moment l’idée de mettre sur pied un projet comme VYGL vous est-elle venue ?

M. P.  : C’est une idée qui germait depuis longtemps. Ça fait quelques années qu’on prépare le terrain pour avoir une capacité dans le domaine de la cybersécurité qui est complémentaire à l’ensemble de nos activités. On offre déjà plusieurs types de services plus traditionnels, comme le gardiennage ou l’enquête. Dernièrement, on a commencé à faire du renseignement et de la cybersurveillance pour certaines entreprises. VYGL vient compléter notre offre.

Quel est le principal problème que les cyberattaques posent aux PME ?

M. P.  : Les PME n’ont pas toutes la capacité des grandes entreprises à avoir ces ressources à l’interne, et pourtant, elles sont sur le même champ de bataille. Elles sont un peu laissées à elles-mêmes, compte tenu de leur taille et des coûts associés au fait d’avoir une équipe pour s’occuper de la sécurité. Notre modèle d’affaires est d’avoir une approche plus humaine, plus personnalisée.

B. G.  : On s’est mis dans la tête d’un entrepreneur d’une entreprise de taille moyenne qui doit se protéger des attaques. Pour un entrepreneur qui n’a pas d’expertise en informatique, c’est un domaine qui peut être difficile à saisir, car il y a beaucoup de jargon à comprendre. Notre objectif est de faire en sorte que ça soit simple, qu’on puisse lui expliquer sa situation avec clarté et la prendre en charge rapidement.

Sentez-vous qu’il y avait un manque en la matière au Québec ?

M. P.  : Il y a un grand retard à rattraper pour bien des entreprises, mais aussi pour les municipalités et même les services de santé. On voyait qu’il y avait un réel besoin, tant d’éducation que de soutien. Plusieurs PME ne réalisent pas à quel point elles sont vulnérables aux cyberattaques, la plus importante forme de menace à laquelle elles font face aujourd’hui.

En quoi l’approche des Commissionnaires est-elle différente au regard des cyberattaques ?

B. G.  : On a une forme d’expertise difficile à trouver sur le marché parce qu’on a des gens qui viennent de tous les horizons. Je suis un ancien des services de renseignement, par exemple. J’ai travaillé longtemps sur la question de la cybercriminalité, donc j’ai une certaine connaissance des milieux criminels. On a d’autres gens qui ont les connaissances techniques, d’autres qui sont plus près des milieux académiques, et d’autres encore qui ont une expertise au niveau des enquêtes. VYGL, c’est toute cette pléiade de gens qui sont passionnés par la sécurité et par les technologies qui sont au cœur des activités économiques d’aujourd’hui.

Rançon versée par une MRC

L’année dernière, la MRC de Mékinac, en Mauricie, a été la victime d’un « rançongiciel », une attaque qui prend en otage les données stockées dans le système informatique et qui les rend en échange d’une somme d’argent. Dans le cas de la MRC de Mékinac, les criminels ont demandé 8 bitcoins, l’équivalent à l’époque de 65 000 $. Les parties se sont entendues sur la somme de 30 000 $ et les serveurs ont tout de même été gelés durant deux semaines. L’histoire a servi de leçon à la MRC. « On a pris différentes mesures pour renforcer notre sécurité. En tant qu’organisation municipale, on ne pouvait pas ignorer le problème, avec tout ce que cela a créé. Il y a plusieurs mesures qui ont été mises de l’avant depuis », a fait savoir un employé de la MRC qui n’a pas voulu être nommé.

Sécurité des données dans le secteur de la Santé

L’entreprise MEDFAR, qui s’occupe des dossiers médicaux de la moitié des CIUSSS du Québec, a annoncé avoir engagé un « shérif » de la sécurité en la personne du DRobert Amyot, cardiologue de formation et ex-président de CAE Santé, entreprise spécialisée dans la formation de personnel médical. Chez MEDFAR, 20 % des revenus sont réinvestis dans la protection des données. « Les données sont devenues très importantes, et l’évolution technologique fait en sorte que le cadre légal et d’innovation dans la sécurisation des données doit évoluer régulièrement, dit-il. Que le système d’une entreprise soit sécurisé aujourd’hui ne garantit pas que ses données seront sécurisées dans un an. Il y a donc un investissement continu qui doit être fait dans la protection des données. »