Des entreprises dans la ligne de mire de cybercriminels

Les brèches dans la sécurité informatique coûtent cher aux entreprises qui sont de plus en plus nombreuses à injecter des sommes, parfois astronomiques, pour se blinder contre les attaques provenant de cybercriminels.

« Les administrateurs de sociétés sont de plus en plus inquiets quand vient le temps de parler de sécurité de l'information. Plusieurs savent qu'il y a des problèmes dans leur organisation », constate Robert Poudrette, conseiller au Centre de recherche informatique de Montréal (CRIM), un centre québécois de recherche appliquée en TI.

Pour des raisons stratégiques, rares sont celles qui divulguent les investissements en sécurité informatique. Toutefois, dans l'étude annuelle sur la sécurité informatique au Canada que publie chaque année Telus-Rotman, on constate une hausse notable des salaires octroyés aux responsables de la sécurité informatique.

« En 2009, 35 % des professionnels canadiens spécialisés en sécurité du gouvernement gagnaient chaque année plus de 100 000 $, contre 47 % dans les entreprises privées », peut-on lire. En 2011, pour des pourcentages sensiblement similaires les salaires annuels avaient grimpé à 150 000 $ dans les instances gouvernementales et ils dépassaient 200 000 $ dans le secteur privé.

Les menaces informatiques ne relèvent pas de la paranoïa, dit Michel Boutin, vice-président et associé principal chez In Fidem, une entreprise montréalaise spécialisée en sécurité de l'information. « Un paranoïaque va verrouiller ses portes à triple tour. Je crois qu'il faut prendre conscience des risques, être réaliste et agir en conséquence. »

Car les menaces se sont multipliées et intensifiées au cours des dernières années : piratage informatique, hacktivisme, intelligence économique, cyberespionnage. « Elle est finie l'époque où le pirate informatique était seul, dans son sous-sol et qu'il frappait sans autre but que la fierté », dit-il, soulignant que l'appât du gain est aujourd'hui la principale motivation.

Au Canada, les exemples de brèches dans la sécurité sont maintenant légion. Des entreprises aussi importantes que Sony, Visa, Honda Canada et MasterCard ont subi les attaques de cybercriminels qui ont ainsi pu accéder aux données personnelles de leurs clients.

Moins sensibilisées aux dangers et n'ayant pas autant de moyens financiers, les PME n'en restent pas moins des cibles de choix, rappelle Michel Boutin. En 2012, elles auraient représenté 31 % des attaques de cyberespionnage, selon Symantec. La plupart du temps, les PME servent d'accès aux grandes entreprises.

Robert Poudrette cite en exemple l'attaque informatique contre le géant américain Target, à l'automne dernier, qui a permis de subtiliser les données personnelles d'environ 110 millions de clients. Les cybercriminels se sont infiltrés dans le réseau d'un prestataire chargé de la climatisation de Target, ce qui leur a permis, ultérieurement, d'accéder au système d'information de l'entreprise.

« Je suis certain qu'au cours des prochaines années, les entreprises seront mieux protégées qu'aujourd'hui. Le problème viendra plus des employés qui continueront de semer des informations à tout vent sur les médias sociaux », conclut Robert Poudrette.