Les cyberattaques sont de plus en plus fréquentes depuis quelques années et les entreprises québécoises sont généralement mal préparées à y faire face, une situation que le recours massif au télétravail n’a fait qu’empirer. Pour y remédier, elles auraient intérêt à miser davantage sur leurs ressources humaines que sur la technologie, selon les experts.

Publié le 4 oct. 2021
Antoine Trussart
Antoine Trussart Collaboration spéciale

« Au Québec, on a un retard considérable par rapport à où on devrait être quant aux bonnes pratiques dans le secteur [de la cybersécurité] », explique Nicolas Duguay, directeur du développement des marchés chez InSecM, la grappe industrielle nationale en cybersécurité.

La majorité des attaques auxquelles font face les organisations québécoises sont des rançongiciels, c’est-à-dire des logiciels qui prennent en otages les données ou bloquent les systèmes informatiques jusqu’à ce que l’organisation paie une rançon.

La plupart du temps, les cybercriminels gagnent accès aux systèmes informatiques par l’entremise de courriels ou de sites web malveillants sur lesquels cliquent des employés sans se douter des conséquences.

Les bonnes pratiques dans le secteur, ce ne sont pas que des réponses technologiques. Il y a beaucoup de formation et de sensibilisation qui n’ont pas été faites au Québec. Les cybercriminels vont toujours cibler le maillon faible.

Nicolas Duguay, directeur du développement des marchés chez InSecM

Les attaques ne visent généralement pas une entreprise en particulier, ce sont des robots qui envoient massivement des courriels ou qui scannent des adresses web à la recherche de faiblesses. Nicolas Duguay compare ces nouvelles façons de faire au passage de la pêche à la ligne à la pêche industrielle.

Le passage massif au télétravail a également pu ouvrir de nombreuses brèches, particulièrement dans les entreprises qui n’ont pas de service consacré à l’informatique.

« Avec le télétravail, c’est passer de 15 employés qui travaillent dans une seule structure à 15 structures à sécuriser, dit M. Duguay. C’est tout ce qu’il ne fallait pas faire, mais on a dû le faire parce qu’il y avait une crise. »

PME et grandes organisations ciblées

Le retard accumulé au Québec est partiellement attribuable à la grande proportion de PME dans l’économie de la province. Les grandes sociétés sont plus à même d’investir dans les formations et les technologies de cybersécurité.

Cela n’a pas empêché la Société de transport de Montréal, la Société de transport de l’Outaouais, Olymel et le CIUSSS du Centre-Ouest-de-l’Île-de-Montréal, entre autres, de se faire attaquer durant la dernière année. Sans compter la fuite massive de données chez Desjardins en 2019.

« La cause [d’une attaque] peut être des mauvaises pratiques de partage de l’information et des employés qui exposent l’information par accident », explique Jean-Philippe Racine, président du groupe Cyber Swat.

Le pirate n’a pas besoin de faire une grosse job à la James Bond parce que l’information est pratiquement rendue publique.

Jean-Philippe Racine, président du groupe Cyber Swat

La fuite de données peut aussi venir d’employés frustrés ou qui auraient accepté de l’argent en échange des données, comme ce serait arrivé chez Desjardins.

« Ce n’est pas toujours une question de technologie, il y a un volet très humain dans la sécurité. Il y a une culture d’entreprise qu’il faut changer, des réflexes que les travailleurs doivent avoir », conclut M. Racine, dont l’entreprise se spécialise dans la prévention des cyberattaques et la réponse aux évènements.

La fuite de données chez Desjardins a mené le gouvernement québécois à adopter le 21 septembre dernier la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.

La nouvelle loi est largement inspirée du Règlement général sur la protection des données de l’Union européenne, considéré comme une référence en la matière selon les experts consultés. Elle prévoit de lourdes pénalités allant jusqu’à 4 % du chiffre d’affaires d’une entreprise si elle est responsable par négligence de la fuite de données de citoyens, ce qui pourrait motiver les entreprises québécoises à accorder la priorité à leur cybersécurité. Elle entrera en vigueur en 2023.