Le système de santé canadien est assiégé par des pirates informatiques qui multiplient les cyberattaques visant à accéder aux données personnelles de la patientèle partout au pays. Cette semaine encore, le CIUSSS de l’Est-de-l’Île-de-Montréal a été victime d’une cyberattaque visant à voler les données confidentielles des patients. Qu’attendons-nous pour nous protéger ?

Denis Boulanger
Denis Boulanger Québec*

Les cyberattaques ne sont pas un phénomène nouveau. Chaque année, des dizaines d’entreprises et de particuliers se font infecter par des virus informatiques provenant de la Russie, de Chine et d’autres pays hermétiques. Ces attaques vicieuses et pernicieuses paralysent les systèmes informatiques des grandes entreprises et coûtent extrêmement cher à celles-ci. Elles doivent verser des rançons allant de quelques dizaines de milliers de dollars à plusieurs millions sous forme de bitcoins à leurs agresseurs, afin que ceux-ci leur transmettent le code permettant de décrypter leurs données. Cela est sans compter les frais astronomiques des consultants experts en cybersécurité qu’elles doivent engager et qui parfois sont aussi élevés que la rançon elle-même.

Selon les données recueillies par Cisco et d’autres spécialistes de la sécurité dans le monde, il y aurait 122 attaques réussies par semaine, entraînant des pertes s’élevant de 300 milliards à 1400 milliards à l'échelle mondiale liées aux pertes de propriété intellectuelle, de temps et de récupération des données.

Depuis le début de la pandémie, le nombre de cyberattaques a considérablement augmenté. Il aurait crû de 151 % au cours des six premiers mois de 2020 comparativement à la même période l’année précédente, selon une étude du Centre des opérations de sécurité de la firme américaine d’analyses Neustar. Avec l’augmentation du télétravail, les failles de sécurité augmentent parallèlement. Malgré toutes les précautions que peuvent prendre les entreprises en matière de cybersécurité, il reste que le maillon faible est encore les utilisateurs.

La guerre aux pirates

À l’époque de la Rome antique, la Méditerranée était peuplée de pirates qui semaient la terreur à travers l’Empire, en attaquant et en pillant les bateaux marchands. En 67 av. J. -C., le Sénat romain ordonna au célèbre général Pompée de lutter contre ce fléau qui menaçait l’économie et la paix romaine.

Outre une autorité presque sans limites, il est alors doté de moyens importants pour mener à bien sa mission. Il disposera de tout l’argent public qui lui sera nécessaire pour lever une flotte de guerre de 500 voiles ainsi que 120 000 combattants.

Pompée s’acquitta de sa tâche avec une étonnante efficacité. En 40 jours, il nettoya le pourtour de la péninsule italique. Moins de deux mois plus tard, la Méditerranée était de nouveau ouverte au libre commerce.

Aujourd’hui le combat est le même, mais les pirates de notre époque naviguent dans une mer numérique. La menace pour notre sécurité et notre économie est tout aussi importante.

Il suffirait d’un tir groupé de cyberterrorisme pour paralyser une bonne partie de notre économie et même de notre démocratie.

Notre dépendance aux systèmes informatiques est telle qu’il serait inconcevable de penser fonctionner sans eux. La plupart des systèmes critiques qui gèrent notre société comme les transports, l’énergie, les finances et l’économie dépendent de systèmes d’information qui sont pour la plupart du temps vulnérable.

Agir avant qu’il ne soit trop tard

Actuellement, les entreprises et les organismes publics sont laissés à eux-mêmes en matière de cybersécurité. Cet aspect est souvent négligé, car cela leur coûte souvent trop cher et ne « rapporte rien ». Malgré tout, les systèmes ne seront jamais infaillibles. Il arrive que les cyberpirates entrent dans les systèmes même si les entreprises appliquent les bonnes pratiques en matière de cybersécurité.

Il faut donc se serrer les coudes et agir de façon concertée, comme l’a fait le Sénat romain il y a 2000 ans.

Premièrement, il faut mettre en place des lois et des règlements, qui obligent les entreprises et les organismes publics et parapublics à assurer une certaine sécurité et résilience de leur infrastructure numérique.

Ensuite, on doit instaurer une loi obligeant les entreprises et organismes à souscrire à des polices d’assurance contre les cyberattaques ou instaurer un programme d’assurance universel similaire à l’assurance maladie. De plus, il faut créer un programme de financement qui aiderait les entreprises dans leurs démarches.

Finalement, on doit également avoir un organisme qui aurait pour mandat de valider la résilience des systèmes informatiques en simulant des attaques impromptues sur les systèmes et en informant les entreprises lorsqu’on y voit des failles, un peu comme si on transmettait un vaccin numérique aux réseaux informatiques québécois.

Comme je le dis souvent : la prochaine « fin du monde » ne viendra pas par des pandémies incontrôlables, mais par le contrôle absolu de nos réseaux informatiques. Où est donc notre champion, ce Pompée des temps modernes qui nous protégera ?

* L’auteur cumule plus de 30 ans d’expérience dans le développement de produits de haute technologie dans le domaine de la vision par ordinateur, des systèmes d’imagerie, du développement web et de la gestion de projet. Depuis 2013, il agit comme directeur de la recherche dans un centre de recherche appliquée situé à Québec dont la mission est d’aider les entreprises à innover.