BLOGUE INVITÉ. À la suite du webinaire de Mondata du 28 mars dernier en collaboration avec Les Affaires, plusieurs personnes m’ont demandé de rendre l’information présentée disponible afin de la partager plus facilement avec leurs collègues et leur entourage. Quoi de mieux qu’un article pour résumer le contexte de cyberguerre dans lequel nous nous trouvons ainsi que les tendances présentées lors du webinaire?
Le contexte géopolitique et technologique
Le contexte de guerre dans lequel nous sommes a exacerbé les conflits partout à travers le monde. Les cyberattaques sont une nouvelle façon de faire la guerre à une autre nation, sans lui faire de déclaration de guerre officielle.
C’est d’ailleurs pour cette raison que plusieurs nations investissent de plus en plus de temps et de ressources pour augmenter leur force de frappe numérique. C’est le cas au Canada, avec le Centre de la Sécurité des Télécommunications (CST), qui est autorisé à mener des opérations défensives et actives. Les cyberopérations actives permettent au CST de mener des activités en ligne pour perturber les capacités des menaces étrangères contre le Canada, comme les services de renseignements d’un pays tiers.
Les objectifs derrière ces types de cyberopérations peuvent varier d’un pays à l’autre. Ils peuvent se séparer en quatre catégories principales, soit l’espionnage, l’économie, le sabotage et le financement.
Les nations ont donc des groupes qui se spécialisent dans les cyberattaques et s’associent avec plusieurs personnes pour atteindre leurs objectifs. Cela va parfois jusqu’à rendre disponible l’information nécessaire pour que des criminels indépendants puissent participer à l’attaque, faisant ainsi plusieurs victimes collatérales.
Ce contexte géopolitique entraîne également des changements législatifs et de nouvelles exigences pour les entreprises dans plusieurs pays. Par exemple, pensons aux nouvelles certifications obligatoires que certains fournisseurs de services doivent obtenir pour faire affaire avec le gouvernement américain ou au projet de loi fédéral C-26 au Canada qui édicte notamment une nouvelle loi sur la protection des cybersystèmes essentiels pour une protection accrue de ces systèmes importants pour notre sécurité nationale et publique. Ces deux exemples illustrent certaines réactions des gouvernements au contexte géopolitique actuel et la liste complète est très longue.
Au niveau du contexte technologique, on ne peut passer sous silence les dernières avancées en matière d’intelligence artificielle. Par exemple, des logiciels comme ChatGPT seront des outils de plus en plus utilisés par les criminels, notamment pour trouver des vulnérabilités ou pour produire du code malveillant. De plus, l’utilisation de la blockchain
comme argument justifiant une sécurité sans faille ne peut malheureusement plus être utilisé, sachant que cette technologie est, elle aussi, sujette à diverses vulnérabilités pouvant avoir des impacts importants si elles sont exploitées.
Tendance 1 – Les techniques de cyberguerre
Comme il nous a été possible de le constater avec l’histoire de NotPetya, un malware contrôlé par la Russie dont l’un des objectifs était d’affaiblir l’Ukraine avant l’attaque militaire, les techniques de cyberguerre sont maintenant disponibles pour les criminels près de chez vous.
Dans le cas de NotPetya, le malware a été distribué par du phishing et par une mise à jour d’un logiciel de comptabilité connu et utilisé par de nombreuses entreprises. Les principaux impacts ont notamment concerné la chaîne d’approvisionnement, impliquant de grandes pertes financières.
De plus, un élément marquant est le refus de la compagnie d’assurance Zurich d’indemniser l’une des compagnies touchées en évoquant l’exclusion d’acte de guerre à la police d’assurance cyberrisques.
Considérant que l’armement devient de plus en plus disponible pour les criminels et que la fréquence et la sophistication des cyberattaques n’iront qu’en augmentant, nous pensons qu’il sera de plus en plus difficile pour les entreprises d’avoir accès à une cyberassurance sans avoir en place de fortes mesures de sécurité au préalable et que les polices d’assurance contiendront de plus en plus d’exclusion à l’indemnisation en cas de cyberattaque.
Tendance 2 – Cybercrime « as a service »
Le cybercrime implique maintenant un travail à la chaîne assez élaboré. En effet, il existe maintenant plusieurs rôles clés dans la réalisation d’une cyberattaque complexe, qui sont tous effectués par des personnes différentes. Par exemple, les criminels qui développent les malware ne seront probablement pas les mêmes qui le distribueront ou qui procèderont à l’échange des données exfiltrées contre de l’argent ou autres types d’actifs. Ces derniers ne s’occuperont possiblement pas non plus du blanchiment d’argent par la suite.
Ce travail à la chaîne fait en sorte que chaque personne impliquée ne fait qu’une petite partie du travail et permet à des amateurs de participer à des cyberattaques plus complexes. Cela rend également le processus judiciaire plus ardu, puisqu’il devient très difficile pour les autorités de retracer chaque personne ayant joué un rôle dans l’attaque ainsi que l’ampleur du rôle joué par chacun.
Tendance 3 – Encryption, extorsion et législation
Jusqu’à maintenant, on voyait fréquemment cette série d’événements lors d’une cyberattaque : les criminels encryptent les données et demandent de l’argent en échange de la clé de décryption. Maintenant, de plus en plus de compagnies victimes ont de bonnes copies de sauvegardes et elles n’ont donc pas besoin de payer pour récupérer les données encryptées. C’est pourquoi les criminels vont parfois directement à l’étape suivante, soit la menace de publier les données. Ces menaces sont même parfois faites aux clients et aux partenaires des compagnies victimes.
Cette tendance implique de faire très attention aux techniques de bluff qui sont utilisées par les criminels, qui n’ont peut-être pas accès à toutes les données qu’ils prétendent vouloir publier. Essayez d’avoir les mesures de sécurité en place pour détecter les potentielles exfiltrations de données et il sera ainsi plus difficile de bluffer avec vous.
Ces derniers tentent parfois également de vous convaincre de vous entendre à l’amiable avec eux, plutôt que d’aviser les autorités concernées. Attention à ces propositions d’ententes à l’amiable! On a qu’à regarder le cas d’Uber et la condamnation à une peine de prison de leur ancien chef de la sécurité pour se rendre compte qu’il n’est jamais une bonne idée d’essayer de camoufler un tel incident.
Tendance 4 – La protection de la vie privée, un différentiateur important
De plus en plus de gens sont sensibilisés à l’importance de leur vie privée. Cela découle notamment de plusieurs situations où de grandes compagnies qui collectent énormément de renseignements personnels ont utilisé ces renseignements sans aviser préalablement les personnes concernées, leur entraînant ainsi des préjudices.
Un exemple récent de ce type d’utilisation secondaire de renseignements personnels découle de la décision Dobbs de la Cour Suprême des États-Unis qui supprime la protection constitutionnelle de l’avortement. Cette décision soulève plusieurs questions en matière de vie privée, considérant qu’il est maintenant illégal dans plusieurs états américains de procéder à un avortement et que plusieurs femmes ont des applications de suivi du cycle menstruel et ont activé les données de géolocalisation sur leur téléphone. Il serait donc possible de savoir quelles femmes sont enceintes et quelles femmes ont visité une clinique d’avortement.
Cette situation est très inquiétante et pousse à une réflexion collective sur le pouvoir qu’ont réellement les organisations en possession de toutes ces données.
Il en résulte que les entreprises qui ne seront pas transparentes dans leurs utilisations des données qu’elles collectent se verront boudées par les consommateurs. Au-delà de cet enjeu de compétitivité majeur, les entreprises qui ne sont pas transparentes devront faire face à de plus en plus de sanctions découlant de lois de protection des renseignements personnels qui sont nombreuses à entrer en vigueur partout dans le monde, ainsi qu’à des actions collectives qui, nous le pensons, seront de plus en plus nombreuses.
Tendance 5 – Tout le monde vend de la cybersécurité
Enfin, la dernière tendance parle d’elle-même. Comme personne n’est maintenant à l’abri d’être la victime d’une cyberattaque, notamment en raison de notre contexte géopolitique et technologique actuel, la cybersécurité est maintenant un requis primordial pour toutes les entreprises, peu importe leur secteur d’activité.
Cela fait en sorte que beaucoup d’entreprises y voient un secteur d’affaires prometteur et décident d’ajouter la cybersécurité à leur offre de services actuelle. Il faut donc faire de plus en plus attention à la qualité et l’étendue des services réellement proposés par vos fournisseurs. Pour vous aider à choisir le bon partenaire de cybersécurité, nous vous invitons à lire cet article publié en février sur ce blogue : «La cybersécurité c’est le Far West» | LesAffaires.com.
*Cet article a été rédigé en collaboration avec Me Ariane Ohl-Berthiaume, Responsable des affaires juridiques chez Mondata.