LA CYBERSÉCURITÉ, UN IMPÉRATIF COMMERCIAL. BlackCat, LockBit, Karakurt, Qilim… ce sont probablement des noms qui ne vous disent rien, mais le président et copropriétaire de Cypfer, Ed Dubrovsky, les connaît bien.
Il s’agit de groupes de cybercriminels qui mènent des attaques informatiques au Canada et partout dans le monde avec lesquels il doit négocier lors de demandes de rançons.
Celui qui a fondé sa firme de sécurité informatique en 2017 à Toronto est un oiseau rare au Canada. Il se spécialise dans les cyberattaques et dans les pourparlers avec des criminels qui ont pris en otage les données et le système informatique d’entreprises ou d’organismes publics et sans but lucratif.
« J’ai mené près de 4000 négociations depuis sept ans, dit-il en entrevue téléphonique. Il y a eu de nombreux dossiers au Québec. La langue française ne constitue pas un obstacle pour les bandits. »
« Parfois, je réussis à faire baisser le prix de la rançon à presque rien, mais c’est rare, poursuit-il. Cela m’est même arrivé de voir un cybercriminel s’excuser et rendre les accès, mentionne-t-il. Un des cas concernait un hôpital et l’autre un établissement religieux, car le criminel était croyant! »
Selon son expérience, le montant moyen déboursé par les entreprises est de 900 000 $, mais il varie entre 90 000 $ et 10 millions de dollars (M$).
« Chaque cas est différent, mentionne-t-il. La rançon représente souvent de 3 % à 4 % du revenu annuel de l’entreprise. Dans tous les cas, l’assureur de l’entreprise doit être mis au courant avant de verser quoi que ce soit. »
Même dans les cas où les entreprises réussissent à récupérer leurs données, les coûts pour y parvenir sont élevés et les délais peuvent être importants.
« Il arrive qu’on n’ait aucune idée quand le “hacker” est entré, remarque Alain Parent, gestionnaire du centre des opérations de sécurité à Precicom Technologies. C’est ultracomplexe de le faire sortir. La seule méthode est de débrancher l’Internet, mais c’est parfois inconcevable pour l’entreprise. J’ai un client dont l’attaquant était dans le système depuis huit mois. On ne pouvait pas perdre huit mois de données. On a recommandé de créer un système neuf en restaurant seulement les données brutes, mais c’est fastidieux et cela prend facilement quelques semaines. »
Dangers accrus
De manière générale, les spécialistes s’entendent pour dire que les cyberattaques sont plus fréquentes qu’avant. « Le nombre d’attaques pour des rançons a explosé, souligne Guillaume Caron, président de Vars, la Division en sécurité de l’information de Raymond Chabot Grant Thornton. C’est tellement facile sur le Web caché («dark Web») de se doter d’outils et de listes de victimes potentielles. »
Même pour quelques dizaines de dollars, un client mécontent ou un concurrent malveillant peut se payer sur Internet une agression contre un site qu’il n’aime pas afin de le paralyser.
Selon un sondage mené par Léger dévoilé en février dernier par la firme de solutions d’affaires, technologiques et infonuagiques Novipro, le quart des entreprises canadiennes interrogées en 2021 reconnaissaient avoir déjà été attaquées dans le passé. Parmi les victimes de rançongiciels, 56 % ont déclaré avoir versé une somme aux cybercriminels pour ravoir leurs données cryptées.
Dans le cas des infiltrations pour extraire des données, le travail à domicile a accru les failles, et la multiplication du nombre d’objets connectés à Internet (du frigo de votre maison en passant par les machines en usine) constitue autant de nouvelles possibles portes d’entrée pour les pirates.
« Les entreprises sont numérisées davantage et elles travaillent de plus en plus avec des tiers, souligne Guillaume Caron. Toute cette technologie qu’on implante, on n’analyse pas le risque lié à ces nouveaux outils. Elles ont souvent une confiance aveugle envers de gros fournisseurs. Mais leur rôle à eux, c’est de te vendre une solution, pas de t’assurer de la sécurité de ton entreprise. »
La numérisation de l’économie est ainsi une manne pour ces criminels hyperspécialisés. « Ils sont extrêmement bien organisés, note Martin Berthiaume, fondateur de la firme de cybersécurité Mondata et blogueur invité pour « Les Affaires ». Ils se séparent parfois les tâches. Un groupe entre dans le système d’une PME, puis vend cela à une autre qui fait la collecte et le tri des données, tandis qu’un dernier groupe procède à l’exfiltration et au chantage. »
Le négociateur Ed Dubrovsky souligne que le pouvoir de la victime réside dans le fait de vouloir payer ou non. Tant que cette incertitude persiste, le malfaiteur ne saura pas sur quel pied danser.
« Le problème, c’est que de nombreux négociateurs suivent un script qui se ressemble. Si le criminel comprend qu’il fait affaire avec un négociateur, il saura que l’entreprise va probablement payer. Il faut donc être très créatif. »
Par conséquent, le négociateur fait tout pour que ceux qui exigent une rançon croient qu’ils discutent avec quelqu’un de l’entreprise qui n’a pas d’expérience dans ce genre de situation.
En fin de compte, c’est le patron qui décide s’il faut payer ou non. Même si cette « décision d’affaires » ne le regarde pas, le négociateur aide son client dans ses calculs.
« Ce doit être un choix rationnel et non émotif, dit-il. Il vaut mieux payer 100 000 $ que de perdre 1 M$ en arrêt de production. Dans de nombreux cas, c’est une question de vie ou de mort. C’est ça ou perdre l’entreprise. »
Puisqu’il connaît bien la vingtaine de groupes cybercriminels très organisés qui écument la planète, il sait généralement s’ils sont fiables ou non.
« La plupart des attaques sont menées par des groupes qui ont une réputation et qui y tiennent, note-t-il. Le danger, ce sont des rebelles qui pourraient soit exiger davantage par la suite ou simplement ne pas rendre les données telles que promises. Il y a toujours un risque. »
De son côté, la Gendarmerie royale du Canada recommande « fortement à ne pas payer la rançon ».
Tête dans le sable
Des attaques médiatisées, comme celle vécue récemment par BRP, après laquelle de nombreux secrets industriels ont été publiés sur le Web caché par les pirates en guise de représailles, ont certainement attiré l’attention des chefs d’entreprises du Québec.
« J’ai eu des appels par rapport à cette affaire, reconnaît Martin Berthiaume. Des clients potentiels qui étaient intéressés par mes services, mais pour qui ce n’était pas une urgence, ont pris conscience du danger. Surtout dans le secteur manufacturier. Ils se rendent compte qu’être 10 jours “offline”, ils ne seraient pas capables de passer à travers ça. »
Malgré tout, il estime qu’il y a encore trop de PME qui se croient trop petites pour être attaquées. « Pour un criminel qui demande une faible rançon, disons 20 000 $, c’est payant s’il n’a pas à travailler fort. »
Patrick Jean-Baptiste, président et fondateur de Sunphinx, première entreprise québécoise et francophone à recevoir la certification CyberSécuritaire Canada, fait le même constat.
« Ce n’est plus une question si cela va t’arriver ou non, mais quand l’attaque surviendra », affirme celui qui s’est lancé dans ce domaine après avoir été lui-même victime d’un vol de renseignements personnels en 2004.
« Les PME ne sont pas bien protégées, dit-il. Je connais des entreprises qui ont payé pour avoir une partie des données. Elles ont eu leur leçon. »
Celui qui travaille énormément avec les PME estime que ces dernières ont peu d’expertise en interne. Par manque de ressources et face à la pénurie de main-d’œuvre en TI, les PME sont « laissées à elle-même ». Selon lui, elles auraient avantage à s’appuyer sur un tiers spécialisé dans ce domaine.
En attendant, il recommande de mettre en place quatre pratiques de base en cybersécurité :
1 – L’authentification multifacteur pour les données sensibles et les portails administrateurs. Le simple mot de passe devrait être aboli. Il faut se doter d’un système de double authentification.
2 – L’installation d’un système EDR (« Endpoint Detection and Response »)
Installé sur les postes des utilisateurs, cet outil surveille 24 h sur 24 le système informatique pour détecter des comportements suspects ou des codes malicieux. « C’est comme un antivirus, mais en mieux », affirme Patrick Jean-Baptiste.
3 – Avoir des copies de sauvegarde hors site
Il faut conserver des copies de ses données ailleurs que dans son serveur de base. En cas de désastre, on peut récupérer cette copie, qui doit être chiffrée, note-t-il.
4 – Avoir un plan de réponse déjà préparé
En cas d’agression, il faut savoir quoi faire, qui alerter. Un document qui décrit les étapes qui doivent être suivies à la suite d’une attaque doit être prêt.
« Mieux vaut prévenir que guérir, conclut le président de Sunphinx. Si vous mettez en place les contrôles pour réduire les risques, cela va vous coûter moins cher en cas d’attaque. Par conséquent, les PME doivent avoir un budget en cybersécurité chaque année, c’est essentiel. »
Qui est le maillon faible?
Les employés sont montrés du doigt comme étant ceux qui ouvrent la voie aux acteurs malveillants, notamment en tombant dans le panneau de l’hameçonnage. Il est vrai que l’inconscience ou l’insouciance de certains permettent des intrusions, mais la réalité est plus complexe.
« On entend souvent que les employés constituent le maillon le plus faible, mais ce n’est pas leur faute, car ce sont eux les plus négligés lorsque vient le temps d’établir un plan de cybersécurité, soutient Theo Zafirakos, chef de la sécurité informatique de Terranova. La cybersécurité n’est pas seulement une question de TI, mais un risque d’affaires, donc les solutions touchent toutes les divisions. »
« L’angle mort, c’est souvent la sensibilisation des gestionnaires », renchérit Marcel Labelle, président et directeur général de Cybereco, un organisme sans but lucratif qui regroupe des entreprises afin de favoriser le développement d’une main-d’œuvre en TI et de trouver des solutions technologiques efficaces. « Avec tout ce qui se passe, les dirigeants devront être plus à l’affût. Si tu ne barres pas ta porte, cela devient facile de voler ton auto. »
Malgré leur bonne volonté, les cadres sont mal outillés en matière de cybersécurité.
« Ils n’ont pas les compétences pour savoir s’ils sont sécurisés ou non, fait valoir Guillaume Caron, président de Vars. Ils s’en remettent à leur équipe des TI. Mais un des défis dans l’industrie, c’est qu’on demande au service des TI de s’autoévaluer et de s’autosurveiller. Je crois que toute entreprise devrait avoir recours à une entreprise externe pour un diagnostic et des conseils en matière de cybersécurité. »
Pour les PME qui n’ont pas les ressources en interne, impartir le volet technique de la sécurité informatique est incontournable. Mais il faut faire attention de ne pas s’arrêter là.
« Le hic, c’est que les entreprises croient trop que les outils technologiques règlent tout, note Dmitri Vitaliev, patron de la firme montréalaise eQualitie. Il n’y a pas un logiciel magique qui solutionne les problèmes. »
D’après lui, la cybersécurité repose sur trois composants. Premièrement, la direction doit en faire une priorité et mettre en place des processus clairs et compréhensibles. Deuxièmement, les employés doivent comprendre ces politiques, donc ils doivent être formés et équipés pour ne pas faire d’erreurs qui permettent des brèches de sécurité. Finalement, il faut faire de bons choix technologiques, ce qui est l’aspect le plus négligeable des trois, selon lui.
« Inculquer une culture d’entreprise, c’est très important, souligne Martin Berthiaume. Pour que la cybersécurité devienne un réflexe, il faut montrer chaque semaine aux usagers ce qu’ils peuvent améliorer. »
L’entreprise lavalloise Terranova se spécialise dans la formation des employés en matière de sécurité informatique. Elle a éduqué plus de 10 millions de personnes dans 200 pays depuis 2001.
« La sensibilisation a changé, constate Theo Zafirakos. On ne fait plus de cours une fois par année parce que ce n’est pas suffisant. Les gens vont avoir oublié deux semaines plus tard. On préconise donc des activités courtes, mais plus fréquentes, qui peuvent être réalisées quand on veut et qui sont faciles à comprendre. Plutôt que de la lecture, on mise sur des simulations et des « cyberchallenge ». »
Parmi les simulations, il y a l’envoi d’un faux courriel d’hameçonnage à tous les employés qui permet de mettre en pratique la théorie.
« Cela t’amène dans une page qui ressemble à Microsoft où on te demande d’entrer ton courriel et ton mot de passe, précise le cadre de Terranova. En moyenne, on voit qu’une personne sur cinq va cliquer sur le lien. Au total, 15 % des récipiendaires soumettent leur mot de passe. C’est encore trop, mais c’est mieux qu’avant. »
Changement de mentalité
Tous les experts reconnaissent que la cybersécurité est prise bien plus au sérieux qu’avant.
« Les dommages à la réputation, les coûts et les problèmes opérationnels engendrés par les attaques touchent le cœur de la pérennité d’une organisation », souligne Marcel Labelle pour expliquer cette prise de conscience.
Les grosses entreprises ont de l’influence sur les PME, selon Guillaume Caron.
« Les grandes organisations sont préoccupées par les risques créés par de tierces parties, explique-t-il. Quand on échange de l’info avec des fournisseurs, c’est un risque énorme pour elles, car les PME peuvent être des portes d’entrée pour les cybercriminels qui les visent. »
Par conséquent, les PME doivent se munir de normes et de plans de cybersécurité bien établis si elles veulent répondre à des appels d’offres ou décrocher des contrats avec une multinationale. Guillaume Caron croit que la sécurité devient ainsi partie prenant du modèle d’affaires : « Elle ne doit plus être vue comme une dépense, mais comme un investissement pour la pérennité et la croissance d’une organisation. »
Quelques ressources pour mieux vous renseigner
Cybereco possède plusieurs trousses de sensibilisation à la cybersécurité.
Le Centre canadien pour la cybersécurité contient une foule d’informations.
Guide « Pensez cybersécurité pour les petites et moyennes entreprises » du gouvernement fédéral.
Vars présente des webinaires sur la cybersécurité sur son site web.
Quelques statistiques en cybersécurité
Selon Insurance Business Canada, en 2021, le coût moyen d’un incident de violation de données pour une entreprise au Canada a atteint 6,75 millions de dollars (M$), comparativement à 6,35 M$ en 2020.
Selon Upguard, le coût d’une intrusion s’élevait à 4,24 M$ US en 2021, une augmentation de 10 % par rapport au coût moyen en 2019 (3,86 M$).
Selon la firme Gartner, d’ici 2025, 60 % des entreprises se doteront de critères liés à la cybersécurité qui deviendront décisifs dans le choix de leurs partenaires d’affaires.
Selon un coup de sonde de KPGM Canada dévoilé en avril dernier :
- 67 % des entreprises en Amérique du Nord disent qu’elles ont subi une fraude commise par quelqu’un de l’extérieur au cours des 12 derniers mois ;
- Deux tiers des répondants prévoient une augmentation des fraudes internes comme externes pendant cette période ; une proportion encore plus élevée (77 %) s’attend même à une croissance des cyberrisques ;
- 60 % des entreprises sondées disent que le passage au télétravail a entraîné une augmentation du risque de fraude au sein de leur entreprise en raison d’une réduction des capacités de surveillance et de contrôle des comportements frauduleux.
Selon le premier portrait de la sécurité informatique chez les PME québécoises (juin 2022), Devolutions affirme que 85 % d’entre elles se préoccupent de leur cybersécurité, mais que seulement 23 % adoptent l’ensemble des mesures de protection dites de base. Plus de la moitié des répondants affirme que leur entreprise a été victime d’un cyberincident au cours de la dernière année. Les entreprises québécoises ont majoritairement été la cible d’hameçonnage (56 %), de logiciel malveillant ou de virus (42 %) et de rançongiciel (27 %).
Définition des menaces les plus courantes
Voici les menaces informatiques les plus courantes telles qu’elles sont définies par le Centre canadien pour la cybersécurité.
Attaque de l’intercepteur (« man-in-middle ») : attaque qui a pour but d’intercepter les communications entre deux parties, sans que ni l’une ni l’autre ne puisse se douter que le canal de communication entre elles a été compromis.
Attaque par déni de service : l’attaque par déni de service (DoS pour « Denial of Service ») vise à rendre un service inutilisable ou à ralentir l’exploitation et les fonctions d’un système donné. Souvent, une multitude de systèmes compromis visent une même cible. Le flux de messages envoyés est tel qu’il provoque une panne du système ciblé.
Cheval de Troie : un programme malveillant déguisé en un logiciel légitime ou qui y est intégré.
Enregistreur de frappe : logiciel ou dispositif qui enregistre les frappes d’un utilisateur sur le clavier d’un ordinateur compromis. Les frappes sont enregistrées ou transmises dans le but d’obtenir des informations de valeur, comme des mots de passe.
Exploitation sur navigateur : usage abusif des composants d’un navigateur web légitime aux fins d’exécution de code malveillant. La simple visite d’un site web contenant un code malveillant caché peut donner lieu à une exploitation.
Hameçonnage : procédé par lequel une tierce partie tente de solliciter de l’information confidentielle appartenant à un individu, à un groupe ou à une entreprise en les mystifiant ou en imitant une marque commerciale connue dans le but de réaliser des gains financiers. En l’occurrence, les malfaiteurs incitent les utilisateurs à partager leurs renseignements personnels (numéros de carte de crédit, informations bancaires ou autres renseignements) afin de s’en servir pour commettre des actes frauduleux. Le harponnage est la version plus ciblée de l’hameçonnage, qui se fait généralement à grande échelle.
Injection de code : insertion d’un code malveillant dans un programme informatique suivant l’exploitation d’une faille dans un programme ou dans la façon dont ce programme interprète les données saisies par les utilisateurs.
Maliciel : logiciel malveillant conçu pour infiltrer ou endommager un système informatique. Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires.
Rançongiciel : type de maliciel qui empêche tout utilisateur légitime d’accéder à des ressources (système ou données), et ce, jusqu’à ce que les responsables desdites ressources aient payé une rançon.
Ver : programme malveillant capable de se reproduire et de s’exécuter de manière autonome, généralement transmis au moyen de connexions au réseau, dans le but de causer des dommages (ex. : supprimer des fichiers, envoyer des documents par courriel, ralentir le système en saturant la bande passante).
Virus : programme informatique qui se propage en se copiant par lui-même. Les virus informatiques se propagent d’un ordinateur à l’autre, souvent à l’insu de l’utilisateur, et causent des dommages de toutes sortes. Ils peuvent faire afficher des messages irritants, voler des données ou même permettre à d’autres utilisateurs de prendre le contrôle de l’ordinateur infecté.