Nicolas Coulombe, chef de la sécurité au Mouvement Desjardins. (PHOTO Les Affaires)
De toutes les nouvelles menaces qui pèsent sur la cybersécurité des organisations, l’intelligence artificielle est de loin la première selon le chef de la sécurité du Mouvement Desjardins, Nicolas Coulombe.
Ce dernier s’exprimait dernièrement dans une entrevue devant public avec Marine Thomas, rédactrice en chef du journal Les Affaires, dans le cadre de Connexion, le salon de la transformation numérique.
« Ça peut aider les organisations à se protéger des menaces, d’une part, mais ça aide aussi les cybercriminels », affirme M. Coulombe.
Surtout depuis que ChatGPT est accessible au grand public, cela « démocratise l’intelligence artificielle », rappelle M. Coulombe.
Il cite un exemple parmi tant d’autres des possibilités qu’offre cet outil pour les cybercriminels. « Si je suis un pirate informatique, je peux aller valider un code sur ChatGPT, lui demander s’il voit une vulnérabilité et ensuite tenter d’utiliser cette vulnérabilité de façon malveillante. »
Aussi, explique le chef de la sécurité chez Desjardins, les pirates peuvent aujourd’hui mieux « documenter un courriel d’hameçonnage, dans la langue qu’ils veulent et de manière beaucoup plus spécifique et rapide qu’auparavant ».
« De l’autre côté, il y a des outils pour détecter, ajoute-t-il. Il faut trouver l’équilibre entre les deux. Mais il est clair que cela complexifie le travail des gens en sécurité de l’information. »
Dans ce contexte, il n’est donc pas surprenant que dans son dernier rapport sur les plus grands risques à l’échelle planétaire, le Forum économique mondial place la cybercriminalité au 8e rang, tant sur un horizon de deux et de dix ans.
La cybersécurité au quotidien
Pour Nicolas Coulombe, « l’hygiène technologique » est donc plus importante que jamais. Et la cybersécurité doit se vivre au quotidien, pas qu’une seule fois par année ou avec une formation de temps en temps.
Surtout que bien souvent, ce sont les employés qui, sans le vouloir, ouvrent la porte de leur organisation aux criminels du virtuel.
« Plusieurs études montrent que le facteur humain est important. La majorité du temps, c’est un employé qui est bienveillant, mais qui est imprudent et n’a pas respecté un encadrement de sécurité qui a cliqué sur le mauvais lien. Et ça devient un point d’entrée pour les cyberattaquants de faire une attaque plus grande dans une organisation. »
Rappelons qu’en 2019, le Mouvement Desjardins a été victime de la plus grande fuite de données personnelles de l’histoire du Québec. Plus de huit millions de personnes ont été touchées. Un ex-employé de la coopérative est soupçonné d’être à l’origine de la fuite, pour laquelle une entente de paiements de 200 millions a été conclue avec les victimes en 2022.
« Le Bureau de la sécurité a été créé en 2020 à la suite de cet événement. Asseoir les gens ensemble permet de mieux comprendre les stratagèmes et mieux protéger l’organisation », dit Nicolas Coulombe.
Le but, ajoute-t-il, est de s’assurer que toutes les parties prenantes du Mouvement prennent part à la discussion et par le fait même, amènent des pistes de solution.
« Souvent on a le réflexe de faire des simulations avec les départements de technologie. Mais dans une situation de crise, il y a plusieurs parties prenantes. L’équipe des ressources humaines, l’équipe d’approvisionnement… Il y a des questions égales, le département des communications est aussi extrêmement sollicité.
« Si on attend une crise pour se pratiquer avec ces parties prenantes, peut-être on perd une occasion. Alors quand on se pratique, faisons-le avec l’ensemble des parties prenantes. Ils vont apporter des points de vue et des questions qui seront fort différents de l’équipe des technologies. »
Aussi, comme le fait maintenant Desjardins, envoyer des tests d’hameçonnage aux employés est un bon moyen de garder ces derniers alertes. Et par la suite, il importe de s’assurer de bien analyser les statistiques sur celles et ceux qui sont tombés dans le piège.
« Une autre chose que nous regardons est si l’employé a pris le temps de le signaler à l’équipe de sécurité. Un employé qui prend le temps de faire un signalement, ça démontre un engagement », dit Nicolas Coulombe.