S3-Épisode 7 : Démasquer les menaces numériques : Comment se prémunir contre la cybercriminalité

Patricia Kosseim :

Bonjour. Ici Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario, et vous écoutez L’info, ça compte, un balado sur la protection de la vie privée et l’accès à l’information. Nous discutons avec des gens de tous les milieux des questions concernant l’accès à l’information et la protection de la vie privée qui comptent le plus pour eux.

Bonjour, chers auditeurs, et merci d’être avec nous. Des atteintes à la vie privée aux escroqueries par hameçonnage, Internet est un véritable paradis pour les escrocs et les pirates qui se cachent dans l’ombre. Ils cherchent toujours à voler des données sensibles détenues par des organisations ou à inciter des personnes à divulguer des renseignements personnels, compromettant ainsi leur vie privée et leur situation financière. Nous en entendons parler presque tous les jours, avec des reportages sur des attaques visant des organisations, petites et grandes, notamment par le biais de rançongiciels, et dont les conséquences peuvent être dévastatrices. Les organisations touchées peuvent se voir privées des données dont elles ont besoin pour leurs activités et ne plus pouvoir fournir les services dont les citoyens dépendent, elles s’exposent à un risque de vol d’identité, de pertes économiques et d’atteintes à leur réputation. Il faut des années pour instaurer la confiance dans une organisation, mais il suffit de quelques secondes pour que tout s’écroule à la suite d’une cyberattaque.

Dans notre monde de plus en plus connecté, où les atteintes à la vie privée et les menaces en ligne sont devenues monnaie courante, il est plus important que jamais de comprendre les dangers numériques qui nous guettent. Que vous soyez amateur de technologie, professionnel à la recherche d’informations ou simple citoyen, cet épisode vous est destiné. Nous explorons en profondeur le monde de la cybersécurité avec notre invité, Jason Besner. Il est directeur des partenariats au Centre canadien pour la cybersécurité. Son groupe est chargé de gérer des partenariats stratégiques au Canada et à l’étranger afin de protéger la cybersécurité des Canadiens. Jason, bienvenue au balado et merci de vous joindre à nous aujourd’hui.

Jason Besner :

Je suis très heureux d’être avec vous. Merci.

PK :

Pour commencer, pouvez-vous nous parler un peu de votre parcours et de ce qui vous a conduit au travail fascinant que vous exercez actuellement?

JB :

Cela fait maintenant 21 ans que je travaille pour le Centre de la sécurité des télécommunications, dont le Centre canadien pour la cybersécurité fait partie. J’y suis arrivé après le 11 septembre. On s’intéressait beaucoup à la sécurité, cela correspondait vraiment à ma formation, à mes valeurs, et je voulais faire partie de la fonction publique, alors j’ai travaillé dans le domaine des activités relatives à la sécurité et au renseignement pendant 13 ou 14 ans, dont trois en détachement au SCRS. Je suis au Centre canadien pour la cybersécurité depuis maintenant huit ans, et j’ai eu la chance de diriger des équipes super compétentes sur les aspects touchant les interventions en cas d’incident, l’évaluation des menaces stratégiques, l’analytique, la découverte et maintenant les partenariats.

PK :

Quel est le mandat du Centre canadien pour la cybersécurité?

JB :

En gros, nous sommes l’autorité technique du Canada en matière de cybersécurité. Nous faisons partie du Centre de la sécurité des télécommunications. Nous représentons une source unifiée d’avis, de conseils et de services spécialisés en matière de cybersécurité pour la population et les organisations canadiennes.

Bien entendu, nous n’agissons pas seuls. Nous collaborons avec d’autres organisations et ministères du gouvernement canadien, ainsi qu’avec des infrastructures essentielles. Nous travaillons avec des entreprises canadiennes, des universités et nos partenaires internationaux, afin de mettre en commun nos talents, nos compétences et nos mandats et de faire équipe pour que le Canada devienne une cible plus difficile pour les cybermenaces.

PK :

D’où votre titre : directeur des partenariats.

JB :

C’est bien ça.

PK :

En termes très simples, Jason, pourquoi la cybersécurité est-elle importante?

JB :

La cybersécurité est importante parce que le risque est plus grand que ne le pensent la plupart des gens, tant pour ce qui est des renseignements personnels que pour les renseignements des organisations et les services essentiels dont nous dépendons. Elle est importante parce qu’il y a toujours des acteurs malveillants qui cherchent à pénétrer dans nos systèmes, à dérober des renseignements, que ce soit par le vol d’identité, la fraude ou des cyberattaques. Il s’agit d’une activité très lucrative. Elle génère beaucoup d’argent. C’est devenu une activité très sophistiquée. Il existe tout un marché clandestin où l’on peut engager des gens pour faire ce genre de travail. C’est très préoccupant, car comme vous l’avez dit, une seule attaque peut avoir des conséquences absolument catastrophiques pour une organisation.

Permettez-moi de vous donner une idée des incidents détectés et signalés : il y en a eu environ 2 000 en 2022-2023, et chaque jour, nous bloquons en moyenne jusqu’à cinq milliards de tentatives malveillantes contre les systèmes du gouvernement du Canada. En gros, environ une attaque sur un milliard de tentatives est fructueuse, mais elle peut causer de vrais ravages dans une organisation, non seulement sur le plan de ses activités actuelles, mais aussi sur celui de ses activités futures, de sa réputation et de toutes les données qu’elle détient sur ses clients et ses partenaires.

PK :

Ouf, voilà des chiffres plutôt sombres. Pouvez-vous nous donner un exemple très concret de l’aide que le Centre pour la cybersécurité peut apporter à une organisation canadienne à la suite d’un cyberincident?

JB :

Nous offrons un certain nombre de services, mais nous conseillons fortement à toute organisation qui croit avoir été victime d’une cyberattaque de communiquer avec nous. Nous disposons d’une équipe de gestion des incidents qui peut fournir des services de criminalistique et d’analytique et même simplement un soutien général sur le processus de gestion des incidents, pour vous guider à travers ce processus, qui comprend de nos jours une stratégie de communication, une stratégie interne, une stratégie de continuité des activités. Il faut tenir compte de nombreux aspects; si vous êtes victime d’une attaque, si vos données sont bloquées ou si vos activités sont interrompues, vous ne saurez pas nécessairement par où commencer, et nous sommes là pour vous orienter.

S’il s’agit d’une affaire criminelle qu’il vaut mieux confier à nos collègues de la GRC, nous les mettrons en contact avec vous. Mais nous utilisons l’ensemble de nos pouvoirs, de notre mandat et de nos partenariats, et nous les mettons à contribution chaque fois que nous apportons notre soutien. Cela comprend nos ensembles de données classifiées provenant des services de renseignement étrangers, ainsi que les informations dont nous disposons de la part de nos partenaires internationaux. Nous disposons donc de beaucoup d’expertise et de données uniques que nous pouvons mettre à profit.

PK :

Vous avez dit que vous étiez dans ce domaine depuis longtemps. En fait, vous avez commencé à vous y intéresser peu après le 11 septembre. Vous êtes donc bien placé pour décrire l’évolution du contexte des cybermenaces au fil des ans et, en particulier, depuis la pandémie. Comment les choses ont-elles changé, selon vous?

JB :

Les cybermenaces ont commencé à suivre une évolution spontanée. Elles ont généré des gains de plus en plus importants, et elles sont devenues plus faciles d’accès pour les cybercriminels. C’est ce que nous avons constaté en voyant le marché se développer et en constatant que les services, les logiciels malveillants, les plateformes d’infrastructure logicielle, tout ce dont on a besoin pour lancer une attaque fructueuse et en tirer profit, tout ça est devenu beaucoup plus facile. Auparavant, il fallait être assez sophistiqué, agir seul ou faire partie d’un groupe chevronné, mais la barre a été abaissée et de plus en plus de gens se lancent dans ce genre d’activités.

En plus de rendre les cybermenaces plus accessibles à un plus grand nombre d’auteurs, la pandémie a vraiment accéléré le nombre de points d’accès potentiels ou ce que nous appelons l’exposition aux cybermenaces. Elle a donc accru cette exposition, en partant de ce qui était auparavant le contrôle au niveau de l’entreprise d’une architecture de sécurité et en étendant ce réseau aux résidences des gens. Avant, il suffisait de bien protéger les appareils, les serveurs et les réseaux, mais désormais, il faut agir très rapidement pour composer avec toutes les nouvelles connexions au réseau, tous les nouveaux appareils qui y sont connectés.

Quand on parle d’exposition aux menaces, on pense à une maison à laquelle on ajoute une nouvelle porte ou fenêtre, qui représente un point d’accès éventuel. Cet accès peut être contrôlé grâce à un verrou, un système d’alarme, etc. La pandémie a élargi l’exposition aux menaces, mais cela ne veut pas dire qu’on ne peut rien faire pour se protéger. Il faut simplement penser aux points d’accès que l’on ajoute et les protéger.

PK :

Vous évoquez en particulier, bien sûr, le télétravail rendu nécessaire en raison de la pandémie, mais les organisations n’avaient pas nécessairement tous les outils en place, y compris les réseaux privés virtuels et les systèmes de sécurité, pour s’adapter à tous ces changements dans un délai aussi court. Pensez-vous que les choses s’améliorent aujourd’hui?

JB :

Je pense que les choses se stabilisent dans le sens où on sait ce qu’il faut faire, mais il y a aussi un virage global plus important vers le travail hybride ou le retour progressif au bureau. Je pense que les organisations tentent de concilier le meilleur des deux mondes du point de vue de leurs activités et de leur personnel, mais je constate qu’un nombre croissant d’organisations, qu’elles soient publiques ou privées, commencent à prendre cela un peu plus au sérieux et à appliquer des normes plus strictes en matière de connexion au réseau de l’entreprise, en introduisant une meilleure segmentation et des privilèges d’accès plus rigoureux. Toutes ces mesures visent à exclure les individus malveillants ou à limiter les dommages qu’ils peuvent causer s’ils parviennent à pénétrer dans le système.

Ces tendances continuent d’évoluer, il suffit de consulter le rapport sur la cybercriminalité publié récemment ou notre évaluation des cybermenaces nationales. Nous intensifions nos efforts pour établir des liens avec un nombre croissant de partenaires afin de renforcer l’équipe, l’équipe de défense, mais les chiffres continuent d’évoluer à la hausse. Je suis optimiste quand je rencontre des groupes, des équipes ou des organisations, mais nous devons toujours rester vigilants.

PK :

Si l’on se projette un peu dans l’avenir, y a-t-il de nouvelles tendances que le centre voit se dessiner à l’horizon? Quels sont les risques émergents que nous observerons au cours des prochaines années?

JB :

Il y a avant tout les risques géopolitiques. Un certain niveau de volatilité pourrait entraîner un conflit entre deux pays, par exemple. Ces conflits traditionnels s’accompagneront d’une augmentation proportionnelle des cyberactivités. C’est quelque chose que nous avons vu, par exemple, entre la Russie et l’Ukraine. Les moyens de guerre conventionnels seront assortis d’une escalade de la cyberguerre.

Ce que je dirais aux Canadiens et à ceux qui ne sont pas directement touchés par le conflit, c’est que les cybermenaces ne sont pas nécessairement circonscrites à un certain environnement ou à un certain territoire. Le rançongiciel WannaCry, publié par des développeurs nord-coréens dans le but de recueillir des fonds, en est un bon exemple. Il a fini par se répandre dans le monde entier, jusqu’à ce qu’il mette hors service le service national de santé du Royaume-Uni. Ce n’était pas l’intention des auteurs de ces logiciels malveillants, mais il faut y penser : si ces individus utilisent une technique particulière contre un réseau électrique, c’est un bon signe pour tous les intervenants du secteur de l’énergie de se mettre à l’œuvre et d’examiner leurs propres moyens de défense.

PK :

Et malheureusement, bien sûr, nous assistons à une intensification des conflits au Moyen-Orient et il est terrifiant de penser à ce qui va en résulter. Quelles sont les mesures de base que les institutions, petites et grandes, peuvent prendre pour lutter à armes égales contre les cybercriminels?

JB :

Il faut avant tout que les cadres supérieurs abordent la question. Il faut un champion, pas nécessairement un service complet dans le cas d’une petite organisation, mais un champion de la cybersécurité, quelqu’un qui soit essentiellement responsable de l’instauration d’une culture de la sécurité, d’une culture de la sensibilisation, d’une culture de la bonne formation et de bonnes pratiques d’hygiène informatique de base. Il ne s’agit pas d’un problème que le service de soutien technique ou le personnel des TI va résoudre pour vous, mais plutôt d’un problème qui exploite non seulement les vulnérabilités techniques, mais aussi le comportement humain, ce que l’on appelle le piratage psychologique. Il appartient donc à chacun de réfléchir à son rôle et de savoir quoi faire s’il est victime d’une attaque.

Et il faut aussi prendre les précautions d’usage. Je dirais à toute organisation, qu’elle soit petite, moyenne ou grande, ou à tout particulier, qu’il est possible de se défendre contre la plupart des cybermenaces en appliquant les règles de base, en utilisant des mots de passe forts et uniques, en recourant à l’authentification multifactorielle et en veillant à installer tous les derniers correctifs sur tout équipement, matériel ou architecture connecté à Internet ou permettant un accès externe.

Voilà ce qui vous permettra de vous défendre contre la plus grande partie des menaces. Qu’il s’agisse d’un État-nation, d’un groupe cybercriminel très sophistiqué ou d’un simple cyberactiviste, on utilise toujours le moyen le moins coûteux et le plus discret de pénétrer dans un réseau. On n’utilise pas un logiciel malveillant de pointe, en développement depuis cinq ans, pour une attaque du jour zéro contre une personne qui utilise un navigateur Web périmé et si on peut entrer directement dans le réseau avec un simple logiciel malveillant trouvé sur Internet.

PK :

Je pense qu’auparavant, les victimes ou les cibles des cybercriminels étaient les grandes et riches entreprises du secteur privé, mais nous constatons que de plus en plus d’institutions publiques sont attaquées par des cybercriminels, en particulier les municipalités, les universités, les écoles, les hôpitaux et les gouvernements. Quelle est l’évolution de cette tendance? Quelle en est la cause et dans quelle mesure les institutions publiques peuvent-elles résister à ce type de cybermenaces?

JB :

Je pense que cette tendance évolue pour deux raisons. Premièrement, les tactiques des auteurs de rançongiciels ont quelque peu changé : ils ne se contentent plus de verrouiller les informations en attendant qu’on leur verse une rançon pour y avoir accès. Ils menacent désormais de dévoiler des informations, comme des renseignements identificatoires sur des clients, par exemple, ce qui risque de nuire à la réputation de l’organisation. Ils ciblent donc des organisations qui ne peuvent tout simplement pas se permettre de prendre ce risque, dans l’espoir que cela permette de négocier un paiement plus rapidement.

Ils ciblent également des organisations publiques qui ne peuvent tout simplement pas se permettre d’être hors ligne. Il s’agit d’hôpitaux, de services de police, de services d’urgence, de services vitaux dont les gens ont besoin et, malheureusement, les cybercriminels le savent. Ils savent qu’ils ne peuvent pas être hors ligne et que la pression sera immédiate si leur attaque est fructueuse. Ce sont là deux raisons : un changement de tactique et une sophistication un peu plus grande dans le choix des cibles que nous constatons de la part des cybercriminels.

Je dirais qu’il y a cinq ans, les cybercriminels privilégiaient les méthodes aléatoires; ils trouvaient une vulnérabilité et attaquaient n’importe quel système vulnérable. Ils ne savaient même pas nécessairement quelles organisations seraient vulnérables avant de parvenir à pénétrer dans le système, et que ce dernier leur signale qu’il y a un système à attaquer. Maintenant, comme vous l’avez dit, ils ciblent davantage les entreprises les plus riches, mais aussi, malheureusement, les services d’urgence et d’autres organisations du même genre qui ne peuvent pas se permettre d’être hors ligne.

PK :

En fait, je pense que nous observons des tendances dans le nombre d’organisations attaquées qui paient des rançons et dans le montant des rançons qu’elles paient. Est-ce exact?

JB :

Vous avez tout à fait raison. En 2022, le montant moyen d’une rançon s’élevait à plus de 250 000 dollars canadiens. La tendance est donc nettement à la hausse depuis quelques années.

PK :

C’est là une somme considérable pour n’importe quelle organisation, sans parler des institutions publiques qui sont à court de ressources. Votre titre est celui de directeur des partenariats, alors parlons-en un peu. Avec qui travaillez-vous en partenariat et à quoi ressemble un partenariat avec le Centre pour la cybersécurité?

JB :

Nous travaillons en partenariat avec des infrastructures critiques canadiennes, mais mon mandat dans le cadre de ces partenariats consiste à travailler avec des organisations qui n’ont peut-être jamais entendu parler du CST, à leur faire connaître le Centre pour la cybersécurité et à les renseigner sur ce que nous pouvons faire. Je veux que les organisations qui ont besoin de nos services bénéficient de tout le soutien du Centre pour la cybersécurité, qui s’appuie sur toutes les missions du CST. Il repose sur des renseignements classifiés uniques, des services et une expertise qui sont la référence en matière d’équipes de cyberdéfense. C’est donc une campagne de sensibilisation qui a pour but d’inciter les gens à réfléchir sérieusement aux menaces, à investir et à établir des priorités en conséquence et à faire en sorte qu’ils considèrent les cyberrisques au même titre que les autres risques auxquels leur organisation est exposée, puis à essayer de mettre les conseils, l’orientation et les services du Centre pour la cybersécurité à la disposition du plus grand nombre possible d’organisations, d’universités, de centres de recherche et d’autres ordres de gouvernement du Canada. Il s’agit donc essentiellement d’établir ces liens.

Comme nous ne pouvons pas le faire dans le cadre d’une relation individuelle, une grande partie de ma stratégie et de ce que nous avons appris au cours des quatre dernières années au Centre pour la cybersécurité consiste à trouver des agrégateurs et des amplificateurs. Dans la mesure du possible, nous essayons de collaborer avec des organisations qui peuvent ensuite amplifier notre message sur la nécessité de prendre leur cybersécurité plus au sérieux.

PK :

Cela comprend, j’imagine, les fournisseurs de services dont dépendent de nombreuses organisations et qui sont, je pense, de plus en plus souvent la cible de cyberattaques parce que de telles attaques peuvent, d’un seul coup, mettre hors service de nombreuses organisations qui dépendent de ces fournisseurs de services. Qu’en pensez-vous?

JB :

Tout à fait. L’un des secteurs d’infrastructures critiques avec lequel nous entretenons des relations étroites est celui des technologies de l’information et de la communication, qui comprend de nombreux grands fournisseurs de technologies et de services de sécurité gérés, qui ont des centaines de milliers de clients. Nous essayons de collaborer avec eux également afin de les conseiller et de leur proposer des mesures de sécurité qu’ils ne connaissent pas pour protéger les Canadiens, car nous voulons toujours savoir, dans le secteur de l’électricité et de la santé, sur qui vous comptez. Sur quelle technologie vous appuyez-vous? Et peut-être que nous collaborerons avec eux, s’ils ont une tâche à accomplir, s’ils sont à court de ressources. Nous essayons de réaliser des progrès indirects afin d’amplifier les résultats et l’impact pour les Canadiens.

PK :

Je vois. Le Parlement a adopté récemment une loi, la Loi sur la protection des cybersystèmes essentiels, afin de protéger les infrastructures essentielles du Canada, qui vise à atténuer les risques et prévoit qu’il faut signaler obligatoirement les incidents, et à favoriser le type de collaboration dont vous parlez entre les entités gouvernementales et les exploitants d’infrastructures essentielles, notamment par le partage de renseignements. Quels changements cette loi est-elle susceptible d’apporter?

JB :

Cette loi fait certainement avancer les choses, ce que je trouve excellent. Les échanges que nous avons aujourd’hui avec nos secteurs portent sur les normes, les niveaux de référence, quand et avec qui partager des informations pour obtenir un soutien, et à quel stade. Ce sont là d’excellents échanges. Tous les conseils, l’orientation, l’expertise et les services du Centre pour la cybersécurité sont facultatifs. Nous ne sommes pas un organisme de réglementation et il n’est pas obligatoire de suivre nos conseils. Je pense donc qu’il est très important de tenir ces discussions pour comprendre quel est le seuil, ce que vous pouvez gérer vous-même, en quoi vous êtes responsable de certaines informations qui appartiennent aux Canadiens, de certaines informations qui appartiennent à des partenaires ou à des services essentiels dont vous dépendez, et il nous incombe, en tant que société, de collaborer sur ce point et de veiller à ce que soit mis en place un niveau de sécurité de base afin de protéger ces systèmes.

Le projet de loi propose essentiellement d’établir une norme pour quatre secteurs particuliers. Il s’agit des télécommunications, du secteur financier, du secteur de l’énergie et du secteur des transports, puis de demander à des organismes de réglementation d’établir des normes et d’en assurer le respect. Le Centre pour la cybersécurité a pour rôle de fournir des conseils, des orientations et de l’expertise aux propriétaires et aux exploitants des systèmes d’infrastructures critiques. Nous fournirons également ces conseils et ces orientations aux organismes de réglementation.

Notre rôle consiste essentiellement à aider toutes les parties concernées pour que la norme et les menaces soient pragmatiques et fondées sur l’expérience. Les exploitants de systèmes seront également tenus de signaler les cyberincidents et leur nature. Un régime d’échange de renseignements sera instauré pour permettre au Centre pour la cybersécurité d’avoir une meilleure vue d’ensemble, car nous nous concentrons bien sûr sur l’étranger. Notre mandat porte sur le renseignement étranger, et nous disposons d’une autorisation ministérielle qui nous permet de défendre les ministères fédéraux. En ce qui concerne les infrastructures critiques, nous sommes très tributaires de l’échange de renseignements. Nous attendons des Canadiens qu’ils nous signalent les incidents. Nous attendons des secteurs qu’ils nous communiquent des informations afin que nous puissions comprendre les menaces de leur point de vue et faire en sorte que nos conseils et nos orientations soient pertinents et utiles.

PK :

De tout temps, les organisations ont été réticentes à l’idée de partager des renseignements avec les pouvoirs publics dans le domaine de la cybersécurité. Pensez-vous que cela change progressivement?

JB :

Je pense qu’il y a une certaine hésitation à partager des renseignements non seulement avec le gouvernement, mais aussi au sein de son propre secteur et de sa propre communauté. Et il y a aussi la question de la concurrence et de la réputation de l’entreprise. Quand d’autres variables entrent en jeu, comme le privilège juridique et les obligations contractuelles si une organisation a déjà retenu les services d’un fournisseur de services de sécurité gérés, il faut en tenir compte. C’est un aspect avec lequel nous devons composer.

Nous avons fait beaucoup de progrès dans certains secteurs de sorte que des organisations rivales mettent cela de côté, car tout le monde sait que si un pirate informatique frappe à sa porte, il ira probablement frapper à celle de son voisin ensuite. Nous sommes parvenus à constituer des communautés d’intérêts au sein des secteurs et à les encourager à échanger entre elles, et nous jouons le rôle de facilitateur. Nous apportons notre expertise, mais c’est lorsque les organisations échangent des renseignements entre elles que les choses fonctionnent le mieux. Il faut beaucoup de temps pour instaurer cette confiance. Je pense que les organisations qui collaborent avec le gouvernement doivent évidemment y voir une valeur ajoutée, et c’est ce que nous essayons d’apporter. Nous essayons d’apporter une valeur et des informations uniques à ces organisations, et j’espère que cela portera des fruits.

PK :

Je voudrais maintenant aborder la question de la diffusion croissante de fausses informations et de désinformation en ligne, qui semble devenir de plus en plus répandue. Le Centre pour la cybersécurité a-t-il observé des tendances particulières quant à la diffusion de fausses informations en ligne?

JB :

C’est en 2016, lors des élections américaines, que nous avons commencé à y accorder beaucoup d’attention, comme la plupart des pays du monde, au départ pour ce qui est de l’ingérence dans le processus électoral, mais par la suite, nous avons vite constaté que certaines de ces tactiques étaient perçues comme efficaces et qu’elles commençaient à se répandre au-delà de l’ingérence dans le processus électoral ou de la désinformation strictement liée à la scène politique. Nous avons commencé à observer de la désinformation dans les nouvelles et des chambres d’écho se développant partout sur Internet dans toutes sortes de domaines. Nous avons constaté que ces tactiques étaient perçues comme étant efficaces, et beaucoup d’autres personnes ont commencé à les adopter pour amplifier leur message ou leur position, sans nécessairement s’appuyer sur des faits avérés.

Ce que nous observons plus récemment, c’est l’utilisation de techniques et d’outils d’intelligence artificielle gratuits et accessibles pour amplifier ce phénomène et diffuser le message encore davantage. Nous assistons donc à une forte intensification de ce phénomène. C’est inquiétant. En tant que professionnel de la cybersécurité, en tant que citoyen et contribuable, il est préoccupant de constater qu’une grande partie de la population n’est pas nécessairement informée par les médias. Je pense que notre première évaluation nationale des cybermenaces a révélé qu’un grand nombre de Canadiens s’informent par l’intermédiaire des médias sociaux. Il est probablement plus important aujourd’hui que jamais de rester à l’avant-garde, de reconnaître ce phénomène et d’examiner les informations d’un œil critique.

PK

L’IA peut assurément aider les cybercriminels, mais peut-elle aussi vous aider à remplir des mandats tels que le vôtre?

JB :

Ravi que vous me posiez cette question. En fait, nous utilisons depuis un certain temps l’apprentissage automatique, qui est un sous-ensemble de l’intelligence artificielle, au Centre pour la cybersécurité. Nous disons que nos défenses fonctionnent 24 heures sur 24, 7 jours sur 7, et bien que nous ayons toujours du personnel en service 24 heures sur 24, 7 jours sur 7, la plupart de nos défenses sont automatisées et fonctionnent en permanence, sans intervention humaine. Il s’agit d’une analyse de premier niveau, et nous avons deux moyens de déceler les incidents que l’on appelle déterministes, lorsque nous savons qu’un site Web ou une adresse IP en particulier est une source malveillante. Nous ne laissons donc pas nos réseaux se connecter à ce site ou à cette adresse, mais son emplacement change. Généralement, cette information n’est pertinente que pendant quelques heures, après quoi l’individu malveillant adapte ses techniques.

Il est beaucoup plus judicieux d’axer ses défenses sur les comportements anormaux, les systèmes ou les processus au sein de vos réseaux qui ne se comportent pas comme prévu, ce qui permet d’introduire un peu de variables ouvertes, ou de variables non déterministes. Nous utilisons l’apprentissage automatique, essentiellement, pour programmer des modèles; par exemple, voici un modèle qui correspond à un comportement acceptable et voici un modèle qui correspond à un comportement suspect. Si nous sommes certains de pouvoir détecter un comportement suspect sans faux positif ou avec un taux de faux positif très, très faible, nous pouvons agir en conséquence. Mais si le risque de faux positif est plus élevé, le dossier est alors soumis à une analyse humaine.

PK :

Voilà un bel exemple de lutte contre une menace en perpétuelle évolution, qui ne réapparaît jamais sous la même forme. C’est un excellent exemple. Je vous en remercie. Je voudrais maintenant me concentrer sur les gens comme vous et moi qui écoutent ce balado. Que peuvent-ils faire concrètement pour mieux se protéger contre les cybermenaces?

JB :

J’aborderai la question du piratage psychologique, parce qu’elle n’est pas très technique et qu’elle relève davantage de la fraude, du bon jugement et de la pensée critique. Le vecteur d’entrée le plus populaire pour les rançongiciels et autres cyberattaques reste l’hameçonnage. Il consiste à utiliser un courriel ou une communication conçue pour inciter le destinataire à cliquer sur un lien ou à télécharger une pièce jointe qui introduira un logiciel malveillant dans le système. L’hameçonnage est fructueux lorsqu’il prend une personne au dépourvu, quand elle est distraite. Nous avons constaté une explosion de ces tentatives d’hameçonnage pendant la pandémie, car les auteurs de menaces savaient que nous travaillions à domicile, que nous avions beaucoup de choses à faire, que les gens étaient inquiets, et on a donc assisté à une augmentation du nombre de tentatives, et on a vu que des personnes ou des utilisateurs qui, en temps normal, n’auraient pas cliqué sur quelque chose le faisaient parce qu’ils étaient surchargés.

Mon conseil serait de réfléchir à la manière dont vous recevez la communication et à la façon dont un partenaire avec lequel vous faites des affaires ou avec lequel vous avez une relation personnelle vous demanderait des renseignements. Votre banque vous demande-t-elle normalement de fournir ce type de renseignements par ce moyen? Recevez-vous normalement des messages de l’Agence du revenu du Canada vous demandant de vérifier vos données d’identification? Ce ne sont pas là des façons habituelles, de la part d’organisations bien établies, d’agir ou de chercher à obtenir des renseignements. Il y a des signaux d’alarme. Même si le message est bien écrit ou bien présenté, si vous n’êtes pas sûr de vous, posez des questions et faites des recherches. Si vous travaillez pour une organisation, signalez-le à votre service de TI, demandez-lui d’y jeter un coup d’œil parce qu’il vous semble suspect.

Je voudrais également diriger les Canadiens vers toutes les ressources que l’on trouve sur le site pensezcybersecurite.gc.ca. Ces ressources sont vraiment conçues pour que tout le monde puisse les utiliser et les mettre en pratique. Comme je l’ai déjà dit, les mesures de base permettent de déjouer la plupart des tentatives malveillantes. Il s’agit de savoir comment utiliser son téléphone portable en toute sécurité, d’utiliser un réseau privé virtuel pour chiffrer ses communications si l’on est en déplacement au lieu d’utiliser un réseau Wi-Fi public, par exemple, de faire attention à la provenance des applications que l’on télécharge, de s’assurer qu’elles sont sécurisées, de ne pas refuser lorsqu’une application demande d’utiliser l’authentification multifactorielle. Il y a là des guides très conviviaux qui peuvent vous aider à comprendre les mesures de base et faire de vous une cible plus difficile à atteindre. La grande majorité de ces attaques ne sont pas très sophistiquées, donc avec ces quelques mesures à prendre pour se protéger, on essaie simplement d’encourager le pirate à passer son chemin.

PK :

Ce sont là d’excellents conseils pratiques. Enfin, Jason, j’aimerais vous demander quels conseils vous avez à nous donner, en tant qu’organisme de réglementation chargé de l’accès à l’information et de la protection de la vie privée. Que peuvent faire les bureaux comme le mien pour aider les particuliers et les organisations à lutter contre les cybermenaces?

JB :

Nous voulons que les Canadiens prennent conscience de la valeur des renseignements qu’ils détiennent. Quand on examine les ensembles de données d’une personne, par exemple, on a des renseignements sur sa vie privée, des renseignements identificatoires, des renseignements financiers, et si on élargit d’un cran, on regarde une organisation. Une organisation détient tous les renseignements précieux qu’une personne possède, mais elle a aussi de la propriété intellectuelle, elle a ses propres renseignements bancaires et financiers, des recherches, des technologies exclusives. Si on passe maintenant au gouvernement et aux infrastructures essentielles, on a des services vitaux qui s’ajoutent à ces renseignements. Donc tout le monde détient ces renseignements, et pour les cybercriminels, tout a de la valeur.

Ce que je voudrais dire, c’est qu’il est très utile d’informer les gens et de les amener à participer, et aussi de définir des normes. Les organismes de réglementation sont là pour établir des normes et assurer la conformité, et la cybersécurité n’est pas différente de la sécurité matérielle pour ce qui est de ce à quoi nous devons être attentifs et prioriser pour protéger ces actifs précieux.

PK :

Eh bien, Jason, merci beaucoup, et avant de terminer, avez-vous des idées à partager avec nos auditeurs?

JB :

Bien sûr, nous recrutons toujours. Comme nous le savons tous, le secteur est confronté à une pénurie de talents et de compétences dans certains des domaines que j’ai abordés aujourd’hui. Donc, si vous envisagez une carrière dans les STIM ou dans la technologie, n’hésitez pas à la poursuivre. Les perspectives de carrière sont nombreuses et passionnantes. Pour connaître les domaines dans lesquels nous recrutons, visitez notre site Web et posez votre candidature.

PK :

Merci, Jason.

JB :

Merci à vous.

PK :

Les auditeurs qui souhaitent en savoir plus sur les ressources disponibles auprès du Centre canadien pour la cybersécurité trouveront des liens dans les notes du balado et, comme l’a dit Jason, vous pouvez en savoir plus à pensezcybersecurite.gc.ca. Mon bureau propose également diverses ressources en matière de technologie et de sécurité, notamment des feuilles-info sur la protection contre l’hameçonnage et les rançongiciels, qui sont disponibles sur notre site Web, à cipvp.ca. Nous avons également ajouté un lien vers un autre épisode de L’info, ça compte, sur la façon dont vous pouvez vous protéger contre l’hameçonnage. Et vous pouvez toujours nous envoyer un courriel ou appeler notre bureau pour obtenir de l’aide et des renseignements généraux concernant les lois ontariennes sur l’accès à l’information et la protection de la vie privée. Voilà, c’est tout pour aujourd’hui. Merci beaucoup de nous avoir écoutés et à la prochaine.

Ici Patricia Kosseim, commissaire à l’information et à la protection de la vie privée de l’Ontario, et vous avez écouté L’info, ça compte. Si vous avez aimé ce balado, laissez-nous une note ou un commentaire. Si vous souhaitez que nous traitions d’un sujet qui concerne l’accès à l’information ou la protection de la vie privée dans un épisode futur, communiquez avec nous. Envoyez-nous un gazouillis à @cipvp_ontario ou un courriel à [email protected]. Merci d’avoir été des nôtres, et à bientôt pour d’autres conversations sur les gens, la protection de la vie privée et l’accès à l’information. S’il est question d’information, nous en parlerons.