Un article écrit par Rania Massoud

Cybersécurité : les cinq principales menaces auxquelles fait face le Canada

Société > Cybersécurité

Sami Khoury, le directeur principal du Centre canadien pour la cybersécurité, lors de l'ouverture de la conférence annuelle FIRST à Montréal, le 5 juin 2023.Cliquez ici pour afficher l'image d'en-tête
Sami Khoury, le directeur principal du Centre canadien pour la cybersécurité, lors de l'ouverture de la conférence annuelle FIRST à Montréal, le 5 juin 2023.

Rançongiciels, piratage d’infrastructures essentielles, attaques parrainées par des États, désinformation, intelligence artificielle… Entrevue avec le responsable de l’agence qui supervise la cybersécurité pour le gouvernement fédéral.

Montréal accueille cette semaine plus de 850 experts en cybersécurité de plus de 90 pays à l’occasion de la 35e conférence annuelle du Forum des équipes de réponse aux incidents et de sécurité (FIRST). C'est là une occasion de faire le point sur les principales cybermenaces auxquelles fait face le Canada avec Sami Khoury, directeur principal du Centre canadien pour la cybersécurité (CCC).

Les rançongiciels sont la forme la plus perturbatrice de cybercriminalité à laquelle doivent faire face les Canadiens, selon le CCC. La menace est omniprésente, elle s'adapte et devient de plus en plus sophistiquée. Devant ce constat, la bataille ne semble-t-elle pas perdue d’avance?

Non, pas du tout. Les rançongiciels demeurent la menace numéro un à laquelle nous devons faire face, mais ça ne veut pas dire que nous avons sorti le drapeau blanc. Il y a beaucoup de choses que les particuliers, les entreprises et même le gouvernement peuvent faire pour mieux se protéger.

Les rançongiciels sont une façon d’exploiter une faille ou un niveau de sécurité peu élevé pour accéder à un système informatique. Une personne peut rendre son système plus sécuritaire avec des mots de passe complexes ou avec un système d’authentification à plusieurs facteurs tout en s’assurant que les applications sont à jour pour qu’elles ne soient pas exploitées.

Pour ce qui est des entreprises, il faut éduquer les employés pour reconnaître les liens malveillants qu’ils peuvent recevoir par courriel. Il faut aussi penser à instaurer un système de sauvegarde et faire en sorte qu’il soit bien protégé : c’est super important.

Il y a quelques années, la technique des cybercriminels consistait à exploiter un système pour ensuite crypter les données et demander une rançon. Puis, on a observé une évolution : les cybercriminels volent les données au lieu de les crypter et demandent une double rançon, l’une pour débloquer le système, l'autre pour ne pas rendre publiques les informations retirées.

Sur la scène internationale, le Canada participe à plusieurs efforts, dont l’Initiative internationale contre les rançongiciels, menée par les États-Unis et qui compte une trentaine de pays, dont le but est de lutter contre plusieurs aspects qui forment l’écosystème des rançongiciels, y compris le financement illicite.

L’autre grande menace est la capacité de pirates parrainés par des États comme la Chine ou la Russie d’attaquer des infrastructures essentielles, ce qui va jusqu’à causer des dommages matériels. Cela s’est déjà produit aux États-Unis et ailleurs dans le monde, mais qu’en est-il du Canada?

À ma connaissance, il n’y a pas eu de cyberincidents qui ont causé des dommages matériels ici. Nous sommes passés à deux cheveux d’une telle attaque. Ce n’est pas dans la politique du CCC de parler d’incidents spécifiques, mais je peux confirmer qu’il y a eu un incident au Canada cette année, et le premier ministre Justin Trudeau a fait une déclaration à ce sujet, affirmant qu’il n’y a pas eu de dommages matériels. Mais la capacité de nuisance existe.

Dans notre dernier rapport sur l’évolution des cybermenaces nationales, on dit qu’en l’absence d’acte de guerre ou d’hostilités menés par le Canada, les menaces de pays étrangers ne vont pas se matérialiser et qu’il n’y aura pas de passage à l’acte. Cependant, l’incident auquel je fais référence pourrait démontrer le contraire, donc il va falloir faire plus attention et l'examiner de plus près pour voir s’il s’agit d'un cas isolé ou d'une nouvelle tendance qui doit nous préoccuper.

Toutefois, je dois avouer que même un seul incident est un incident de trop. On ne va pas attendre qu’il y ait une deuxième fois : il faut profiter de toutes les occasions pour rappeler aux exploitants des infrastructures essentielles qu’il faut prendre ces menaces au sérieux.

Justement, dans votre rapport, vous dites que les activités de cybermenaces parrainées par des États visent également des citoyens et des entreprises privées. Le télétravail représente-t-il une source d’inquiétude pour vous?

Nous avons prêté attention à ce nouveau mode de travail à distance dès le début de la pandémie. Auparavant, les technologies de l’information (TI) d’une entreprise étaient circonscrites dans le périmètre physique de son édifice. Maintenant que les employés peuvent travailler de la maison, ce périmètre n’est plus physique. Donc, il faut s’assurer que tous les moyens de communication sont sécurisés.

Au CCC, nous avons publié à maintes reprises des bulletins d’information pour permettre au gouvernement et aux entreprises privées de s’assurer que les employés utilisent des moyens sécuritaires recommandés comme un VPN (virtual private network, réseau privé virtuel) ou un ordinateur de bureau. Un ordinateur personnel à la maison est exposé à beaucoup de risques qui peuvent survenir par l'entremise des sites qu’on visite en ligne, par exemple. On ne veut pas que ça devienne comme une porte arrière qui permettrait aux pirates de se faufiler dans les réseaux gouvernementaux ou dans des entreprises privées.

Donc, oui, c’est un défi de plus, parce que ce n’est pas tout le monde qui peut se permettre d’avoir deux ordinateurs et un système de connexion de confiance.

La mésinformation, la désinformation et la malinformation sont des menaces que vous évoquez aussi dans votre rapport. Vous affirmez que ces pratiques vont « assurément » augmenter au cours des prochaines années. Que peut-on faire pour contrer ce type de menace?

Ce phénomène s’est accentué en 2016, lors des élections américaines, mais aujourd’hui, on voit qu’il n’est pas limité aux périodes électorales. On le voit dans notre quotidien, dans toutes sortes de communications. Nous avons récemment publié un bulletin pour sensibiliser la population à l'importance de s’informer à partir de sources crédibles et de vérifier ses sources.

C’est une tactique qui a aussi été utilisée par des États, comme on l’a vu dans le contexte du conflit en Ukraine, et les Russes l’ont même employée contre le Canada. Cela nous avait menés à déclassifier certains éléments d’information pour prouver que ce qui avait été diffusé n’était pas vrai.

De plus, avec l’intelligence artificielle (IA), il sera encore plus facile de mettre au point des outils de désinformation.

Ça va prendre du temps, mais il faut que la cybersécurité fasse partie de notre quotidien, qu’on en parle tout le temps pour arriver à un point où on va prendre les mesures nécessaires de façon naturelle.

Vous avez évoqué l’intelligence artificielle. Cette technologie possède un énorme potentiel révolutionnaire dans tous les domaines, mais, là encore, le risque d'exploitation malveillante est bien réel.

L’intelligence artificielle, ce n’est pas nouveau. Il y a 30 ans, quand je me suis joint au Centre de la sécurité des télécommunications (CST) [dont le CCC fait partie et qui est chapeauté par le ministère fédéral de la Défense, NDLR], on a commencé à créer des outils en employant des modèles d’IA. Ce qui a changé aujourd'hui, c’est la rapidité avec laquelle cette technologie a évolué et la complexité des nouveaux modèles. ChatGPT4, par exemple, est extrêmement complexe.

Il y a 30 ans, nous étions capables de décortiquer un modèle d’IA et de savoir combien de couches de neurones il y avait, de même que le type de données qui y circulaient. Aujourd’hui, avec ChatGPT, c’est presque impossible d’essayer de comprendre la boîte noire et son fonctionnement.

Donc, il faut passer plus de temps, de notre côté, pour essayer de comprendre cet outil. Il faut aussi éduquer les entreprises et les gens pour qu’ils sachent qu’il s’agit de systèmes aussi crédibles que les informations fournies pour leur apprentissage. Il ne faut pas tenir pour acquis que toutes les réponses fournies par ChatGPT sont automatiquement vraies.

Et justement, nous allons bientôt publier un nouveau bulletin pour souligner les risques de ces outils et pour sensibiliser les entreprises à ce sujet. Des efforts sont faits à l'échelle internationale pour réglementer ces outils et le gouvernement du Canada suit de près l’évolution de ces systèmes.

* Certains propos de cette entrevue ont été édités à des fins de clarté.

À lire aussi :