Articles

Comment se prémunir contre les cyberattaques ?

Par Alain Lallier

Entretien avec François Perron, directeur du CCTT CyberQuébec, rattaché au Cégep de l’Outaouais

Le Mouvement Desjardins a connu la plus grande fuite de données de son histoire en juin 2019. Elle a touché plus de 4,4 millions de membres. Plus récemment, le Cégep de Saint-Félicien subissait une cyberattaque obligeant l’établissement à suspendre ses activités pendant plus de deux semaines et à débourser plus d’un million de dollars pour régler la situation. Nous faisons face à un phénomène en croissance exponentielle et en relation directe avec l’utilisation omniprésente de l’informatique et du Web dans toutes les sphères de la société. Comment faire face à un tel phénomène ? Le Portail en discute avec le directeur de CyberQuébec, François Perron.

La surface d’attaque a grandement été ouverte
« C’est évident que le monde dans lequel nous vivons à l’heure actuelle n’est plus le même.L’augmentation du télétravail et la délocalisation ont engendré depuis quelques mois une utilisation beaucoup plus importante des systèmes informatiques, créant ainsi davantage de circonstances opportunes pour les attaquants, précise d’entrée de jeu François Perron. Le télétravail nécessite des accès différents et une reconfiguration des systèmes informatiques. Évidemment, tout cela s’est fait très rapidement dans un contexte pandémique. Peut-être qu’à certains endroits on n’a pas pu mettre en place toutes les mesures de contrôle nécessaires et sensibiliser suffisamment les utilisateurs pour que la transition se fasse sans trop de heurts. Par ailleurs, des gens travaillent à temps plein pour trouver des failles dans les systèmes. La surface d’attaque a grandement été ouverte pour permettre à tous de faire son travail, et ce contexte a permis aux pirates informatiques de créer de nouvelles façons de casser les systèmes. »

Une vie économique intimement liée à l’informatique
François Perron explique que l’informatique était un monde relativement fermé il y a une dizaine d’années. Aujourd’hui, on réalise à quel point notre vie économique est intimement liée à l’informatique. « Il y a des passerelles entre les informations dans les transactions monétaires, l’utilisation de l’argent et la consommation, multipliant ainsi la valeur des gains que récolteraient ceux qui piratent ces systèmes. Pour les consommateurs, leurs capacités sont accrues : ils peuvent ainsi magasiner sans trop se déplacer. Les objets sont livrés à leur porte. Il existe un lien entre l’argent et l’utilisation de l’informatique. Évidemment, ce lien peut être exploité frauduleusement. »

La façon de reconnaître notre identité numérique est à revoir
L’identité numérique, c’est notre capacité comme individu de s’identifier de façon très précise.Si nous perdons cette capacité de contrôler notre identité, quelqu’un d’autre le fera à notre place. « Du moment que quelqu’un peut convaincre une entité qu’il est une autre personne, il peut consommer, acheter des objets et ouvrir des lignes de crédit. Le vol d’identité est plus dangereux aujourd’hui, car il donne accès à des richesses. La base de notre identité et la façon dont les responsables économiques les enregistrent sont probablement à revoir, affirme le directeur du centre. Si on pose l’hypothèse que tous les numéros d’assurance sociale des Canadiens sont accessibles sur le DarkWeb (Internet clandestin), les méthodes de validation pour obtenir un prêt doivent être revues. »

"La base de notre identité et la façon dont les responsables économiques les enregistrent sont probablement à revoir"

Plusieurs organismes et centres de recherche font la promotion d’une nouvelle forme d’identité numérique. Les gouvernements entreprennent une transformation numérique des ministères et de l’État qui permettra de garantir que les personnes qui entrent en relation de gré à gré sont réellement celles qu’elles prétendent être.

Les cégeps sont-ils vulnérables ?
L’expérience récente du Cégep de Saint-Félicien a soulevé de nombreuses questions. Alors qu’ils deviennent de plus en plus virtuels, les cégeps sont-ils plus vulnérables face à de telles attaques ? D’après François Perron, il est clair qu’une population étudiante qui étudie à 80 % ou 90 % en ligne génère un nombre impressionnant de nouvelles connexions. « Quand la majorité des services des collèges s’offrent en ligne, la surface d’attaque se multiplie plusieurs fois. Tout ce qui se trouve sur les serveurs du collège obtient une valeur ajoutée. Nous tenons à nos notes, à nos données et à nos informations sur les cours. Les professeures et les professeurs ont créé de nouveaux contenus. Ça demande beaucoup de travail. Tout à coup, le contenu est barré;la personne qui détient la clé fait du chantage et exige de l’argent, sinon elle jette la clé dans la rivière... Et des informations précieuses sont ainsi perdues. »

Le rôle de CyberQuébec
Le Centre collégial de transfert technologique (CCTT) CyberQuébec a été créé en juin 2018. La mission du centre est d’abord tournée vers le soutien des entreprises du domaine de la cybersécurité. Des entreprises québécoises spécialisées en après sinistre peuvent mettre en place les contrôles requis pour éviter que d’autres attaques se reproduisent. Le CCTT joue ici un rôle de soutien. De son côté, le gouvernement du Québec a mis en place un programme de subvention en cybersécurité pour aider les entreprises. « Nous travaillons déjà avec les PME qui aident en première ligne des entreprises en difficulté ou qui voudraient augmenter la sécurité de leurs solutions », ajoute-t-il.

La région de Gatineau peut également compter sur l’implantation de la grappe pancanadienne de l’industrie de la cybersécurité (IN-SEC-M) avec laquelle le centre collabore en formant des étudiantes et des étudiants, en mobilisant des chercheuses et des chercheurs sur les problèmes que rencontrent les PME dans le domaine et en les aidant à améliorer leurs pratiques, leurs processus et leurs connaissances.
Dans le domaine des renseignements personnels, le centre a reçu le mandat du ministère de la Santé d’agir en tant qu’expert technique en certifiant une norme permettant aux entreprises de vendre aux hôpitaux et aux centres intégrés. On pense ici aux renseignements contenus dans les dossiers médicaux électroniques.

Pour son directeur, CyberQuébec est une jeune organisation. « Notre expertise se développe. Ça va très vite en cybersécurité. Et recruter une main-d’œuvre qualifiée constitue un très grand défi, car elle est très difficile à trouver. Il faut ensuite la former et planifier à long terme en expliquant aux étudiantes et aux étudiants du secondaire les perspectives d’emploi dans le domaine. »

Un centre bien intégré au cégep
Le centre a fait le choix de demeurer intégré au Cégep de l’Outaouais, ce qui favorise des relations étroites avec les départements d’informatique et de génie électrique, entre autres sous forme de stages. Les étudiantes et les étudiants ont même démarré un club de hacking pour mieux apprendre le métier en connaissant les deux côtés de la clôture. « Pour être plus efficaces quand on est du bon côté de la clôture », ajoute le directeur en riant.

Utilisez un gestionnaire de mots de passe !
Le Portail a demandé à François Perron s’il avait des conseils à donner à nos lecteurs afin qu’ils se sentent plus en sécurité de naviguer en ligne. D’emblée, il propose l’utilisation d’un gestionnaire de mots de passe : « Cessez de penser que vous allez vous en sortir avec un petit mot de passe modifié légèrement. Ça ne fonctionne pas et ce n’est pas une bonne idée. Les mots de passe doivent être générés de façon aléatoire. Laissez un gestionnaire de mots de passe générer ces mots pour vous. Changez-les fréquemment. Mettez en place les mesures de sécurité du gestionnaire, comme l’identification à deux facteurs qui permet au gestionnaire de vous joindre d’une autre façon. Cette approche permet d’être averti si quelqu’un tente de jouer avec notre mot de passe.

" Cessez de penser que vous allez vous en sortir avec un petit mot de passe modifié légèrement. Ça ne fonctionne pas et ce n’est pas une bonne idée. Les mots de passe doivent être générés de façon aléatoire. Laissez un gestionnaire de mots de passe générer ces mots pour vous."

Est-ce sécuritaire ? Est-ce qu’il y a un risque ? S’il existe, il est beaucoup plus faible que d’utiliser des mots de passe fragiles conservés trop longtemps. Et ce n’est pas parce que vous ajoutez “234567” après un mot de passe que vous êtes plus en sécurité. Les pirates vont plus vite que vous et disposent d’ordinateurs qui peuvent rapidement casser votre mot de passe simple. Les avantages d’utiliser un gestionnaire de mots de passe sont supérieurs à tous les inconvénients qui pourraient arriver. Choisissez-en un qui s’avère populaire et cherchez des évaluations indépendantes sur ce gestionnaire. »
François Perron ajoute que plusieurs pratiques de sécurité doivent être respectées, dont ne jamais cliquer sur des fichiers inconnus, car il est très difficile de reconnaître un courriel légitime d’un courriel frauduleux. « En cliquant sur un fichier en pièce jointe frauduleux, nous courons après les ennuis. Et ça va très vite ! Bien sûr, il faut suivre à lettre les directives et les politiques mises en place par les entreprises et les établissements », conclut-il.


Note de l’éditeur – Le Cégep de Saint-Félicien offre sur son site Web un Guide des bonnes pratiques en cybersécurité.


La série d'articles sur les centres collégiaux de transfert est préparé en concertation avec le réseau Synchronex.






Infolettre Le Collégial

Soyez informés de l'actualité dans le réseau collégial. L'infolettre est publiée mensuellement de septembre à mai.

Je m'inscris