Steve Waterhouse (Photo: Courtoisie)

Cybersécurité: Trois questions à Steve Waterhouse

Trois questions à… Steve Waterhouse, spécialiste en cybersécurité, formateur certifié Cisco, CompTIA et CWNP et ancien officier de sécurité informatique au ministère canadien de la Défense nationale.

Propos recueillis par Zora Ait El Machkouri

La ville américaine de Baltimore immobilisée pendant plus d’un mois, au printemps dernier, par des pirates qui demandent une rançon via un rançongiciel (ransomware), la banque Capital One qui se fait voler les données de près de 106 millions de clients via une faille de serveur cet été, des hôpitaux français paralysés par un virus informatique au mois d’août, au même moment, au moins trois tentatives d’intrusion dans les serveurs informatiques de Revenu Québec, le fisc provincial, juste après une importante fuite interne de données concernant 23 000 de ses employés et en juin les données personnelles de 2,9 millions de membres du Mouvement Desjardins subtilisés par un employé de la coopérative financière québécoise… Les vols de données et les cyberattaques font la manchette depuis quelques mois. Les explications d’un expert.

Q: À votre avis, devrions-nous désormais nous habituer à une telle récurrence des cyberattaques ? Pour quelles raisons?

R: Un des buts ultimes des « attaquants » est d’aller chercher du financement. Que ce soit via un rançongiciel ou une extorsion de données, le but est d’aller négocier cette information afin de demander de l’argent. Soit les individus ou les compagnies sont négligents dans la sauvegarde des données - donc il n’y a tout simplement pas de sauvegarde –, soit il y a une sauvegarde, mais celle-ci est mal faite. Au moment de « monter » leur système informatique, les entreprises assument que tout ira bien, mais, au cours des années suivantes, il y a des ajouts et des modifications qui ne reflètent plus le concept original.
Or, la majorité des institutions et des entreprises privées demeurent des réactionnaires. Elles vont réagir une fois qu’elles ont été confrontées au problème. Car beaucoup de gestionnaires pensent que la prévention – qui est coûteuse – n’est pas mesurable en termes de retour sur l’investissement. Pourtant, un système informatique n’est pas différent d’une automobile : il ne faut pas attendre qu’il soit trop tard avant d’en faire l’entretien.
Malheureusement, plusieurs gouvernements et entreprises privées ont des gestionnaires qui ne pensent pas qu’il faut consacrer temps et efforts aux services informatiques, car ce n’est pas palpable. Ce n’est pas un bâtiment physique en décrépitude dont nous devons refaire la façade. L’informatique est intangible. Sauf que quand l’information n’est plus disponible, il est trop tard.

Q: Outre les compagnies privées qui se basent sur des choix en fonction de leur agenda économique, pouvons-nous dire que les gouvernements sous-estiment, voire sont négligents à l’égard des menaces informatiques ?

R: Clairement ! Au Canada, le gouvernement fédéral, a un avantage sur le gouvernement provincial québécois, parce qu’il a des ressources et de la visibilité à l’échelle mondiale. Au Québec, il y a très peu de perspectives externes, ce qui fait que la menace est mal évaluée. Tout ce qui concerne les cyberattaques a une connotation internationale, car elles n’ont pas de frontières. Bien qu’il soit ouvert sur le monde, le gouvernement québécois est très mal positionné à cet égard. Il possède certainement les meilleurs équipements pour protéger un accès externe vers l’interne, comme toutes les entreprises, mais au-delà de cette protection, les employés et le service informatique interne doivent être rééduqués sur les nouvelles menaces et les avancées dans le domaine. C’est ce qui manque.
De toutes celles qui existent, la menace interne est la plus émergente. Par exemple, Revenu Québec, qui y a fait face cet été, connaît ce même problème depuis dix ans. La confiance aveugle envers un employé est révolue : il n’est plus possible d’assumer avoir sa pleine loyauté. Aujourd’hui, la dynamique est différente de ce précepte des années 1960.
L’autre problème fondamental est la gestion de l’information. Quand nous entendons dire qu’il faut protéger les informations du gouvernement, mais qu’il n’y a aucune classification qui permet de savoir quelle information est plus importante qu’une autre, c’est très difficile de mettre en place une protection uniforme sur toutes les données qui existent.

Pour lire l'interview complète