L’État contre les pirates informatiques
L’informatisation des grandes entreprises et des services de l’État aux cours des dernières années a permis de gagner sur le plan de la productivité, de la rapidité et également sur plusieurs aspects pour ces organisations. Par exemple, plusieurs tâches ont été automatisées. Ce qui nécessitait autre fois de la main-d’œuvre et beaucoup de temps à accomplir peux se faire en quelques secondes. Cela se traduit nécessairement vers des façons de faire plus rentables et plus efficaces. Cependant, pour y arriver, toutes ces données détenues par ces organisations doivent être informatisées. Une architecture souvent complexe de logiciels doit donc être mise en place afin de répondre au besoin. Ayant d’ailleurs prouvé leur rendement, de tels systèmes sont devenus indispensables à la gestion de nombreuses infrastructures essentielles dans notre société et sont de plus en plus interconnectés afin d’offrir une multitude de services.
Puisque le nombre grandissant de cyber menaces ce fait présente dans notre société, il est légitime de se demander comment l’état peut protéger ses infrastructures essentielles contre ces attaques. En effet, pour en nommer quelques-unes, Hydro-Québec dépend grandement de système informatique pour fonctionner. De plus, Desjardins a aussi connu des pannes de leurs systèmes rendant impossible toute transaction dans les commerces. Les services télécommunications et de transport peuvent également être affecté. Nous faisons alors face à un problème complexe : chacune de ces organisations gère leurs systèmes comme elle le souhaite, ou presque, de façon indépendante et en utilisant diverses technologies. Quel rôle doit alors avoir l’état dans la protection de ces systèmes et comment peut-elle s’y prendre?
Les conséquences de ces attaques peuvent être nombreuses. Par exemple, lorsque le site des Forces armées canadiennes a été attaqué, bien qu’aucune donnée confidentielle n’ai été rendue publique, l’image des FAC a été bafouée, pouvant ainsi faire douter les citoyens sur leur capacité à se défendre. Dans d’autres cas, les impacts peuvent être plus importants, comme la manipulation des résultats électoraux. Dans de telles situations, le gouvernement du Canada se fie entre autres au SCRS, qui doit lutter contre l’espionnage et l’ingérence étrangère. Aujourd’hui, étant donné que les cyber attaquants ne sont plus seulement de petits groupes marginaux, mais peuvent être des entités étatiques, le service de renseignements canadiens doit impérativement impliquer le Centre de la sécurité des télécommunications (CST) et ses experts afin d’y voir plus clair dans des attaques qui peuvent être extrêmement complexes (menace persistante avancée). Cette organisation en expansion s’est d’ailleurs dotée d’un nouveau quartier général, le plus cher jamais construit par le gouvernement. La directrice du CST a aussi lancé l’alerte concernant la menace envers les infrastructures essentielles.
Comme un des mandats du CST est de fournir des conseils en matière de sécurité de l’information et d’assister techniquement les organismes fédéraux, l’État dispose donc d’au moins une entité, pouvant aider à protéger le Canada dans le cyberespace. Cependant, puisque cette organisation ne contrôle pas la façon dont plusieurs entreprises peuvent gérer leurs systèmes, nous comptons donc sur ces organisations privées pour s’auto réguler et implanter les meilleures pratiques en termes de sécurité de l’information. Au Québec, quelques unes de ces entreprises (celles dans le secteur financier par exemple) doivent se plier aux exigences de l’État afin de se conformer aux meilleures pratiques sécuritaires. Dans plusieurs cas c’est l’autorité des marchés financiers qui impose ces exigences. Cependant, une grande part des entreprises qui gèrent des services essentiels n’est soumise à aucune réglementation.
Donc, malgré une volonté de l’état à vouloir protéger les services essentiels, l’architecture de nature décentralisée de ces systèmes et leur grande diversité rend la tâche complexe. Enfin, l’investissement en sécurité des TI peut être vu comme une dépense non «rentable» par plusieurs gestionnaires. Plusieurs entreprises tendent aussi à agir seulement en cas de nécessité imminente, alors qu’il faudrait être proactif. Peut-être verrons-nous apparaître une forme de régulation plus étendue au niveau de la cyber sécurité comme la France a fait avec leur plan Vigipirate.
