La cybersécurité, c’est multi-dimensionnel
Rencontre avec Guillaume Clément
« Beaucoup d’organisations sont négligentes. D’autres non. Ce qui ne veut pas dire qu’elles soient préservées des mauvais coups. C’est très sournois la cybersécurité; c’est un domaine très abstrait. » — Guillaume Clément
La place du « virtuel », du numérique, des réseaux sociaux ne cesse de grandir dans la vie des entreprises, et l’industrie de la construction ne fait pas exception. Pourtant, ces progrès ne vont pas sans risques ni inconvénients. Violations éventuelles de la vie privée, piratages d’informations bancaires ou de données techniques cruciales, ce sont là des dangers apparemment multipliés par le caractère immatériel des informations et des données des entreprises.
Par Jean Brindamour
On se rappelle de la brèche informatique chez Nissan Canada en décembre 2017 qui a touché plus d’un million de ses clients. Avec la brèche chez Facebook, il y a quelques mois, 29 millions de comptes ont été piratés. Uber a admis, il y a un an, avoir versé 100 000 $US à des pirates informatiques pour qu’ils détruisent des informations qui leur avaient été dérobées. On pourrait nommer Home Depot, Equifax, Ebay, Adobe qui ont connu au cours des dernières années des brèches informatiques majeures. Mais c’est Yahoo, qui possède jusqu’à aujourd’hui le record de la plus grosse brèche informatique du XXIe siècle, puisque ce n’est pas moins de trois milliards de comptes qui auraient été compromis en 2013 (Yahoo a « avoué » ces chiffres en octobre 2017).
Une cybersécurité à plusieurs volets
« Le hacker peut bénéficier d’une simple erreur d’un seul individu, ou d’une petite vulnérabilité du système », explique Guillaume Clément.
Le président d’une firme spécialisée dans les services gérés en cybersécurité, les tests de sécurité, la surveillance, la réponse aux incidents tels que des brèches informatiques, est mieux placé que quiconque pour nous éclairer sur ces nouveaux périls qui apparaissent aux néophytes aussi énigmatiques que menaçants. Guillaume Clément est le président et fondateur d’Egyde Cybersécurité, une firme acquise par KPMG en avril 2018 qui porte maintenant le nom de KPMG Egyde Cybersécurité. « Beaucoup d’organisations sont négligentes, souligne-t-il. D’autres non. Ce qui ne veut pas dire que ces dernières soient préservées des mauvais coups. Le hacker peut bénéficier de la simple erreur d’un seul individu, ou d’une petite vulnérabilité du système. C’est très sournois la cybersécurité; c’est un domaine très abstrait. Et les médias contextualisent souvent très mal les incidents qu’ils rapportent, soit en exagérant leur gravité, soit au contraire en la sous-estimant. »
Et la police n’y peut pas grand-chose : « Les services de police, commente M. Clément, la Sûreté du Québec, la GRC, n’ont pas assez d’effectifs pour s’occuper de la plupart des brèches de cybersécurité. » On se dit, à tort ou à raison, qu’aucun programme de cybersécurité n’est infaillible, qu’il y aura toujours un hacker ou un fraudeur capable de le contourner. Guillaume Clément ne contredit pas ce constat. « La cybercriminalité, constate-t-il, est une grosse business. On n’a encore rien vu et j’ignore où ça va s’arrêter. Les stratégies de défense s’améliorent toutefois. Il y a moins d’entreprises qui sont des proies faciles. Chez nous, on peut se féliciter du fait qu’aucun de nos clients récurrents n’a connu un incident de sécurité depuis plusieurs années. Dans notre travail, on simule des attaques contre nos clients et quelquefois, ça nous prend des jours pour trouver une faille. » Un spécialiste de la cybersécurité se doit, pour ainsi dire, d’être un bon hacker, Mais ce n’est qu’un aspect de sa tâche : « La cybersécurité, explique M. Clément, c’est multidimensionnel : il y a un volet humain; un volet technologique, un volet procédural. »
Les PME et les petites entreprises
On se demande comment les PME, avec leurs moyens limités, peuvent se protéger des « cybermenaces », quand des entreprises géantes n’ont pu le faire. KPMG Egyde Cybersécurité compte plusieurs PME comme clients. « Les petites entreprises, explique Guillaume Clément, ont l’avantage d’avoir une plus petite surface d’attaque. »
« Les plus petites PME, continue le spécialiste, peuvent utiliser facilement des services Cloud tels que Google, Microsoft, qui peuvent être sécuritaires. Conseil absolu pour le Cloud : l’authentification multifacteur (MFA) qui combine au moins deux facteurs d’authentification. » Il faut donc ajouter au mot de passe traditionnel, par exemple, un code unique envoyé par SMS sur le téléphone mobile, une authentification biométrique, etc. « L’idée est de ne jamais être une proie facile pour les hackers », prévient M. Clément.
Des choix difficiles
Quant à ce qu’on appelle les « rançongiciels », qui verrouillent les postes informatiques en cryptant leurs données et exigent un montant pour les décrypter, on peut supposer que de bonnes copies de sûreté suffisent à nous en protéger. Ce n’est qu’en partie vraie, la réalité est plus complexe. « C’est certain qu’on ne les encourage jamais à payer. Mais ces prises d’otages numériques posent de grands dilemmes aux entreprises. Pour la plupart d’entre elles, chaque minute compte. Restaurer les sauvegardes et remettre les systèmes en fonction, c’est un processus qui peut être très long. Dans certaines situations, cela signifierait des impacts importants pour l’entreprise. Dans ce cas-là, il faut les accompagner dans leur décision. »
En écoutant Guillaume Clément, on a le sentiment que l’industrie de la cybersécurité, en parallèle avec le cyberpiratage, est appelée à se développer de plus en plus. On peut supposer que dans un avenir très proche toutes les entreprises d’une certaine ampleur devront avoir un département entièrement consacré à la cybersécurité ou confier cette responsabilité à une firme experte. « Il y a un parallèle à faire avec la course aux armements, confirme M. Clément : le crime numérique étant une industrie en pleine croissance, la cybersécurité se doit d’être elle aussi une industrie en pleine expansion. L’informatisation et l’automatisation se multiplient; les surfaces d’attaques pour les hackers ne cessent d’augmenter. Pour les cybercriminels, ce sont des occasions et des possibilités de cyberattaques qui s’ajoutent. » •