Écrit par Éric Bérard, journaliste au magazine MCI, dans le cadre du dossier février/mars de la revue.

La formule utilisée pour le titre de cet article vient de Toufik Ouaguenouni, directeur de compte en cybersécurité chez PROMPT.

Toufik Ouaguenouni

Cette organisation est mandatée par le ministère de l’Économie, de l’Innovation et de l’Énergie (MEIE) du Québec afin d’aider l’écosystème québécois à créer des solutions de cybersécurité destinées à être commercialisées ou à aider des entreprises à se doter de certifications en cybersécurité.

« Toute compagnie au Québec qui veut postuler à un avis d’appel d’offres, souvent ces avis d’appels d’offres vont exiger d’avoir une certification en sécurité informatique, qui est ISO27001 pour la plus connue », explique M. Ouaguenouni en entrevue au Magazine MCI.

Ça signifie que des entreprises sans certification risquent de rater des occasions d’affaires, notamment avec les États-Unis et l’Europe.

PROMPT finance l’obtention de ces certifications à hauteur de 50 %, jusqu’à concurrence de 350 000 $.

L’organisation fait aussi de l’accompagnement d’entreprises en d’autres sphères des technologies de l’information que la cybersécurité. À titre d’exemple, notons le tout nouveau programme de soutien à la productivité des entreprises manufacturières, un programme de développement d’intelligence artificielle ou encore de technologies quantiques.

Défis de cybersécurité du manufacturier

Tous les secteurs d’activité économique sont à risque d’être la cible de cyberattaques. Le secteur manufacturier doit néanmoins composer avec de possibles brèches de sécurité qui lui sont propres.

À l’ère de l’industrialisation 4.0, tout ce qui est connecté à Internet peut être un point d’entrée pour un pirate. Il peut s’agir de robots dotés de capteurs dont les informations circulent sur le Web ou même du réfrigérateur connecté de la cafétéria.

« On parle des détecteurs de température par exemple. Tous ces outils sont un point d’accès pour des hackers », souligne notre expert invité.

Il conseille aux entreprises de faire un balayage complet de leurs couvertures informatiques au moins une fois l’an. De répertorier tous les points d’entrée potentiels du système informatique, un peu comme le propriétaire d’une maison vérifie l’état de la toiture de temps à autre.

La vétusté des logiciels sur des ordinateurs peu utilisés et sur lesquels les mises à jour sont négligées représente également une faille invitante pour les pirates.

Formation des employés

Les employés eux-mêmes peuvent représenter un risque lorsqu’ils utilisent les terminaux en passant par leur téléphone personnel ou par d’autres outils obsolètes qui ne sont pas protégés.

© Pixabay

Des employés qui utilisent les terminaux de l’entreprise pour envoyer des courriels personnels en utilisant des plateformes de type Hotmail peuvent aussi créer des brèches, même en toute bonne foi.

« Il est nécessaire de former tous les employés. Pas juste l’équipe technique, pas juste l’équipe financière. De les sensibiliser au fait qu’il faut faire attention à l’utilisation des outils de l’entreprise », précise M. Ouaguenouni.

Un employé qui clique sur un lien d’hameçonnage et qui est par la suite redirigé vers un site qui paraît faussement légitime pourrait se voir demander son mot de passe. S’il l’entre, c’est déjà trop tard.

« Le hacker a vu le mot de passe, il va l’utiliser pour entrer au fond de la compagnie pour aller déposer sa boîte à outils puis vérifier tout le réseau et le verrouiller avec un rançongiciel », dit M. Ouaguenouni pour mettre l’accent sur la formation continue du personnel.

L’une des façons de faire serait, à titre d’exemple, d’envoyer périodiquement un faux courriel frauduleux dont les employés ne sont pas au courant afin de voir comment ils y réagissent.

« À partir de là, tu vas voir quel pourcentage des employés ont cliqué sur le mauvais lien », explique le porte-parole de PROMPT.

Le télétravail représente également son lot de défis, mais ça se gère. Les adresses IP permettent entre autres de vérifier si quelqu’un tente de se connecter au système de l’entreprise à partir d’une zone où elle n’a pas d’employés.

« Si quelqu’un se connecte de Russie par exemple, là il faudrait systématiquement bloquer le trafic ou le signaler », indique M. Ouaguenouni.

Piraterie « sociale »

Il a été question plus haut d’hameçonnage, une technique plutôt bien connue qui consiste ni plus ni moins, comme son nom l’indique, à aller à la pêche au hasard.

© Pixabay

La nouvelle tendance en cyberpiraterie est le « harponnage ». Dans ce cas, les individus mal intentionnés ciblent une personne bien précise, souvent un membre de la direction parce que, par son rang, il ou elle a accès à pratiquement tous les systèmes d’une entreprise.

Les pirates s’intéressent particulièrement à la propriété intellectuelle.

« Les secrets industriels sont très importants d’un point de vue manufacturier parce que, dans le fond, la valeur de l’entreprise est rarement au niveau du matériel mais plutôt de comment ce matériel a été confectionné », dit l’expert, faisant référence aux secrets de fabrication et à la nature des matériaux utilisés.

Pour harponner leurs cibles, les pirates utilisent souvent différentes plateformes de réseaux sociaux pour leur soutirer des informations après être devenus « amis » avec elles.

Puis ils échangent de faux sondages ou des quiz rigolos qui permettent de « définir votre personnalité ». On demandera par exemple à la victime quelle est sa couleur préférée, le nom de son chien, une date de naissance, le prénom de sa mère, tous des éléments qui se retrouvent souvent dans les mots de passe.

Couteux arrêts de production

Une fois l’entreprise infiltrée, l’une des pires menaces prend la forme d’un rançongiciel.

Comme son nom l’indique, il s’agit d’un logiciel qui crypte les données d’une entreprise de manière à ce qu’elle ne puisse plus les utiliser. Le ou les pirates redonneront accès au système informatique seulement contre paiement d’une rançon.

Cela peut engendrer des arrêts de production qui coûtent des fortunes en usine et toutes sortes d’ennuis administratifs. Par exemple, l’entreprise n’arrive plus à communiquer avec ses fournisseurs ou ses clients normalement, elle ne connaît plus l’état de ses comptes à payer et à recevoir, etc.

Certaines ne s’en relèveront jamais.

« C’est un facteur pour fermer des entreprises. Il y a des entreprises qui mettent la clé sous la porte, il y a des statistiques importantes autour de ça, dans les six mois suivant un ransomware », constate M. Ouaguenouni.

On la paie ou pas, la rançon?

Disons que le mal est fait est qu’on a été victime d’un rançongiciel. On paie la rançon ou pas pour recouvrer nos données essentielles?

En fait, ça dépend. C’est du cas par cas.

Si une entreprise est suffisamment solide pour avoir des systèmes de copies de sûreté lui permettant de récupérer ses données, si elle n’a pas perdu de secrets commerciaux en particulier, elle peut se permettre de ne pas payer la rançon.

« Ça va lui coûter du temps pour remonter ses serveurs, ça va lui coûter de l’argent parce qu’il faudra souvent s’équiper de nouveau matériel mais l’intégrité et la survie de l’entreprise ne sont pas à risque », indique M. Ouaguenouni.

Pour une entreprise qui n’a pas la capacité ou les moyens de récupérer elle-même ses données, il est suggéré de faire appel aux autorités policières telles que la GRC ou encore à un bureau d’avocats pouvant offrir les services de ce qu’on appelle un « breach coach », ou coach en brèches de sécurité informatique.

« C’est le moment de se reposer sur un professionnel qui va donner des étapes à suivre parce que lui, il sait exactement ce qu’il faut faire. Il sait comment contacter les demandeurs de rançon parce que, dans ce monde, ils se connaissent », dit-il au sujet de ces experts habitués de transiger avec des groupes criminalisés.

Le coach connaît même souvent le pirate et son modus operandi, s’il est « digne de confiance » en cas de paiement de la rançon.

« La cybersécurité, c’est un investissement quand c’est en amont. Par la suite, c’est une dépense parce que c’est trop tard. On va juste dépenser pour financer les cyberpirates ou renouveler les machines », conclut l’expert de PROMPT.