Agir en amont pour renforcer la cyberrésilience des Canadiens

On remarque de plus en plus que des menaces persistantes avancées soutenues par des États visent des groupes précis dans un dessein géopolitique. Des agences de cybersécurité canadiennes et américaines ont mis au jour de telles activités en 2021, en 2022 et en 2025. Selon la tendance observée, les activités de ciblage sont de plus en plus étendues, fréquentes et sophistiquées.

Les cyberattaques ont un effet dévastateur pour les entreprises directement touchées, mais leurs conséquences s’étendent aussi à toutes les organisations qui sont en lien avec elles. Pourtant, que ce soit en matière de protection ou de réponse, chaque fournisseur agit de façon isolée. Aux yeux du public, le cyberespionnage est moins grave que l’espionnage physique ou le sabotage, ce qui freine la réaction et l’intervention des organismes nationaux. Devant l’absence de dommages physiques, les gens ne voient pas la nécessité de déclencher une réponse militaire ou diplomatique, ou d’imposer des sanctions.

Les cyberpirates sont rarement des représentants directs des services de sécurité d’un pays ennemi. Il s’agit généralement d’opportunistes isolés à la recherche d’actifs à vendre sur le web clandestin (Dark Web) ou d’attaquants travaillant pour le compte de gouvernements étrangers. Le grand public a tendance à les considérer comme des criminels et non comme des agents étrangers hostiles.

Quant aux attaques elles-mêmes, elles n’ont rien à voir avec les films d’espionnage hollywoodiens. Elles résultent de simples manipulations techniques et d’ingénierie sociale. Les pirates exploitent les failles ou les erreurs de configuration des systèmes pour accéder à des données sensibles. Ils profitent de la présence des employés sur les réseaux sociaux pour gagner leur confiance et voler les identifiants d’accès à l’entreprise. De faux correctifs logiciels sont envoyés à des employés peu méfiants afin de propager des logiciels malveillants ou de voler des données sensibles.

À première vue, ces actions ne ressemblent pas à des déclarations de « guerre ». Il est parfois même difficile d’y voir une motivation politique. Elles peuvent pourtant avoir d’importantes répercussions sur la sécurité nationale. Tant que le risque de représailles pour les auteurs de ces menaces restera faible, ce type de cyberespionnage continuera de se développer.

Pour les fournisseurs de services canadiens, il ne s’agit plus de savoir « si », mais bien « quand » leur organisation sera la cible d’une attaque. Le cas échéant, les agences de sécurité canadiennes pourraient ne pas avoir l’autorité nécessaire, en tant qu’entités privées, pour se porter à leur défense. Et bien que ce problème soit abordé dans les projets de loi C26 et C8, et possiblement dans d’autres lois à venir, pour l’instant, les organisations privées victimes de cyberattaques ne peuvent compter que sur elles-mêmes ou sur le secteur privé pour assurer leur sécurité.

Si les attaques sophistiquées sont certes préoccupantes, l’absence de contrôles et de surveillance dans de nombreuses organisations présente aussi un risque en soi. Au lieu de se contenter d’adhérer à un cadre de conformité, les organisations doivent commencer à penser et à agir comme leurs adversaires.

Si importantes soient-elles, la vigilance et les solutions internes ne sont plus suffisantes. Il est temps de s’inspirer des méthodes des pirates informatiques et d’agir de manière stratégique en se dotant de contrôles et de politiques adéquates. La solution ne réside plus seulement dans le budget consacré à la sécurité, mais dans la stratégie déployée.

Concrètement parlant, cela signifie suivre les activités des attaquants là où ils se rejoignent, c’est-à-dire sur le web profond (Deep Web) et le web clandestin, et investiguer sur ce qu’ils font, disent et vendent.

On peut voir que les auteurs de menaces ciblent notamment des organisations qui jouent un rôle essentiel dans les opérations militaires en Ukraine. Les organisations canadiennes liées aux infrastructures essentielles ou à la défense canadienne pourraient être visées de la même manière dans le cadre d’un conflit majeur, dans le but de causer des dommages ou de perturber la vie quotidienne.

Il est important pour les entreprises canadiennes de savoir précisément comment les agents malveillants perçoivent leur organisation. De quels accès ceux-ci disposent-ils déjà? Quelles primes offrent-ils? Les équipes de cybersécurité doivent pouvoir faire le lien entre les événements mondiaux et les motivations des attaquants, et réfléchir à la manière dont leur organisation pourrait être impliquée dans des opérations plus vastes.

La règle s’étend aux fournisseurs externes et à la domiciliation des données de l’entreprise. De nombreuses organisations adhèrent à la norme FedRAMP et à d’autres normes gouvernementales et de défense afin de protéger les données critiques. Cependant, à mesure que les alliances mondiales évoluent, même entre des États traditionnellement alliés comme le Canada et les États-Unis, les organisations peuvent être amenées à revoir leurs relations avec leurs fournisseurs et à reconsidérer ce qui doit être défendu.