Transcription
Transcription : Série Café virtuel de l'EFPC : Une conversation sur la cybersécurité, avec Melissa Hathaway et Scott Jones
[Le logo blanc animé de l'École de la fonction publique du Canada se dessine sur un fond violet. Les pages tournent, et le logo s'ouvre comme un livre. Une feuille d'érable apparaît au milieu du livre qui ressemble aussi à un drapeau, sous lequel se dessinent des lignes ondulées. Le texte « Webcast | Webdiffusion » s'affiche à côté du logo. Il s'efface et laisse place à une fenêtre de clavardage vidéo. C'est un gros plan sur un homme chauve à la barbe taillée et aux lunettes carrées, Taki Sarantakis. Il est assis dans sa bibliothèque personnelle.]
Taki Sarantakis : Bienvenue au dernier Café virtuel de l'EFPC. Je m'appelle Taki Sarantakis et je suis président de l'École de la fonction publique du Canada.
[Un carton-titre violet apparaît momentanément, l'identifiant comme étant de l'École de la fonction publique du Canada.]
Aujourd'hui, nous discuterons d'une question extrêmement importante, le cyberespace et, plus précisément, la cybersécurité. Comme toujours, nous essaierons cette fois encore de rendre ce café virtuel non seulement éducatif, mais aussi amusant, car aucune loi ni règle ne dit que l'apprentissage doit être ennuyeux. C'est même le contraire. Plus on s'amuse, plus on est porté à apprendre et à retenir les acquis.
[Deux autres fenêtres s'ouvrent dans l'appel vidéo, et la fenêtre vidéo de Taki se retrouve dans le coin supérieur gauche. À sa droite, un homme portant des lunettes et un complet gris, Scott Jones, est assis devant un drapeau du Canada et un logo indiquant « Centre canadien pour la cybersécurité » en anglais et en français. Dans le panneau du bas, une femme aux cheveux blonds portant des lunettes et un blazer blanc à rayures, Melissa Hathaway, est assise dans un bureau à domicile.]
Aujourd'hui, nous accueillons deux invités d'exception qui nous parleront de cybersécurité. Ce sont deux experts de calibre mondial. La première, Melissa Hathaway, est l'une des plus grandes expertes en cybersécurité au monde. À la Maison-Blanche, elle a été au service de deux partis, puisqu'elle a travaillé à la cybersécurité pour les administrations Bush et Obama. Elle prend régulièrement la parole devant des élites du monde entier, notamment à l'Université Harvard. Elle est actuellement présidente de Hathaway Global Strategies. Bienvenue, Melissa.
Nous allons présenter indirectement notre autre invité. Melissa, j'ai un peu d'information à vous fournir. De nos jours, aux États-Unis, le fonctionnaire le plus célèbre, en dehors de la période placée sous le signe de la COVID, est le plus souvent un général ou un ambassadeur aux Nations Unies ou encore un dirigeant chevronné de la CIA. Au Canada, le fonctionnaire le plus célèbre est en fait un certain Dave Phillips, qui est météorologue au ministère de l'Environnement. Quoi de plus canadien que le fait que le fonctionnaire le plus célèbre est une personne qui nous parle de la météo? Je fais aujourd'hui une prévision. Celui qui succédera à Dave Phillips comme le plus célèbre fonctionnaire au Canada sera en fait le monsieur qui sera en face de Melissa aujourd'hui, Scott Jones. Scott, dites-nous ce que vous faites.
[La fenêtre vidéo de Scott remplit l'écran.]
Scott Jones : Merci de cette présentation, Taki. Je ne suis pas certain de pouvoir être à la hauteur de la réputation que Dave Phillips a acquise au cours des séances d'information à l'intention des médias qui avaient lieu tôt le matin, mais je suis le dirigeant principal du Centre canadien pour la cybersécurité, qui a été créé il y a environ deux ans et demi pour être, au gouvernement fédéral, le centre névralgique pour le signalement des incidents de cybersécurité, les services de conseils et les directives en matière de cybersécurité.
[Les trois fenêtres vidéo reviennent à l'écran.]
Taki : Formidable. Aujourd'hui, nous discutons de cybersécurité. Dans la bibliothèque derrière moi, j'ai sorti des livres qui commencent à s'accumuler sur ma liste de lecture.
[Taki montre tous les livres en mentionnant leur titre.]
J'ai The Hacker and The State (Le pirate et l'État) et j'ai The Perfect Weapon (L'arme parfaite). Et voici un ouvrage au titre effrayant qui est l'oeuvre d'un homme très brillant : Click Here to Kill Everybody (Cliquez ici pour tuer tout le monde). The Virtual Weapon (L'arme virtuelle). Melissa, que se passe-t-il?
Melissa Hathaway : Amusant. Je connais Lucas et David. Tous ces auteurs sont des collègues.
[La fenêtre vidéo de Melissa remplit l'écran. Un carton-titre violet apparaît momentanément, identifiant Melissa comme étant de Hathaway Global Strategies LLC.]
Il est vraiment important de mettre la question en contexte. Au cours des 30 dernières années, nous avons relié nos infrastructures essentielles, les réseaux d'entreprise et tout le reste à Internet pour travailler à une transformation numérique. L'économie numérique représente actuellement environ 15 % de l'économie mondiale. En 2020, nous avons assisté à une forte accélération de cette transformation numérique, car 85 % des entreprises ont dû donner la priorité au numérique.
[Les fenêtres vidéo de Taki et de Scott reviennent à l'écran.]
Nous avons eu une augmentation de 300 % du télétravail à cause du confinement. Nous nous sommes tournés vers l'intelligence artificielle et d'autres technologies pour intensifier les interactions avec les clients. Nous sommes devenus encore plus dépendants d'Internet.
Nous considérons qu'il s'agit d'initiatives clés pour nos pays; l'économie numérique accélère la transformation numérique. Je sais qu'au Canada, vous investissez 180 milliards de dollars dans la transformation de vos infrastructures de base. Ici, aux États-Unis, nous faisons des investissements semblables pour les soins de santé et d'autres secteurs. Dans nos pays, au moins 127 nouveaux appareils se branchent à chaque seconde pour accélérer la mise en place d'une société sans contact, car après la COVID, nous allons devoir aller encore plus loin dans l'adoption de la technologie.
Le problème, c'est qu'au cours des 30 dernières années, bon nombre des appareils mis en service avaient des vulnérabilités fondamentales, le principe étant qu'il fallait les déployer rapidement, quitte à régler les problèmes plus tard. J'ai acquis un certain renom pour avoir dit : « le correctif du mardi sera suivi de la vulnérabilité du mercredi ». L'an dernier seulement, 1 100 vulnérabilités ont été corrigées par Microsoft et 1 600 par Oracle. C'est simplement un degré de vulnérabilité intolérable au coeur de notre quotidien.
En 2020, il y a eu une augmentation de 715 % des attaques par rançongiciel, qui ont surtout nui aux soins de santé et au secteur médical. Nous avons eu une augmentation de 150 % des attaques par déni de service distribué, ce qui met hors ligne les utilisateurs qui ont besoin d'y être.
[La fenêtre vidéo de Melissa remplit l'écran.]
Nous avons vu une augmentation de 600 % du nombre d'attaques sur l'Internet des objets parce que...
[L'écran de Melissa devient noir.]
... les appareils vulnérables, que nous installons à chaque seconde, sont exploités et détournés pour voler des renseignements personnels, voler la propriété intellectuelle, pirater la banque de l'utilisateur, etc.
Les activités destructrices et perturbatrices se multiplient à un rythme insoutenable pour les gouvernements et les entreprises. Je m'inquiète du vol de propriété intellectuelle, de la compromission des recherches médicales, de la conduite de campagnes d'influence pour miner les processus démocratiques, de la perturbation des infrastructures essentielles et des activités de base, et enfin, du piratage général des institutions financières internationales et de tant d'autres problèmes semblables. En 2020, il y a eu accélération sur bon nombre de ces fronts parce que nous nous sommes lancés dans la transformation numérique et que les gouvernements continuent d'opter pour cette économie numérique.
Il est vraiment essentiel maintenant que nous investissions conjointement pour renforcer la résilience et que nous essayions de réduire ou d'éliminer le risque dont nous avons hérité et que nous avons accepté au cours des 30 dernières années.
[L'écran de Melissa devient noir.]
Je travaille avec Scott et des gens du monde entier pour sensibiliser les gouvernements et les entreprises à ce qui sera nécessaire pour assurer la résilience et tirer parti des possibilités de l'économie numérique à l'avenir.
Taki : Merci, Melissa. Scott, Melissa a soulevé beaucoup de questions que nous allons examiner de façon un peu plus systématique. L'une des grandes choses que l'on comprend intuitivement, c'est que l'économie est en train de devenir une économie en ligne. La COVID a accéléré le mouvement. Melissa a dit qu'environ 15 % de l'économie mondiale est en ligne actuellement.
[Melissa hoche la tête.]
Il ne faut pas être un génie pour savoir dans quel sens va cette trajectoire. Il n'y aura probablement aucun recul. La proportion va sans doute continuer d'augmenter. Au moment où notre monde et notre économie commencent à passer en ligne, sommes-nous prêts, Scott?
Scott : Il faut prendre un peu de recul et réfléchir à la question. Il n'est pas dit qu'on soit en ligne parce qu'on y fait un achat, mais l'entreprise à laquelle le consommateur s'adresse est en ligne. Sa chaîne d'approvisionnement logistique est en ligne. Elle a besoin de tous ces systèmes en ligne.
[La fenêtre vidéo de Scott remplit l'écran.]
Elle est probablement dans un immeuble doté de systèmes en ligne. C'est ce qui s'accélère maintenant : l'Internet inaperçu. Nous entendons parfois parler de l'Internet des objets, mais nous pensons tous à des choses comme des haut-parleurs intelligents et des ampoules intelligentes – des choses que nous connaissons. Je veux parler des systèmes qui contrôlent les immeubles. Je me trouve dans l'immeuble très vide de notre administration centrale en ce moment, mais chaque luminaire ici est régi par un contrôle central. Le système de chauffage peut être contrôlé à distance par les gestionnaires du bâtiment. Ce sont autant de choses qui passent inaperçues. Il y a une chaîne logistique.
Dans l'Évaluation des cybermenaces nationales, nous étions bien sûr préoccupés par tous les objets avec lesquels nous interagissons au quotidien, mais dans presque toute notre vie, nous dépendons de choses dont nous ne savons même pas qu'elles sont connectées à Internet.
[Les trois fenêtres vidéo reviennent à l'écran.]
C'est là une immense difficulté pour les gouvernements à l'heure actuelle. Par quel bout s'attaquer au problème? Et je n'ai même pas parlé des données générées sur ce que nous faisons en tant qu'individus.
[Taki hoche vigoureusement la tête pendant que Scott parle.]
On a fait grand cas des changements en matière de protection de la vie privée qui ont été apportés par les grandes entreprises d'Internet. Elles ne font plus de recherches dans nos courriels pour produire des annonces. C'est parce qu'elles n'ont plus à le faire. Elles ont tout ce qu'il faut pour établir nos profils. Elles n'ont plus besoin de nous voir comme des individus parce qu'elles nous ont catalogués.
Nous avons toutes ces difficultés sur Internet. Il est tout à fait vrai que notre pays va subir une énorme pression. Sommes-nous prêts? Non, nous ne le sommes pas. Essayons-nous de nous préparer? Tout à fait. Y a-t-il des choses qui s'améliorent? Indéniablement. Les organisations comprennent mieux leur risque systémique. Les conseils d'administration en parlent. La cybersécurité exige des investissements.
[La fenêtre vidéo de Scott remplit l'écran.]
Cela signifie que, lorsque nous allons faire des acquisitions, nous devrons commencer à penser différemment la question de la sécurité. Nous ne pouvons pas toujours accepter l'offre la plus basse, par exemple. Nous ne pouvons pas encourager un PDG à réduire les dépenses en matière de sécurité pour un produit qui fait partie intégrante de la gestion de notre infrastructure de réseau. Nous aborderons probablement certaines des activités récentes à grande échelle dans la chaîne d'approvisionnement. Nous devons parler d'incitatifs. Nous devons parler de ce qu'est une industrie et de la façon dont nous pouvons commencer à changer ce que nous pouvons considérer comme l'incapacité du marché à considérer la sécurité comme un risque réel.
[Les trois fenêtres vidéo reviennent à l'écran.]
Taki : Scott soulève de très bonnes notions que les fonctionnaires doivent vraiment intégrer. Il arrive qu'on se dise, quand on entend les mots cyber et cybersécurité, « ce n'est pas pour moi, c'est une affaire de connexions et de matériel; s'il y a un problème, ma banque va me rembourser; je suis protégé ». La cybersécurité, ce n'est pas que ça. C'est ce que c'était il y a 15 ans. Aujourd'hui, c'est exactement ce dont parle Scott. La cybersécurité concerne tout, depuis l'eau qu'on boit jusqu'aux feux de circulation, depuis la porte principale qui se verrouille et se déverrouille jusqu'au haut-parleur qui écoute et qui relève des indices.
Il y a des vulnérabilités partout. Comme Melissa l'a dit, elles se multiplient de jour en jour parce que le nombre d'objets connectés augmente de façon exponentielle. Il y a un ou deux ans, nous avons commencé à entendre l'expression « Internet des objets ». D'ici 2030, un million d'appareils seront connectés à Internet. Que dis-je, d'ici 2030, j'aurai un million d'appareils connectés à Internet. Tout est connecté, mais ce n'est que la première étape. À la deuxième étape, tout commencera à communiquer : la voiture avec l'ouvre-porte de garage, le chauffage central, l'éclairage. C'est important pour tous les analystes des politiques du gouvernement du Canada.
Revenons un peu en arrière. La première fois que beaucoup d'entre nous ont commencé à entendre parler de la question, c'est à l'occasion d'un mauvais film. Il y a quelques années, Seth Rogen a réalisé un film et quelqu'un s'est vraiment fâché contre Sony. Scott et Melissa, qui de vous deux voudrait nous expliquer ce qui s'est passé? Certains disent que c'est une attaque. D'autres parlent de méfait, d'espionnage ou encore d'empiétement sur la souveraineté. Premièrement, que s'est-il passé? Nous parlerons ensuite de ce dont il s'agissait.
Melissa : Ce navet a été produit par Sony Pictures, une filiale de Sony Corporation aux États-Unis.
[La fenêtre vidéo de Melissa remplit l'écran.]
Le siège social se trouve au Japon et la société a une filiale américaine. Ce point a son importance. La filiale aux États-Unis lançait un très mauvais film intitulé « L'interview qui tue! ». On s'y moquait du gouvernement nord-coréen et de la Corée du Nord en général. La Corée du Nord s'en est offusquée et a exigé que Sony Pictures ne diffuse pas le film. Disons que c'est la première scène. Sony Pictures a refusé d'obéir ou de répondre à la demande du gouvernement nord-coréen. Ce gouvernement ou son mandataire s'est introduit dans le système de Sony Pictures, qui avait un très faible dispositif de cybersécurité, a infiltré ses réseaux d'entreprise, a pu trouver les courriels d'entreprise et a vraiment tenté de faire dérailler le lancement du film pour qu'il ne se retrouve pas dans les réseaux.
[Les trois fenêtres vidéo reviennent à l'écran.]
En même temps, une menace générale a été lancée contre ceux qui iraient voir le film au cinéma. C'est la deuxième scène, le point culminant. C'est devenu un problème politique. Le président Obama, alors au pouvoir, a d'abord parlé d'un acte de vandalisme. Ce fut la réaction initiale. Mauvaise sécurité d'entreprise. Vous devriez avoir honte, Sony. Il fallait vraiment investir là-dedans. Ce n'est pas une question de sécurité nationale en soi, parce que c'est un film et que vous n'êtes pas une infrastructure essentielle.
Mais lorsqu'il y a eu une menace importante pour les citoyens, le gouvernement devait vraiment intervenir et prendre la question au sérieux. Peut-être n'était-ce pas un acte de vandalisme, mais plutôt un incident qui exigeait vraiment une décision stratégique. L'administration n'était vraiment pas prête à affronter un problème de cet ordre. Elle l'était pour contrer l'espionnage, pour lutter contre des activités plus destructrices, mais pas pour gérer un incident comme celui-là.
Chose curieuse, la société mère, Sony, au Japon, s'est dissociée du problème. C'était la responsabilité de Sony Pictures.
[La fenêtre vidéo de Melissa remplit l'écran.]
Du point de vue de l'entreprise et de la gestion des risques d'entreprise, il a été également important de voir jouer la dimension territoriale, c'est‑à‑dire la présence d'une même entreprise dans divers pays. Dans cette optique, il ne semblait y avoir aucun vrai problème. Ce sont en quelque sorte les premières scènes. Mais je ne pense pas que le problème ait été très bien réglé. Sony Pictures a déclaré avoir amélioré la cybersécurité. En fin de compte, elle a engagé un nouveau dirigeant principal de la sécurité de l'information. Je dirais qu'elle n'investit toujours pas vraiment dans la sécurité de ses réseaux. Le risque n'était pas trop grand par rapport aux conséquences de poursuites judiciaires, notamment. Au fond, ça a créé un véritable embarras.
[Les trois fenêtres vidéo reviennent à l'écran.]
Taki : Scott, nous avons donc une entreprise dans le pays A et telle autre entreprise qui est attaquée par le pays B ou ses hommes de main. Si ce pays avait envoyé des soldats de l'Empire, nous aurions tous compris. Nous nous serions sentis attaqués. Est-ce la responsabilité de l'État? Vous travaillez dans l'administration publique, tout comme moi. Le gouvernement est-il censé réagir lorsque quelqu'un attaque une entreprise?
Scott : C'est en fait la question clé. Nous serions nombreux à dire oui. Est-il raisonnable de compter qu'une entreprise puisse se défendre contre un État-nation qui a décidé d'utiliser le pouvoir national contre elle? Pour répondre à votre question, nous ne permettrions pas à une équipe d'action discrète de mener ses activités sur notre territoire. Pourquoi serait-ce acceptable dans l'espace numérique?
[La fenêtre vidéo de Scott remplit l'écran.]
Par contre, on s'attendrait aussi à ce que cette entreprise ait une meilleure sécurité matérielle, qu'elle ait réfléchi au problème et qu'elle ait mis en place des mesures de sécurité.
Si on laisse sa porte d'entrée ouverte, peut-on parler d'introduction par effraction? C'est une question très complexe. Le problème, pour nous, c'est que cela s'est transformé en une tendance pour la prochaine génération de cybercriminels. Pirater, voler, faire du chantage. Les entreprises se sont mieux préparées à lutter contre les rançongiciels. C'était une belle formule : voler de l'information et en divulguer un peu, qui soit vraiment embarrassante – surtout dans le monde du divertissement si on peut profiter de TMZ. Ensuite, le voleur fait chanter la victime. Dans ce cas-ci, l'objet du chantage était la diffusion de ce film. C'était un embargo. Mais dans le cas de la cybercriminalité, on dit : « Payez-nous, sinon nous allons laisser les choses suivre leur cours, nous allons vous faire perdre la confiance de vos clients. Nous allons vous faire perdre la confiance de ceux qui vous ont confié ces données. » Il faut tenir compte de bien des éléments. Le fait qu'il s'agisse d'un État-nation ou de son mandataire est l'un des problèmes les plus ardus parce qu'il est difficile de faire la distinction.
[La fenêtre vidéo de Scott remplit l'écran.]
Habituellement, on ne se présente pas et on ne brandit pas le drapeau de son pays. Et franchement, il faut aussi se demander si tout est bien vrai. C'est toute la question de l'attribution qui se pose.
Taki : Un autre enjeu clé auquel il faut continuer de réfléchir lorsqu'on gère des programmes, élabore des politiques ou réagit à des faits est que ce qui se passe dans le cybermonde a des points de comparaison dans le monde analogique. Il y a du vol. Il y a de la violence. Il y a des attaques. Il y a de bonnes choses et de mauvaises choses qui se passent. Les règles se transposent-elles entre les deux mondes? S'agit-il d'une agression si on clique sur « Je n'aime pas »? De vol? De vandalisme? De méfait? Qu'est-ce que c'est? L'une des choses que nous savons du cyberespace, c'est qu'il facilite la participation à ces activités. L'opération est à une échelle assez modeste et les coûts sont assez bas par rapport à ce qu'ils seraient si on créait des soldats de l'Empire pour survoler l'océan, les larguer en parachute et attaquer les installations de NORAD et de l'OTAN. Quelques clics, c'est relativement peu cher.
Scott a dit un mot des rançongiciels. Nous allons aborder la question dans quelques minutes parce que c'est un autre problème important qui se répand dans le monde. Au préalable, je voudrais parler de ce que bien des gens, du moins dans les couches populaires, considèrent comme l'autre grand incident, après celui de Sony. J'ai toujours du mal à prononcer ce mot : Stuxnet. Melissa nous a parlé de Sony. Scott, voulez-vous nous parler de Stuxnet? Il y a encore un peu de mystère à ce sujet. Il vous est peut-être plus facile d'en parler, en tant que Canadien, que ce ne l'est pour quelqu'un qui a travaillé à la Maison-Blanche.
Scott : Bien sûr. Il y a à ce sujet des informations assez répandues et des spéculations. C'est ce dont je vais surtout parler.
[ La fenêtre vidéo de Scott remplit l'écran. Son audio se désynchronise pendant qu'il parle.]
Stuxnet est un logiciel qui a servi à infiltrer les centrifugeuses iraniennes et à agir physiquement sur elles en leur donnant une vitesse de rotation excessive au point qu'elles se détruisaient. C'était un moyen d'obtenir un résultat d'intérêt national, mais en utilisant des moyens cybernétiques plutôt que des bombardiers, des missiles ou d'autres moyens. L'objectif du programme était de ralentir l'enrichissement de l'uranium.
Le logiciel se propageait très bien. Il ciblait les contrôleurs logiques programmables, qui régissent la vitesse de rotation des centrifugeuses. Il a permis de rendre ces centrifugeuses inutilisables. Ce dont on discute, cependant, c'est du fait que, une fois qu'on lance un logiciel comme celui-là, d'autres gens peuvent tout voir. Ils en comprennent le fonctionnement, ils peuvent s'en emparer et le réutiliser. C'est ce qui a fait l'objet d'une grande partie du débat, et non l'utilisation initiale. Comment ces outils peuvent-ils être adaptés à d'autres fins? Une fois un cyberoutil lancé, les autres le remarquent, et voient la vulnérabilité qui a été exploitée. D'autres en constatent le potentiel. Une fois la ligne de démarcation déplacée, elle reste, et je dirais que d'autres la déplacent beaucoup plus que nos alliés. Est-ce un acte de guerre ou non?
C'est ce dont il est beaucoup question. Je ne vais pas me prononcer, car je ne suis pas expert en actes de guerre, mais en cybersécurité. Au bout du compte, pour obtenir le même résultat, les solutions cinétiques auraient été les seules, avant la cybernétique. Voilà certaines des choses dont il faut discuter. C'est vraiment ce qu'était Stuxnet. Ce logiciel se propageait, et il pouvait le faire de façon autonome. Il était très ciblé. Il a été conçu expressément pour une certaine fin, mais il pouvait être modifié pour atteindre une autre fin. Voilà, grosso modo, mon point de vue.
[Les fenêtres vidéo de Taki et de Melissa reviennent à l'écran.]
Taki : Melissa, je vais m'adresser à vous dans un instant. Juste pour que nos auditeurs comprennent, chez Sony, une attaque numérique a eu un retentissement au plan numérique. Il s'agissait de fichiers. Il y toutes sortes de fichiers qui donnent de l'information : « Qui est Brad Pitt? Qui aime-t-il? Qui n'aime-t-il pas? Quel est ce film? » Dans le cas de Stuxnet, une attaque numérique a entraîné des changements dans le monde matériel, et je crois que Scott a parlé de turbine, de fusion, d'appareils qui tournaient plus vite qu'ils ne l'auraient fait normalement ou qui tournaient plus lentement, selon le cas. Cette attaque a eu des résultats d'ordre cinétique. À vous, Melissa.
Melissa : Stuxnet a vraiment été le premier cas largement rapporté d'attaque contre une infrastructure essentielle : le programme nucléaire de l'Iran.
[La fenêtre vidéo de Melissa remplit l'écran.]
Cette attaque a touché un cinquième des centrifugeuses nucléaires de ce pays, ce qui a perturbé, disons, 20 % de son programme nucléaire et de sa capacité de créer des armes nucléaires. C'était le résultat stratégique souhaité. Ce qui a été intéressant à ce sujet, et peut-être à la suite de cela, c'est que toutes les sociétés de sécurité – Symantec, McAfee et Kaspersky – ainsi que des établissements de recherche en génie comme le CERN ont mené une vaste étude. Ils ont tous publié des articles pour expliquer ce qui s'est passé et comment cela s'est produit.
Premièrement, je dirai, pour que vous puissiez comprendre ce qui se passait dans le monde, que c'est une vulnérabilité générale de Microsoft qui a été exploitée. Deuxièmement, Stuxnet ciblait le logiciel Siemens qui était utilisé pour les éléments techniques de la centrifugeuse. Tous ces gens ont publié des articles disant : « Voici comment ça s'est passé et voici comment vous pourriez le refaire. »
[Les trois fenêtres vidéo reviennent à l'écran.]
Stuxnet a eu des descendants. L'un d'eux s'appelle Shamoon. Il y a environ 11 versions de Stuxnet qui sont maintenant utilisées contre des infrastructures essentielles partout dans le monde parce que la communauté de la sécurité les a largement évaluées, les a publiées et les a rendues disponibles sur Wikipédia. Le logiciel est sur WikiLeaks. Il a été largement mis à la disposition de tout le monde, pas seulement des États-nations, des militaires ou des services de renseignement.
Taki : C'est un point d'une extrême importance dont il faut se souvenir. Depuis le début de la civilisation, les outils de la guerre, en général, ont été réservés à des organisations de haut niveau comme les États et les empires. Maintenant, ils peuvent être, en théorie et en pratique, à la disposition d'un enfant de 12 ans vraiment intelligent qui se trouve dans le sous-sol du voisin. Il n'est pas nécessaire que ce soit un enfant de 12 ans très riche. Il faut simplement qu'il soit un enfant de 12 ans vraiment intelligent.
Incident suivant. Récemment, deux ou trois choses. Des élections. Une insurrection. Il s'est produit une autre chose dont nous aurions probablement beaucoup parlé s'il n'y avait pas eu d'attaque insurrectionnelle. Je ne suis pas certain que nous ayons encore les bons mots pour en parler. La plupart des gens parlent de l'incident SolarWinds. Melissa, de quoi s'agit-il, et pourquoi devrions-nous nous en soucier?
Melissa : J'ai fait beaucoup d'analyses à ce sujet et sur SolarWinds. C'est le domaine auquel je m'intéresse. SolarWinds, donc. C'est l'entreprise qui détient la plus grande part de marché dans la gestion et la surveillance de réseaux. Les entreprises et les gouvernements du monde entier utilisent son logiciel pour surveiller la sécurité de leurs réseaux, pour optimiser leur efficacité et ainsi de suite. SolarWinds a le meilleur produit. Elle est au sommet de sa catégorie, dans le coin supérieur droit du Quadrant magique de Gartner. Son logiciel de gestion et de surveillance se situe dans une catégorie à part. L'entreprise n'a rien caché au sujet de sa clientèle. On y compte les entreprises de Fortune 500, et de nombreux services du gouvernement américain et d'autres gouvernements. La liste de toutes ces entités se trouvait sur son site Web jusqu'au 15 décembre environ.
Je considère qu'il s'agit d'une attaque globale de la chaîne d'approvisionnement des technologies de l'information et des communications (TIC). On s'en prend à une entreprise qui détient une grande part de marché et qui permet de toucher beaucoup d'autres cibles : des cibles imbriquées. SolarWinds a pris une série de décisions pour optimiser les coûts et n'a pas accordé suffisamment d'attention à la sécurité. Son travail de génie a été confié des entreprises du Bélarus, de la République tchèque et de la Pologne. Elle n'avait pas de très bons processus de sécurité pour protéger sa technologie. Elle est donc devenue une cible de grande valeur.
Taki : Melissa, il y a un instant, vous avez dit que c'était le meilleur logiciel de sa catégorie, dans le quadrant supérieur droit de Gartner. Vous dites maintenant que la sécurité n'était pas très bonne. Comment concilier les deux affirmations?
Melissa : C'est un produit de gestion et de surveillance des réseaux. L'entreprise n'a pas cherché à se protéger en veillant à ce que son produit ne puisse être manipulé ou qu'il ne soit pas vulnérable. Le produit était bon pour ce qu'il était censé faire. C'est ce que nous constatons habituellement dans l'ensemble de l'industrie des TIC. Déploiement rapide et colmatage après : nous allons optimiser nos coûts en confiant le travail à des ingénieurs d'Europe de l'Est ou de l'ex-Union soviétique; nous n'allons pas investir dans la sécurité de notre propre entreprise parce que cela a une incidence sur nos résultats financiers.
[La fenêtre vidéo de Melissa remplit l'écran.]
Le problème est généralisé. Je dirais que tout le secteur des TIC fait preuve de la même négligence. Ces entreprises sont devenues une cible de grande valeur. Les firmes de sécurité et le gouvernement des États-Unis ont signalé que, du moins au départ, l'entreprise SolarWinds avait été ciblée par le gouvernement russe et plus précisément par deux de ses services de renseignement, le SVR et le FSB.
Les Russes ont fait un excellent travail de reconnaissance chez SolarWinds. Au départ, ils ont implanté un logiciel malveillant sur son réseau pour observer son processus de développement et voir comment on élaborait le code. Ils ont été en mesure de comprendre le processus suffisamment bien pour implanter un code qui leur permettait d'entrer par des portes dérobées dans le programme. Les Russes pouvaient désormais mettre à jour le code sans que SolarWinds en ait la moindre idée. Cela est arrivé dès septembre 2019. Ils avaient déjà choisi cette entreprise bien avant parce qu'elle avait fait un travail de reconnaissance. Ils se sont introduits dans l'entreprise en septembre 2019. Ils ont commencé à modifier le code sans que SolarWinds s'en aperçoive, puis ils ont intégré au moins deux versions de logiciels malveillants dans les mises à jour logicielles.
Bref, si je suis connectée à SolarWinds, je vais maintenant obtenir une mise à jour logicielle, mais je vais recevoir du même coup un logiciel malveillant qui va échapper à tout mécanisme de détection parce qu'il a été authentifié et qu'il est légitime dans mon réseau. Ainsi, je vais ouvrir une porte dérobée par laquelle les Russes pourront s'introduire dans d'autres entreprises ou services gouvernementaux. Tout cela s'est fait entre octobre 2019 et juin 2020. Le maliciel comporte de multiples aspects.
Comment l'a-t-on découvert? C'est le prochain point important. L'entreprise FireEye, qui est connue pour la cybersécurité, les tests d'intrusion et les analyses médico‑légales pour bon nombre de nos gouvernements et de nos entreprises, a reçu un appel au sujet d'un des titres de compétences d'un employé. Cela a incité les responsables à commencer à faire des vérifications. C'est vraiment étrange. Nous devons commencer à scruter notre mécanisme de vérification des qualifications, notre répertoire actif et la gestion des identités et des accès dans notre réseau.
L'entreprise a constaté qu'elle avait été victime d'intrusion et qu'elle avait perdu des actifs de propriété intellectuelle. Au moins 300 de ses outils d'analyse médico‑légale avaient été volés, copiés illégalement. Après une autre semaine d'analyse médico‑légale, FireEye a découvert qu'elle avait été victime de l'intrusion dont SolarWinds avait fait l'objet parce qu'elle utilisait ce logiciel sur son réseau. Il s'agit de l'une des 18 000 entreprises qui ont été touchées et dont le réseau a été infecté par le maliciel, en même temps que celui de nombreuses institutions gouvernementales. C'est ainsi que nous avons décelé le problème. Nous n'avons été mis au courant qu'en décembre 2020. Les Russes ont eu accès pendant plus d'un an à au moins 18 000 cibles. Peut-être plus, car SolarWinds a plus de 300 000 clients. Je peux continuer ou m'arrêter là.
[Les trois fenêtres vidéo reviennent à l'écran.]
Taki : Nous allons vous interrompre un instant. Scott, par rapport aux États-Unis, on estime généralement que le Canada représente environ un dixième. Il a beaucoup été question de SolarWinds aux États-Unis, mais d'après ce que nous en savons, le problème n'est pas limité aux États-Unis. Quelles sont les retombées de l'affaire SolarWinds au Canada?
Scott : Il y a quelques points à signaler. Le résumé que nous venons d'entendre est fascinant. La seule chose que j'ajouterais, ce sont des félicitations pour FireEye, qui a pris les devants en divulguant les faits, qui a eu assez de courage pour le faire. L'entreprise aurait pu attendre la période de déclaration obligatoire. À ceci près qu'en faisant connaître les faits quelques semaines avant Noël, elle a en quelque sorte gâché la période des Fêtes pour l'ensemble du milieu de la sécurité.
[La fenêtre vidéo de Scott remplit l'écran.]
Elle a aussi été très rapide pour nous donner accès et s'attaquer au problème. Microsoft a aussi beaucoup contribué aux recherches. L'entreprise FireEye mérite d'être félicitée pour le courage dont elle a fait preuve. Toutes les entreprises n'en font pas autant.
Quel a été l'impact sur le Canada? C'est l'industrie canadienne qui s'en occupe. Le gouvernement du Canada a eu quelques difficultés. Heureusement, dans bien des cas, la version vulnérable n'avait pas été installée. Je l'ai dit de façon sarcastique : « Dieu merci, il arrive que le gouvernement n'installe pas les correctifs comme il le devrait. » Dans ce cas-ci, cela a été avantageux. J'ai parlé à un bon nombre de dirigeants principaux canadiens de la sécurité de l'information qui m'ont dit la même chose. Par ailleurs, à bien y repenser, il y a aussi un lien avec nos investissements dans la cybersécurité. Il y a des façons de faire, même avec une chaîne d'approvisionnement et un logiciel compromis. On peut l'exécuter dans le respect des pratiques exemplaires établies en matière de sécurité. On ne reste pas branché sur Internet. On isole le logiciel dans le réseau de gestion. Il est possible de ne pas être atteint, même en utilisant la version vulnérable. Il y a donc bien des façons de mettre un terme à l'intrusion. Oui, SolarWinds avait des mesures à prendre. Mais en séparant les zones, en isolant correctement le logiciel... Des entreprises canadiennes qui avaient la version vulnérable avaient aussi isolé leur réseau de gestion.
Ce produit a été conçu de telle façon qu'il fallait désactiver certaines parties de l'antivirus et de la protection de sécurité pour qu'il fonctionne. L'accès était considérable. C'est la clé principale qui donne accès à tout ce qui est géré. Il nous faut donc commencer à nous interroger non seulement sur la chaîne d'approvisionnement, mais aussi sur la façon dont les entreprises l'utilisent. Il y a des façons de s'y prendre, et elles sont bien comprises, bien documentées. Je ne veux pas parler ici d'un réseau classifié à isolement physique avec des dispositifs de chiffrement coûteux de plusieurs millions de dollars. Je parle simplement de la coupure avec Internet; une déconnexion afin d'empêcher une reconnexion. Cette seule mesure a protégé certains organismes. Les médias ont rapporté un cas dans des entreprises canadiennes. Il y avait également un coupe-circuit intégré dans le logiciel que les chercheurs ont découvert et qui a été envoyé à un certain nombre de victimes. Il a désactivé la porte dérobée.
Si l'acteur en question, et je ne donnerai pas le nom d'un pays ici, compte tenu de mon rôle, n'était pas intéressé... C'est aussi un dispositif qui a été envoyé. Il y avait bien des choses. D'après mon expérience, il s'agissait d'une opération de renseignement très bien orchestrée, mûrement réfléchie. Melissa a abordé tout ce qui se rapporte à la reconnaissance. Inutile d'y revenir. Mais il y a un lien avec ce à quoi nous devons commencer à réfléchir : le risque systémique. Comment ces choses se sont-elles aggravées? Que doivent affronter nos services de TI?
Chaque service de TI vise à réduire les coûts le plus possible. Il faut externaliser, il faut confier le travail à celui qui propose le coût le plus bas, par souci des résultats comptables. J'ai entendu dire à quelqu'un, que je regrette de ne pouvoir nommer : « Ou bien vous savez que vous êtes une entreprise numérique ou bien vous allez quitter le marché parce que vous vous comportez de façon à en arriver là. » Cela vaut également pour l'appareil gouvernemental. Voilà le résumé général.
Dans cette affaire, il ne semble pas que le Canada ait été très ciblé. Nous avions le logiciel. Nous étions vulnérables. Nous aurions pu être ciblés. Tout semble indiquer qu'il n'y a pas eu d'intrusion majeure, surtout parce que nous n'étions probablement pas en tête de liste cette fois-ci.
[Les trois fenêtres vidéo reviennent à l'écran.]
Taki : Je suis un simple citoyen. Je regarde tout cela et j'ai envie de jeter l'éponge. Je me dis que je ne peux pas faire grand-chose. Scott, il semble que la plus grande faiblesse en matière de sécurité dans chaque organisation, c'est qu'au bout du compte, elle est reliée à un organisme à base de carbone, c'est-à-dire l'être humain. Dans ce cas-ci, si on se fie à la description que Melissa propose, il semble que la plupart des gens, en dehors de SolarWinds, ont fait la bonne chose. Ils ont acheté le meilleur système de sécurité. Ils ont acheté le meilleur produit de la catégorie. Pourtant, il y avait encore des vulnérabilités. Vous faites entendre un son de cloche un peu différent.
Scott : Je dirais que Melissa a vraiment trouvé ce qu'il faut. C'est un produit de premier ordre pour ce qu'il fait. Tous les clients cherchaient le meilleur produit de sa catégorie pour ce qu'il fait. Ils n'en ont pas évalué la conception, et ils n'ont pas non plus essayé de voir s'il était conçu de façon sécuritaire. Ils n'ont pas évalué le produit sous cet angle. Voilà pourquoi je dirais que c'est un problème dû à un organisme à base de carbone. On était à la recherche du coût le plus bas. On n'attachait pas de valeur à la sécurité et on ne songeait pas au point de vue de l'auteur des menaces.
S'il y avait intrusion, à quoi le criminel aurait-il accès? Si l'intrusion était possible, les entreprises auraient déployé le logiciel différemment. Elles auraient investi dans leur service de sécurité des TI pour le déployer correctement. Elles se seraient dit : « Je veux que ce produit subisse une sorte de test de vulnérabilité. Que tous les membres de l'industrie qui veulent utiliser cette technologie conjuguent leurs efforts et la soumettent à des tests adéquats. » Certaines caractéristiques donnent l'impression que l'auteur de l'intrusion savait que cela pourrait se produire. Mais l'industrie peut réagir. L'argent et les approvisionnements ont un extrême pouvoir. Les fournisseurs ont besoin de clients. En fin de compte, l'erreur a été de ne pas mettre l'accent sur cette partie du problème.
Melissa : Je suis d'accord. Les grandes institutions financières et les entités gouvernementales importantes qui voulaient utiliser le produit auraient dû exiger, pour préserver leur mission, que le fournisseur fasse preuve d'une diligence raisonnable. Impossible d'accepter que des institutions bancaires soient vulnérables, ce qui pourrait littéralement perturber les finances dans le monde entier. Leur mot de passe pour télécharger les mises à jour du logiciel était SolarWinds123, non crypté. Vu cette négligence flagrante, et je n'utilise pas l'expression à la légère, dont SolarWinds a fait preuve au sujet de la sécurité de sa propre infrastructure, je ne pense pas que l'entreprise survivra à cet incident. Parce que nous allons extirper ce logiciel de notre infrastructure. Cette plateforme en particulier, Orion, qui est sa plateforme phare, lui rapportait 45 % de ses revenus.
Taki : Vous avez abordé directement et indirectement un aspect auquel nous ne pensons pas beaucoup, c'est-à-dire la chaîne d'approvisionnement de ces produits. Scott a dit que l'organisme à base de carbone a commis une erreur parce qu'il n'a pas vérifié la chaîne d'approvisionnement de façon exhaustive. Est-ce réaliste de compter là-dessus? Dois-je le faire avant d'acheter mon prochain iPhone ou mon prochain Android ou ma prochaine tasse à café connectée à l'Internet des objets, ma brosse à dents Braun connectée à l'Internet des objets? Dois-je le faire? Premièrement, quelle est la chaîne d'approvisionnement? Deuxièmement, dois-je faire cela moi-même? Melissa, premièrement, quelle est la chaîne d'approvisionnement? Nous avons des navires. Où les navires sont-ils construits? Nous avons la fibre. Où la fibre est-elle fabriquée? Il y a bien des choses qui entrent dans la composition des produits de l'Internet des objets ou des produits numériques.
Melissa : La chaîne d'approvisionnement est mondiale. Même si la puce a été conçue à Seattle, elle est habituellement produite en Chine. Pour produire votre iPhone ou mon ordinateur, il y a des contributions qui viennent probablement d'au moins une vingtaine de pays. Où ce clavier est-il fabriqué? Où le silicium est-il produit? D'où vient l'écran? Il ne me semble pas utile de prendre des décisions en fonction du pays de production.
[La fenêtre vidéo de Melissa remplit l'écran.]
Il nous faut commencer à réfléchir à la façon d'assembler toutes ces composantes pour obtenir résilience et sécurité, d'autant plus qu'il y a de plus en plus produits automatisés et autonomes. Nous devons penser d'abord à la sécurité. Nous devons nous préoccuper de la résilience, de la sécurité et de la protection des renseignements personnels. Ce sont là des éléments clés que nous exigeons et que nous exigerons probablement dans l'avenir à l'échelon gouvernemental parce que l'industrie n'est pas nécessairement encouragée à aller dans ce sens. Si j'ai un Android, qui présente actuellement de graves vulnérabilités et qui, s'il est relié à autre chose, propage une infection, il faut s'occuper du problème.
Les Européens viennent de publier des directives sur la sécurité de l'Internet des objets pour la conception de l'architecture de la prochaine génération. L'an dernier, la Californie a légiféré pour interdire la vente en Californie, mais essentiellement aux États-Unis, d'appareils à encodage fixe; il faut pouvoir mettre à jour les mots de passe, mettre à jour le logiciel et assurer la sécurité. Les Japonais ont aussi légiféré et ils appliquent la méthode de l'équipe rouge aux produits avant d'en autoriser la mise en service.
Nous n'en sommes qu'au début. Le problème, c'est que nous avons déjà déployé beaucoup de dispositifs non sécuritaires. Nous devons encore réduire le risque des problèmes hérités du passé et corriger le problème d'aujourd'hui grâce à des règlements qui protégeront les consommateurs. Une partie de la solution vient de certains règlements sur la protection des renseignements personnels, d'autant plus que vous mettez tous à jour la Loi sur la protection des renseignements personnels et les documents électroniques. La Californie vient de mettre en place des lois assez strictes à ce sujet. Il faut aborder la question de façon large, au moment de consentir un investissement de 180 milliards de dollars et de moderniser les infrastructures de base pour passer à l'économie numérique et accélérer la transition. Cet argent doit servir non seulement à accélérer la modernisation, mais aussi à assurer la résilience, la sécurité et la protection de la vie privée.
[Les trois fenêtres vidéo reviennent à l'écran.]
C'est là que nous devons réduire les divergences de vues avec les décideurs. Ils pensent d'abord aux avantages économiques, quitte à s'inquiéter plus tard des risques pour la sécurité ou des problèmes que cette évolution fait apparaître.
Taki : Scott, on dirait que le bon acteur doit toujours avoir raison dans bien des domaines que Melissa a décrits. Le méchant a seulement besoin d'avoir raison une fois, que ce soit dans le matériel, les logiciels, l'intrusion physique, la corruption d'un programmeur ou la corruption d'un gardien de sécurité qui permet de prendre des photos interdites. Est-il réaliste de penser que notre monde de plus en plus branché sera aussi sûr que le monde analogique?
Scott : Tout à fait. La bonne comparaison, pour le Canada, vient du hockey. Le gardien de but est un héros, mais s'il laisse passer une rondelle, il est le plus vilipendé de sa ville. Il a pu arrêter un million de tirs, mais s'il laisse passer une seule rondelle...
Est-il raisonnable de compter que chacun vérifie l'ensemble de la chaîne d'approvisionnement? Pour certains d'entre nous, peut-être. Nous pourrions le faire. Mais non, ce n'est pas raisonnable. Parce que nous n'avons pas accès aux données voulues. Une grande partie des données est protégée par des droits exclusifs. Elles sont confidentielles. Comment pouvons-nous commencer à régler le problème? Il s'agit en partie d'un changement de mentalité. Nous nous soucions des appareils individuels à sécuriser, mais il faut commencer à réfléchir aux moyens de sécuriser l'ensemble du système.
Nous supposons qu'il y aura des atteintes à la protection des données, qu'il y aura des vulnérabilités, et, au stade de la conception, nous nous efforçons de les limiter. Vous en entendez déjà parler. Il est question par exemple de sécurité « Confiance nulle ». Nous allons dans cette direction pour l'infrastructure du gouvernement du Canada. Sinon, les progrès seraient trop lents. Comment bâtir un système pour résister aux menaces très rapidement? Comment protéger les données? Pensez au contrôle de l'infrastructure dans une ville. Qu'est-ce qui vous inquiète? Cela vous dérange‑t‑il qu'on puisse prendre connaissance d'une commande? Non. Cela n'a pas à être confidentiel. Mais vous voulez vous assurer que personne ne pourra mettre tous les feux de circulation au vert à un carrefour, car il y aurait des accidents de voiture.
[Scott frappe ses poings l'un contre l'autre.]
Lorsqu'on fait un achat, on sait bien que tous ceux qui sont au fait de ce qui se passe savent qu'on est dans tel magasin, en train d'acheter tel produit. Ce qu'on veut éviter, c'est que le marchand demande 1 000 $ pour un achat de 10 $. C'est l'intégrité du message qui importe. Au nom de principes de base, mais aussi à titre de consommateurs, nous devons commencer à nous demander : « Je comprends que cette ampoule coûte 8 $ sur le site d'Amazon et je peux me la procurer. Où est-elle fabriquée? Pourquoi coûte-t-elle seulement 8 $? Quelqu'un d'autre demande 28 $ pour la même ampoule. » Je peux vous garantir que quelqu'un a pris beaucoup de raccourcis.
Les villes intelligentes vont acheter des millions de capteurs. Un dollar par capteur, cela commence à faire de bonnes économies. Et ces capteurs vont durer une dizaine d'années. Ils sont conçus en conséquence : ils ont une faible consommation, ils sont fournis en vrac et ils ont une longue durée de vie. Mais comment les mettre à jour? Ce n'est pas un simple objet qu'on achète. C'est une relation qu'on établit avec un fournisseur, et il faut y réfléchir. La sonnette intelligente qu'on vient d'acheter sera‑t‑elle encore là dans trois ou quatre ans? Est-ce une entreprise qui existe vraiment? Faut-il payer les mises à jour? Est-ce normal? C'est une excellente question de politique.
En définitive, il y a sûrement des fonctionnaires du gouvernement du Canada qui écoutent ces propos et se délectent : « Splendide. J'adore la réglementation. » C'est un excellent outil de gouvernement. Nous sommes un marché de 37 millions d'habitants. Avec nos amis américains, nous formons un marché de 400 millions de personnes. Même si on ajoute l'Europe, cela ne fait toujours que 800 millions de personnes. Nous sommes toujours largement dépassés par l'Inde, la Chine, la majeure partie de l'Asie, etc. Comment pouvons‑nous collaborer à l'échelle internationale pour établir des normes? Ce sera la grande question. Il faut qu'il y ait une norme. On ne peut pas gouverner à coup de règlements. Ce n'est qu'une solution provisoire. Si nous ne faisons rien, nous n'obtiendrons pas le marché dont nous avons besoin.
[Scott brandit son téléphone intelligent.]
Je peux acheter tel produit n'importe où et l'importer au Canada. On ne va pas m'en empêcher comme on le fait pour les produits d'électricité qui relèvent de l'Association canadienne de normalisation. C'est une approche différente.
Taki : Vous m'avez tous les deux contredit, ce qui est bien. J'ai joué le rôle de Cassandre. Le monde est en déclin. Je crois vous entendre tous les deux soutenir que, si on prend la sécurité au sérieux, il est possible d'éviter beaucoup de problèmes. Jusqu'ici, le secteur des services financiers a pris la sécurité au sérieux. Il a devancé beaucoup d'entre nous, y compris les gouvernements, parce qu'il a entrevu l'avenir. Ces services ont vu que tout serait en ligne et que la protection de l'information serait extrêmement importante pour leurs marques et pour la confiance des consommateurs. Je me demande si chacun de vous pourrait nous en dire un mot. Quels sont les secteurs, et pas tellement les entreprises, qui se tirent bien d'affaire et ceux qui se débrouillent moins bien? Au Canada? Aux États-Unis? Melissa, s'agit-il des pipelines, des services financiers, des services d'entretien des égouts, des villes? Qui se démarque et qui se démarque moins?
Melissa : Taki, vous l'avez dit. Les services financiers sont vraiment l'étalon-or, et cela remonte à 1994, année où ils ont commencé à adopter les transactions en ligne de façon plus générale. C'est la Citibank qui a été victime du premier grand vol : 10 millions de dollars partis chez des Russes. À cause de cet incident, on a créé le poste de dirigeant principal de la sécurité de l'information, puis il y a eu des investissements dans l'ensemble du secteur pour sécuriser les opérations entre divers pays et éviter de perdre de l'argent.
Pour être honnête, il n'y a pas vraiment d'autres secteurs intégrés verticalement qui ont donné autant d'importance à la sécurité, parce qu'il s'agit davantage, pour eux, d'un risque opérationnel, peu importe la situation, que d'argent réel. Pour les banques, « si je perds quelque chose, c'est de l'argent réel. C'est mon résultat net qui s'en ressent. » D'autres y voient un risque opérationnel, un risque juridique qui entraîne ensuite un risque financier. Nous devons encore nous inspirer du secteur des services financiers.
Je ne crois pas que nous devions nécessairement décider que la fonction principale est la sécurité. Je pense au fond que la résilience doit être la fonction principale qui guide la conception, et c'est différent. Ce sont des principes techniques différents. Pour ce qui est de la résilience, la meilleure industrie à mon avis est celle de l'énergie : électrique, hydroélectrique, solaire, etc. Ce secteur est tenu de rendre compte de sa résilience et de sa fiabilité. Et si nous avions ce genre de préoccupation : quel serait le délai de rétablissement, le temps moyen de rétablissement du service? C'est ainsi qu'il faut poser le problème. C'est l'orientation à adopter, car cela aura une influence sur les investissements et aussi sur la conception des fondements des entreprises à intégration verticale.
Taki : C'est une idée extraordinaire. Nous enseignons selon les préceptes de l'école, énormément. Arrêtez de penser au risque. Pensez à la résilience, c'est-à-dire cessez de prétendre qu'une pandémie s'en vient. Pensez plutôt aux éventuelles conséquences. Dans quelle mesure puis-je ramener rapidement mes employés en ligne ou les rebrancher s'il y a une panne d'électricité, si le centre de TI flanche. Toujours si. Ne pensez pas à ce qui s'en vient. Pensez à la façon dont vous réagirez, qu'il s'agisse de mauvais temps, d'une panne d'électricité ou d'autre chose. Scott, comment répondriez-vous à la question? Quelles industries sont mieux préparées que d'autres, s'il y en a?
Scott : Sur ce point, le contexte américain et le contexte canadien peuvent être légèrement différents en raison du nombre d'acteurs. Les services financiers sont clairement en tête. C'est incontestable. C'est grâce à la maturité qui inspire leurs décisions.
Prenons les cartes de guichet automatique. Il y a eu d'abord la bande magnétique avec le NIP. Puis, nous avons vu apparaître la technologie de la puce, avec un NIP également. Pourquoi le changement s'est-il opéré? Les banques ont tardé à l'instaurer. La technologie existait depuis longtemps, mais les coûts occasionnés par l'ancien système n'étaient pas assez élevés pour qu'il vaille la peine d'améliorer la sécurité. Elles pouvaient indemniser leurs clients, qui étaient satisfaits, et cela ne leur coûtait pas plus cher que la mise en œuvre de la nouvelle technologie. Et puis, elles ont franchi le pas. Elles savaient à quoi s'en tenir. Voilà une discussion d'une grande maturité.
Du côté du gouvernement, c'est plutôt le contraire. Il n'accepte aucune fraude. Zéro. Il va dépenser 150 000 $ pour prévenir une fraude de un dollar. Les banques ne font rien de tel. Elles comprennent. Elles tiennent compte du contexte. Elles concluent que telle décision vaut la peine. Nous avons agi de la même façon pendant la pandémie, mais elle n'est pas encore terminée. Nous verrons ce que la vérificatrice générale dira sur des mesures de soutien du revenu dans ses rapports et comment les médias interpréteront les faits. C'est probablement l'une des choses les plus controversées pendant toute cette période.
Je dirais que le secteur de l'électricité, le secteur des infrastructures essentielles, prend la question très au sérieux uniquement parce qu'il a une mentalité de sécurité. Il a rétabli les services un certain nombre de fois, après des tempêtes de verglas, des ouragans ou, très rarement, des incidents de terrorisme. Il arrive que des arbres touchent les lignes électriques. Il comprend la notion de résilience et sait comment rétablir les services. Pour lui, le cyberespace est un autre moyen de mesurer la résilience. Il a un cadre de mesure semblable à celui du secteur financier.
Les entreprises de télécommunications sont un autre secteur où on fait beaucoup sur le plan de la sécurité. En fait, Melissa a vu juste : il y a là beaucoup de pression à cause de l'exploitation et, sur le plan de la sécurité, on cherche surtout à protéger le réseau pour qu'il puisse fonctionner. J'y observe beaucoup de changements. On y investit beaucoup dans la sécurité sans que les Canadiens s'en aperçoivent. Les dépenses sont au rendez-vous. On cherche, en partie, à prévenir la fraude, mais il s'agit surtout de mesures de sécurité fondamentales et en partie proactives. Je ne veux pas minimiser ce que font ces entreprises. Elles font des dépenses au Canada. Nous travaillons avec elles depuis un certain nombre d'années.
Parmi les autres secteurs qui accusent du retard, notons les municipalités. Elles n'ont tout simplement pas les ressources nécessaires pour s'attaquer à ce problème. Vous avez parlé de l'eau tout à l'heure. Nous avons dû dire aux municipalités : « Selon nos informations, les données sur votre système de chloration sont en ligne. Vous pourriez en fait augmenter le taux de chlore. » Auriez-vous pu tuer quelqu'un? Non. Auriez-vous pu les rendre malades? Oui. Vous auriez certainement rendu l'eau infecte et impossible à boire. Leur réaction? « Cela me permet de gérer. » C'est pour assurer la continuité de l'exploitation qu'elles se sont engagées dans cette voie. Si les responsables ne pouvaient se rendre à l'usine de traitement, ils pouvaient tout de même régler les problèmes. La véritable question, c'est de savoir comment aborder le problème comme un risque systémique. Pour moi, ce sont les secteurs en retard. Le secteur des finances est largement devant.
Taki : Je voudrais aborder une dernière question avant de conclure en demandant à chacun d'entre vous les conseils que vous avez à donner aux Canadiens, aux fonctionnaires et aux auditeurs. Mon avant-dernier point concerne les rançongiciels. Nous en entendons beaucoup parler. Nous savons tous de quoi il s'agit, sans doute. C'est presque comme une banque d'autrefois. Les malfaiteurs allaient à la banque faire un hold-up. Aujourd'hui, on ne va plus dans les banques. Nous venons de l'entendre, les banques sont protégées, ou en tout cas mieux protégées que d'autres entreprises. Les criminels vont plutôt dans les hôpitaux, dans les conseils scolaires, par exemple. Ils consultent les registres fonciers municipaux. À notre connaissance, ils ne s'intéressent pas aux pipelines ni aux réseaux électriques. Il est très probable qu'ils le fassent, cependant. Nous ne savons pas à quoi nous en tenir. Ces incidents sont-ils plus nombreux que nous ne le pensons? Que faut-il savoir sur les rançongiciels, Melissa?
Melissa : Je dirais que ce fut certainement une autre épidémie en 2020. Il y a eu une augmentation de 700 % des attaques par rançongiciel dans le monde. Qu'est-ce qu'un rançongiciel? Les bandes qui les utilisent exploitent un correctif vulnérable qu'on n'a pas réparé ou un logiciel vulnérable pour s'immiscer dans le réseau de l'entreprise, qu'il s'agisse d'un hôpital, d'un système scolaire, d'un cabinet comptable, d'une compagnie d'assurance ou d'une usine manufacturière.
[La fenêtre vidéo de Melissa remplit l'écran. Le carton-titre violet réapparaît un instant, l'identifiant comme Melissa Hathaway de Hathaway Global Strategies LLC.]
La liste est longue. L'an dernier, le nombre de victimes a été remarquable et aucun secteur n'a été épargné. Les criminels exploitent une vulnérabilité non corrigée.
Il est difficile de suivre le phénomène lorsque le nombre de cas est si élevé. Il pourrait y avoir Cisco, Citrix, Microsoft, Oracle – à vous le choix. Les rançonneurs sont capables de cartographier le réseau de l'entreprise sans se faire détecter, puis ils le copient et volent les données. Ils volent la propriété intellectuelle. Ils volent les informations d'identification personnelle. Ils volent les biens dont l'entreprise a l'exclusivité. Environ une semaine ou deux plus tard, ils chiffrent toutes les données et tous les systèmes. Et c'est ainsi qu'on se retrouve soudain devant l'« écran noir de la mort », devant l'image d'un crâne surmontant des os croisés. Plus rien à faire. Cela a été un vrai problème dans les hôpitaux, qui ont dans leur réseau tous les dossiers des patients et tous les systèmes opérationnels. Il y a tellement de choses.
C'est un test de résilience. L'entreprise peut-elle restaurer ces systèmes essentiels à partir des données de sauvegarde? De ses systèmes de sauvegarde? Le problème, c'est que la plupart des entreprises ne le peuvent pas, en tout cas pas dans un délai de 48 à 72 heures. Elles reçoivent une demande de rançon : si vous voulez que vos systèmes essentiels soient rétablis, vous allez devoir payer 10 000 bitcoins, 500 bitcoins, peu importe le montant. Ce peut aussi être une autre cryptomonnaie. C'est une impasse : si je ne peux pas rétablir ces systèmes, comment faire pour payer? La plupart des entreprises n'ont pas d'entente avec un cabinet d'avocats ou un autre service où on peut se procurer des bitcoins rapidement. Cela devient un problème.
Il y a un autre problème : ne suis-je pas en train de financer un terroriste? Nous avons publié quelque chose à ce sujet aux États-Unis. Nous avons donné des conseils : il ne faut pas payer, car bon nombre des rançonneurs figurent sur notre liste de personnes connues pour avoir des liens avec des gens qui appuient le terrorisme ou d'autres activités illégales. Cela devient un dilemme d'entreprise : dois-je payer les terroristes pour rétablir mes opérations, par exemple? Je constate simplement une augmentation du phénomène parce que toutes ces vulnérabilités organisationnelles se multiplient de façon exponentielle. La proie est facile.
[Les trois fenêtres vidéo reviennent à l'écran.]
C'est de l'argent facile, pour les pays qui pourraient avoir recours à des alliés qui font l'objet de sanctions importantes – l'Iran, la Corée du Nord, la Russie – et qui éprouvent des difficultés économiques. L'an dernier seulement, les Nord-Coréens ont recueilli plus de 2 milliards de dollars américains en rançons d'institutions du monde entier, car nous payons tous.
Taki : Scott, à vous
Scott : Voilà une description formidable. L'un des grands changements que nous avons constatés, c'est que les rançongiciels ne servaient auparavant qu'à entrer dans le disque dur crypté. L'entreprise reçoit un petit message, puis elle paie. On ciblait davantage les utilisateurs individuels et, parfois, le problème se propageait dans le réseau.
[La fenêtre vidéo de Scott remplit l'écran.]
Aujourd'hui, ce sont des activités d'État plus raffinées : reconnaissance, compréhension de ce qui est essentiel pour l'entreprise et corruption des sauvegardes.
Même si on a une bonne procédure de restauration, il est impossible de l'utiliser. Même les sauvegardes ont disparu. Comprendre qui sont les administrateurs, à qui s'en prendre et ne rien déceler, puis s'emparer de l'information. Si l'entreprise décide de ne pas payer, elle écope encore parce que l'information, qui peut être celle de ses clients, circule encore, parce que son processus d'affaire critique est connu ou qu'un élément de propriété intellectuelle a été détourné. Si l'entreprise ne paie pas, le rançonneur va divulguer l'information. Je ne ferai pas forcément la comparaison avec un vol de banque. Cela fait plutôt penser à un enlèvement. L'entreprise veut désespérément récupérer quelque chose et elle est prête à tout. Ces incidents peuvent précipiter la disparition d'une entreprise.
Pour ce qui est des infrastructures essentielles, imaginez si le rançongiciel empêchait les compagnies d'électricité d'activer et de désactiver les lignes de transport. Il fera -10 degrés aujourd'hui, peut-être -20 degrés à Ottawa. C'est un problème majeur. Il y a une forte motivation à payer. Dans l'Évaluation des cybermenaces nationales, nous avons souligné que ces stratagèmes ne fonctionnent vraiment que grâce à des moyens comme la cryptomonnaie. Il y a un énorme marché en ligne pour ces outils. Il suffit d'avoir de l'argent pour devenir un cybercriminel qui exige des rançons. Tous ceux d'entre nous qui doivent appeler leur soutien en matière de TI feraient n'importe quoi pour obtenir le niveau de soutien qui accompagne les outils de la cybercriminalité.
Nous devons trouver des moyens de démanteler ce marché. Les forces de l'ordre sont complètement désavantagées. Les cyberdéfenseurs s'améliorent en matière de blocage, mais c'est toujours à recommencer, comme au jeu de la taupe.
[Les trois fenêtres vidéo reviennent à l'écran.]
Comment composer avec les répercussions stratégiques de la cryptomonnaie anonyme? Finance‑t‑on le terrorisme? Des criminels? La prochaine génération d'outils de la cybercriminalité? Payer la rançon revient essentiellement à payer le criminel pour qu'il revienne à la charge. Et, soit dit en passant, le criminel sait que l'entreprise va payer.
Taki : Il y a tellement d'autres choses dont nous pourrions discuter. Avec de la chance, vous nous reviendrez dans quelques mois pour nous parler d'autre chose. Je tiens à vous donner l'occasion de dire un dernier mot, et il ne faudrait pas que ce soit le même. Melissa, nous voudrions que, pour finir, vous donniez aux gouvernements quelques conseils gratuits. Quant à vous, Scott, je vous préviens : nous voudrions que vous donniez aux Canadiens, aux simples citoyens, des conseils gratuits sur ce qu'ils peuvent faire dans ce domaine. Melissa, à vous la parole.
Melissa : Si je devais conseiller le président élu Biden, je dirais que la première chose à faire, vraiment, si nous faisons abstraction de l'incident SolarWinds, c'est comprendre que le problème des rançongiciels est important pour nos établissements de soins de santé.
[La fenêtre vidéo de Melissa remplit l'écran.]
Nous devrions réorienter la capacité opérationnelle que nous avions pour garantir la sécurité des élections et travailler avec nos alliés afin d'appuyer solidement la capacité de fournir des vaccins et de protéger les installations d'entreposage qui, comme les hôpitaux, sont victimes des criminels. Nous ne pouvons pas nous permettre une deuxième pandémie. Nous devons être en mesure de garantir la sécurité et de protéger les vies.
[Les trois fenêtres vidéo reviennent à l'écran.]
La deuxième chose que je dirais, c'est qu'à un niveau plus élevé, nous avons vraiment besoin d'une infrastructure de télécommunications disponible, abordable et fiable. Cela vaut également pour le Canada. Pour l'instant, elle n'est ni abordable, ni disponible, ni fiable. Au-delà du débat sur la 5G, nous avons l'occasion de réfléchir à la prestation des services d'Internet à partir de l'espace. Le problème est réel et perturbe les entreprises de télécommunications. Cela permettrait de joindre nos « territoires extérieurs ». Comme les gens travaillent à domicile, apprennent à domicile, ce service est essentiel au maintien de l'économie. Les télécommunications doivent être abordables, fiables et disponibles.
Une dernière chose : nous devons vraiment réfléchir à l'orientation que prend la technologie et à notre dépendance à l'égard de l'économie numérique, et exiger que la fonctionnalité soit soumise au principe de la résilience. Il ne faut pas chercher avant tout des faibles coûts et une mise en service rapide, quitte à combler les lacunes ensuite.
Taki : Scott, donnez-nous des conseils gratuits, mais sérieux, pour les Canadiens.
Scott : Nous avons un site complet rempli de conseils gratuits pour les Canadiens. Tout d'abord, les fondements de la cybersécurité sont toujours importants.
[La fenêtre vidéo de Scott remplit l'écran.]
Nous avons discuté de menaces très graves et de problèmes systémiques importants. Aux Canadiens, je dis ceci : apportez les correctifs, faites les mises à jour et restez à la page. Lorsque vous envisagez l'achat d'un produit, ne tenez pas compte uniquement du coût, mais cherchez des fournisseurs qui se soucient vraiment de la protection de la vie privée et qui en parlent. Il ne s'agit pas d'en parler de façon superficielle, mais plutôt de dire : « Voici vos paramètres de protection de la vie privée. Voici ce que vous pouvez examiner. » Peu importe l'écosystème pour lequel vous optez, souciez-vous de la protection de la vie privée. Voulez-vous que cette information soit disponible? Voulez-vous qu'elle soit disponible à l'endroit où vous installez tel appareil chez vous? Voulez-vous un haut-parleur intelligent dans votre chambre? Voulez‑vous qu'une caméra de votre téléviseur pointe vers votre lit? Je me rends compte que j'ai choisi des exemples qui ont quelque chose de salace, mais pensez-y. Est-ce que c'est ce que vous voulez?
Il y a une grande bande dessinée des années 1950 où on disait : « Est-ce que je veux parler de ça au téléphone? Le gouvernement est peut-être à l'écoute. » La version de 2020 porterait sur le haut-parleur intelligent. Je vais vous parler de ma vie. Je vais donner ces renseignements à une ou deux entreprises privées. Remarquez que je n'ai pas parlé d'un haut-parleur intelligent en particulier, car ils sont tous pareils. Pensez-y. Pensez simplement à ce que vous faites. Je ne dis pas qu'il ne faut pas le faire.
[Les trois fenêtres vidéo reviennent à l'écran.]
Cette technologie présente de nombreux avantages. Pensez seulement aux avantages qui en découlent. Il ne faut pas être naïf. Nous devons y réfléchir. Vos renseignements sont précieux. Avez-vous besoin de mettre l'appareil à tel endroit? Les éléments de base ont leur importance. Ne réutilisez pas les mots de passe. Mettez à jour vos systèmes. Agissez de la sorte et vous serez déjà plus à l'abri que les victimes de la plupart des cybercrimes.
Taki : Sensationnel. Quelle heure bien remplie! Melissa, Scott, merci de l'avoir passée avec nous. Merci de nous avoir sensibilisés et, surtout, merci d'être les amis de la fonction publique canadienne. Bonne continuation et à bientôt.
[L'appel vidéo disparaît progressivement pour laisser place au logo blanc animé de l'École de la fonction publique du Canada, qui se dessine sur un fond violet. Les pages tournent, et le logo se ferme comme un livre. Une feuille d'érable apparaît au milieu du livre qui ressemble aussi à un drapeau, sous lequel se dessinent des lignes ondulées. Le mot-symbole « Gouvernement du Canada » apparaît : le mot « Canada » a un petit drapeau canadien qui flotte au-dessus du dernier « a ». L'écran devient noir.]
