Devant l’explosion des cyberattaques, le canada doit collaborer avec les experts en cybersécurité et non leur nuire

Les cyberattaques se multiplient et touchent les gens, les systèmes, les infrastructures et les gouvernements avec des effets qui peuvent être considérables et dévastateurs. Parmi les plus

récentes, citons l’importante attaque du rançongiciel REvil et la découverte du fait que le logiciel espion Pegasus suivait plus de 1 000 personnes. Les cyberpirates profitent souvent des

failles de sécurité. Il s’agit de conditions ou de comportements qui permettent la violation, l’utilisation abusive et la manipulation de données. Parmi les exemples, on peut penser à un

code informatique mal écrit ou à quelque chose d’aussi simple que le fait de ne pas avoir de correctif de sécurité. EXPLOITER LES FAILLES Les répercussions peuvent être particulièrement

importantes lorsque les attaquants exploitent les vulnérabilités informatiques des systèmes numériques utilisés par les gouvernements fédéraux. En juillet 2015, l’Office of Personnel

Management des États-Unis a annoncé que des pirates avaient exfiltré des informations personnelles très sensibles et les empreintes digitales d’environ 21,5 millions de travailleurs fédéraux

et de leurs associés, en raison d’une série de mauvaises pratiques de sécurité et de failles du système. Cette violation de données de grande ampleur a servi de signal d’alarme pour le

gouvernement fédéral américain. L’administration de Barack Obama a alors décidé que le département de la Défense serait désormais responsable du stockage des données des employés fédéraux.

Peu de temps après, le programme pilote « Hack the Pentagon » a été lancé, dans le cadre duquel le gouvernement américain invitait des experts externes à signaler les failles de sécurité. Ce

projet pilote a ouvert la voie à ce qui est devenu une norme en matière de pratique de sécurité du gouvernement américain. Depuis 2020, toutes les agences fédérales américaines sont tenues

de permettre la divulgation des vulnérabilités informatiques. LE CANADA EST EN RETARD En comparaison, notre récent rapport a révélé que le gouvernement du Canada est en retard par rapport à

des pays comme les États-Unis en n’ayant pas demandé à recevoir des rapports de vulnérabilité de la part d’experts externes. Nous n’avons pas connu d’attaque de l’ampleur de celle de

l’Office of Personnel Management aux États-Unis, mais nous n’en sommes pas à l’abri. Dans le cas du vol de données d’Equifax de 2017, des attaquants ont exploité une vulnérabilité dans un

portail client en ligne, ce qui a affecté 19 000 Canadiens. En août 2020, l’Agence du revenu du Canada a désactivé plus de 5 000 comptes d’utilisateurs en raison de cyberattaques rendues

possibles en partie par l’absence d’authentification à deux facteurs. Notre étude, publiée par le Cybersecure Policy Exchange de l’Université Ryerson, est la première recherche accessible au

public qui compare la façon dont le Canada traite le signalement des failles de sécurité à celle d’autres pays. Nous avons découvert que si 60 % des membres du G20 disposent de processus

distincts et clairs pour exposer les vulnérabilités informatiques dans les infrastructures publiques, ce n’est pas le cas du Canada. Les experts en cybersécurité peuvent faire connaître des

« cyberincidents » au Centre canadien de cybersécurité. Mais la définition du terme est si étroite qu’elle exclut les vulnérabilités qui n’ont pas encore été exploitées de façon

malintentionnée. Et alors que les gouvernements du Royaume-Uni et des États-Unis ont promis de faire des efforts pour corriger les failles de sécurité qu’on leur signale, le Centre canadien

de cybersécurité n’a fait aucune promesse de ce genre. En ne soutenant pas et en ne protégeant pas les chercheurs en sécurité qui détectent les failles, on fait courir un grand risque au

Canada et aux Canadiens. SYSTÈMES VULNÉRABLES, PERSONNES VULNÉRABLES Les experts en cybersécurité peuvent s’exposer à des risques juridiques importants lorsqu’ils rapportent des

vulnérabilités informatiques au gouvernement canadien. Le piratage informatique est interdit par le Code criminel et, dans certaines circonstances, par des lois comme la Loi sur le droit

d’auteur. Mais contrairement aux Pays-Bas et aux États-Unis, nous n’avons pas de cadre juridique pour signaler de bonne foi les vulnérabilités informatiques. L’approche actuelle du Canada a

un effet dissuasif sur la divulgation des faiblesses de sécurité découvertes non seulement dans les systèmes gouvernementaux, mais aussi dans tous les logiciels et matériels. Cette attitude

fait en sorte que les chercheurs en cybersécurité ignorent si, et comment, ils doivent informer le gouvernement lorsqu’ils repèrent des failles de sécurité susceptibles d’être exploitées Il

n’est pas trop tard pour que le gouvernement fédéral mette en place un processus pour permettre aux experts de signaler les failles de sécurité, et de s’inspirer des meilleures pratiques

pour ce faire. Notre travail souligne l’importance de définir qui peut soumettre des rapports de vulnérabilité et décrit à quoi peut ressembler le processus de signalement et de correction.

Il est essentiel de reconnaître l’apport des experts qui ont révélé un problème. Le public devrait recevoir des informations sur les vulnérabilités et les solutions nécessaires pour les

corriger. AMÉLIORATIONS À APPORTER Les experts en cybersécurité constituent « une ressource importante mais sous-estimée » lorsqu’il s’agit de réduire les risques de sécurité des systèmes

gouvernementaux. Ils veulent apporter leur aide. Le gouvernement canadien doit mettre en œuvre des politiques et des processus plus clairs pour encourager la coopération avec les experts en

cybersécurité qui travaillent dans l’intérêt public. À mesure que les cyberattaques deviennent plus fréquentes, plus étendues et plus sophistiquées, l’amélioration des pratiques de

cybersécurité au Canada n’est pas seulement souhaitable, mais essentielle.