« L’avenir de la cybersécurité au Canada »
Bonjour tout le monde et merci pour votre accueil chaleureux.
Je m’appelle Caroline Xavier, mes pronoms sont elle, she et her.
Avant de commencer, j’aimerais prendre un moment pour reconnaître que nous nous trouvons sur le territoire traditionnel non cédé du peuple algonquin anishinaabe. Je suis reconnaissante de pouvoir mener mes activités quotidiennes et professionnelles et pratiquer mes loisirs sur cette terre.
C’est la deuxième fois que je me présente devant le Cercle canadien d’Ottawa, mais c’est la première fois en tant que chef du Centre de la sécurité des télécommunications. La dernière fois, j’étais sur un panel portant sur l’immigration et son besoin de modernisation numérique.
Je ne dois pas avoir mal fait cette fois-là, car on m’a invitée à nouveau!
Mais, disons les choses comme elles sont, la véritable raison pour laquelle le Cercle canadien m’a invitée aujourd’hui, c’est pour parler de l’avenir de la cybersécurité – un sujet opportun étant donné que c’est le Mois de la sensibilisation à la cybersécurité.
Avant de poursuivre, je dois préciser que je ne suis pas une experte en la cybersécurité.
Si vous vous attendez à ce qu’on discute en profondeur de la configuration de réseaux, je ne suis pas la bonne personne! Je peux toutefois vous rediriger vers des spécialistes du Centre canadien pour la cybersécurité.
Mon souhait, c’est que vous soyez ici pour discuter des principales cybermenaces qui guettent le Canada.
Quelles sont les principales tendances?
Et qu’est-ce que tout cela signifie dans notre quotidien?
Si c’est le cas, super!
Sinon, merci de votre présence, et une chance qu’un bon dîner était servi…
Donc, si je ne suis pas une experte en cybersécurité, que fais-je ici?
Je suis à la tête de l’organisme fédéral responsable de protéger le gouvernement et le secteur des infrastructures essentielles canadiens contre les cybermenaces.
Cet organisme est le CST, le Centre de la sécurité des télécommunications.
Au sein de cet organisme se trouve le Centre canadien pour la cybersécurité, ou le Centre pour la cybersécurité pour faire plus court.
Les membres de l’équipe du Centre pour la cybersécurité sont les spécialistes, de renommée internationale, en matière de cybersécurité. Le Centre pour la cybersécurité est l’autorité opérationnelle et technique du Canada en matière de cybersécurité.
Et, comme prévu, nous venons tout juste de publier une nouvelle édition de l’Évaluation des cybermenaces nationales, ou l’ECMN.
Le rapport est disponible seulement depuis 11 h, l’information ne peut pas être plus à jour que ça.
Je vais vous présenter un aperçu des principaux avis de l’ECMN. Il s’agit des principales tendances que nous jugeons importantes actuellement et encore plus à l’avenir.
L’« avenir de la cybersécurité » est un sujet vaste, mais on m’a demandé d’en parler en seulement dix minutes, donc passons tout de suite au premier avis : « Les rançongiciels représentent une menace omniprésente pour les organisations canadiennes ».
Un groupe comme le vôtre ne sera probablement pas surpris. Vous suivez les nouvelles et vous connaissez les manchettes. Si vous avez lu l’une des éditions de l’Évaluation des cybermenaces nationales, vous savez que les rançongiciels sont au cœur des préoccupations.
Un rançongiciel survient lorsqu’un auteur de menace compromet votre système, chiffre vos fichiers et refuse de vous rendre l’accès jusqu’à ce que vous payiez une rançon.
Vos données peuvent également être volées ou être divulguées en ligne.
Les attaques par rançongiciel ne représentent pas la forme de cybercrime la plus courante.
Quelqu’un souhaiterait-il s’aventurer à deviner la forme la plus courante de cybercrime?
La fraude et les arnaques en lignes sont les cybercrimes les plus courants.
(Vous savez, ce fameux appel de l’Agence du revenu du Canada qui menace de vous envoyer en prison…)
Le Centre antifraude du Canada communique le cumul total des signalements de fraude pour l’année, lequel s’élève à environ deux cent cinquante fraudes par jour au Canada. Ce chiffre ne représente que les fraudes signalées.
Dans notre quotidien, les fraudes et les arnaques en ligne constituent les cybercrimes que nous risquons le plus de rencontrer.
Mais, les rançongiciels entraînent les répercussions les plus fortes, car ils peuvent interrompre les services dont nous dépendons.
L’une des études de cas de l’ECMN porte sur l’Hôpital Humber River, en Ontario. Cet hôpital a été victime d’une attaque par rançongiciel en juin dernier qui a entraîné un code gris, c’est-à-dire une réduction des services essentiels.
Ce cas est intéressant, car tout se déroulait comme il fallait sur le plan de la cybersécurité.
Les systèmes avaient été mis à jour la veille, le maliciel a été détecté presque instantanément et les systèmes de TI ont été mis hors service avant que des fichiers soient chiffrés.
Bravo à Humber River.
Cependant, l’hôpital a dû appliquer des correctifs à plus de 5 000 ordinateurs, un par un, pendant 48 heures.
Même s’il n’y a eu aucune atteinte à la vie privée et qu’aucune rançon n’a été payée, il a fallu deux jours pour remettre tous les systèmes en service.
L’hôpital a dû annuler des cliniques et rediriger des ambulances, mais il a réussi à maintenir le service d’urgence.
Dans le domaine de la cybersécurité, le facteur temps et l’intervention rapide sont essentiels.
L’incident survenu à Humber River n’en est qu’un exemple.
Depuis le début de la pandémie, plus de 400 organismes de soins de santé ont été victimes d’une attaque par rançongiciel aux États-Unis et au Canada.
Deuxième avis principal : « Les activités de cybermenace représentent un risque de plus en plus grand pour les infrastructures essentielles ». On retrouvait également ce thème dans la dernière édition de l’Évaluation des cybermenaces nationales, et il demeure une préoccupation.
Comme le dernier exemple le prouve, le secteur de la santé est une cible populaire, mais c’est également le cas du secteur des infrastructures essentielles de manière plus générale.
Que signifie « infrastructures essentielles »? Ce sont les services dont nous ne pouvons nous passer, comme l’énergie, les télécommunications, les transports en commun, les services bancaires, municipaux et scolaires, les services de traitement de l’eau, le secteur de l’alimentation et le secteur manufacturier. La liste est longue.
Les secteurs des infrastructures essentielles sont de plus en plus à risque pour plusieurs raisons.
Tout d’abord, les rançongiciels sont simplement plus courants et plus sophistiqués qu’ils ne l’étaient il y a deux ans.
C’est surtout en raison du modèle de rançongiciel comme service (RaaS). En gros, les cybercriminels vendent leurs outils et leurs services en ligne à d’autres cybercriminels.
Par exemple, un vilain « A » concevrait un nouveau maliciel astucieux et le transmettrait à d’autres vilains en échange d’une partie des profits.
De ce fait, le nombre d’acteurs ayant accès à des outils sophistiqués dans le but de commettre un cybercrime est plus élevé que jamais.
La deuxième raison qui explique le risque accru à l’endroit des infrastructures essentielles, c’est que davantage de technologies opérationnelles sont connectées à Internet.
Prenons comme exemple une usine de traitement de l’eau dont les systèmes physiques contrôlent la quantité de chlore dans l’eau.
Avant, c’est une personne sur place qui aurait été responsable de surveiller et de contrôler ces systèmes physiques en actionnant des manettes et en appuyant sur des boutons.
Maintenant, la surveillance et le contrôle de ces systèmes pourraient se faire à distance, car ils sont connectés à Internet.
C’est commode pour la compagnie propriétaire de l’usine, mais c’est une porte ouverte pour les cybercriminels.
Le facteur de connectivité a joué dans l’attaque par rançongiciel dont a été victime Colonial Pipelines aux États-Unis en mai 2021.
Les pirates ont infiltré le réseau informatique de l’entreprise. Étant donné que le réseau informatique était lié au réseau opérationnel, l’entreprise a décidé d’elle-même mettre hors service l’entièreté du pipeline à titre préventif.
Les stocks de stations-service se sont épuisés partout sur la côte Est et plusieurs États ont déclaré l’état d’urgence.
La pratique de connecter les technologies opérationnelles à Internet n’en est qu’à ses débuts. Grâce à la technologie 5G, nous pouvons potentiellement connecter presque tout : téléphones intelligents, usines intelligentes, systèmes de transport en commun intelligent, villes intelligentes. Il faut l’envisager dans l’optique des grandes cybermenaces qui la guettent à l’avenir.
Jusqu’à présent, nous n’avons parlé que de la menace que présentent les cybercriminels.
Qu’en est-il des États-nations?
C’est notre troisième avis principal : « Les activités de cybermenaces parrainées par un État ont des répercussions sur les Canadiens ».
Les cyberprogrammes parrainés par la Chine, la Russie, l’Iran et la Corée du Nord posent les plus graves menaces stratégiques pour le Canada.
C’était notre avis il y a deux ans, et il demeure d’actualité.
Toutefois, il faut préciser que nous ne pensons pas que les auteurs de menace mèneraient des cyberopérations destructrices contre les infrastructures essentielles du Canada en l’absence d’hostilité avec le Canada.
Cependant, l’invasion de l’Ukraine a démontré que la Russie est tout à fait prête à employer des cybercapacités pour soutenir ses opérations en temps de guerre.
En Ukraine, les auteurs de menace parrainés par la Russie s’en sont pris à des cibles dans le secteur public, ainsi que dans les secteurs des finances, de l’énergie et des communications.
Par exemple, la Russie a ciblé un fournisseur de services Internet par satellite et a entraîné d’importantes pannes de service partout en Ukraine et dans plusieurs autres pays européens.
De plus, nous constatons que des États étrangers utilisent des cybercapacités pour surveiller les diasporas au Canada et des Canadiens et Canadiennes qu’ils considèrent comme une menace, par exemple les activistes.
La nouvelle ECMN désigne la Chine, l’Iran et l’Arabie saoudite comme les trois pays qui ont très probablement surveillé les diasporas au Canada en utilisant une combinaison de surveillance des médias sociaux et de logiciels espions.
Les pays comme l’Iran et la Corée du Nord se livrent à des cybercrimes dans le but de recueillir des fonds en contournant les sanctions internationales ou de brouiller les pistes lorsqu’ils mènent des activités de cyberespionnage.
On remarque aussi l’utilisation de cyberoutils pour voler de la propriété intellectuelle et des secrets commerciaux.
Dans ce domaine, la Chine est le plus grand auteur de menace, tant sur le plan du volume que du degré de sophistication.
Les États-Unis ont déposé une mise en accusation contre des auteurs de cybermenaces parrainés par la Chine qui sont accusés d’avoir mené des activités de cyberespionnage systématique dans 12 pays, dont le Canada.
Les technologies touchées comprennent les TI, les technologies maritimes, les vaccins et les traitements contre les virus, l’aviation et la défense.
Il faut mentionner un autre type de cybermenace parrainée par un État, le quatrième principal avis : « Les auteurs de cybermenace tentent d’influencer les Canadiens et de briser la confiance accordée aux espaces virtuels ».
C’est une menace sérieuse.
En 2020, nous indiquions que les activités d’influence étrangère en ligne sont devenues la nouvelle normalité. Au cours des deux dernières années, la désinformation en ligne est devenue plus présente, mieux organisée et plus difficile à distinguer de la réalité que jamais.
Cette réalité s’est accentuée durant l’invasion de l’Ukraine, tandis que la Russie menait des campagnes de désinformation coordonnées visant à justifier ses actions et à influencer les événements.
Une des fausses histoires prétendait que les forces armées canadiennes commettaient des crimes de guerre en Ukraine et était alimentée par des photos falsifiées.
Une autre concernait un hypertrucage montrant le président ukrainien demander aux soldats ukrainiens de se livrer à la Russie.
En avril, le CST a pris des mesures sans précédent et a publié des avis obtenus de sources de renseignement classifiées sur les médias sociaux dans le but d’informer la population canadienne des efforts persistants de la Russie à disséminer de la désinformation.
Mais, l’aspect le plus inquiétant, c’est les répercussions de la désinformation appuyée par les États étrangers sur la société canadienne.
Par exemple, dans un sondage de Statistique Canada de 2021, neuf personnes sur dix indiquaient avoir cherché de l’information en ligne à propos de la COVID-19. Rien d’étonnant.
Mais, 96 pour cent d’entre elles ont signalé être tombées sur du contenu qu’elles soupçonnaient être trompeur, faux ou inexact. Au fond, c’est tout le monde.
Évidemment, cette fausse information n’est pas toute créée dans le but délibéré de tromper et ne provient pas toute de l’étranger. Mais, c’est le cas pour une partie de cette information.
Ces campagnes nuisent à la capacité des Canadiens de prendre des décisions éclairées touchant leur vie.
La désinformation divise les opinions et intensifie les désaccords. Elle mine la confiance envers les institutions publiques, les gouvernements, les médias et le processus démocratique.
Ces quatre principaux avis sont des thèmes que nous avons relevés dans les précédentes ECMN, c’est-à-dire les rançongiciels, les menaces visant les infrastructures essentielles, les activités parrainées par un État et la désinformation.
Avant de conclure, je dois mentionner un cinquième avis nouvellement ajouté à cette édition de l’ECMN : « Des technologies perturbatrices entraînent de nouvelles possibilités et menaces ».
C’est ce que j’appelle une arme à double tranchant.
Une nouvelle technologie ayant le potentiel d’améliorer nos vies surgit.
Mais, aussi sûrement que la nuit succède au jour, les auteurs de menace trouvent une façon de mettre à profit cette technologie à leurs propres fins.
Le rapport fait état de trois technologies émergentes à surveiller dans ce domaine : l’apprentissage machine, l’informatique quantique et la cryptomonnaie.
Nous avons abordé dans les précédents rapports des façons dont les cybercriminels se servent de la cryptomonnaie pour s’échanger et blanchir de l’argent.
De nouvelles monnaies privées, comme Monero, permettent aux cybercriminels de transférer de l’argent de manière inaperçue encore plus facilement qu’avant.
Les plateformes financières décentralisées, qui permettent des services financiers entre pairs, ont gagné en popularité dans les deux dernières années et sont devenues des cibles de choix pour les cybercriminels.
Des rapports de l’industrie estiment que, en 2021, les cybercriminels ont volé plus de trois milliards de dollars en cryptomonnaie à ces cibles.
Je sais. Je vous ai brossé un tableau plutôt sombre de la situation.
Si nous avons le temps pendant la séance de questions, je serai heureuse de discuter des façons dont le CST et le Centre pour la cybersécurité s’efforcent de contrer ces menaces.
Il y a beaucoup de travail très positif en sens. Et collectivement, il y a des mesures que nous devons continuer de prendre pour atténuer ces risques.
En vous laissant aujourd’hui, il y a une mesure que je peux vous recommander de prendre dès aujourd’hui : visitez le site Web du Centre pour la cybersécurité
Il s’y trouve une grande quantité de ressources à l’intention de divers publics.
En tant que cadres, vous pourrez avoir un aperçu des divers aspects liés à la cybersécurité.
En tant que spécialiste des TI, vous aurez accès à toute l’information technique que vous pourriez désirer.
Enfin, si la cybersécurité est nouvelle pour vous, notre campagne Pensez cybersécurité vous donnera tous les conseils pratiques dont vous avez besoin pour en savoir plus.
Cela peut paraître déroutant, mais les bonnes bases font toute la différence.
J’insiste encore : visitez le site Web du Centre pour la cybersécurité
Vous trouverez également sur le site le rapport complet de l’Évaluation des cybermenaces nationales si vous souhaitez approfondir les sujets dont nous avons discuté aujourd’hui.
Je vais terminer ici pour vous laisser le temps de poser vos questions.
Merci.