La cybersécurité, l’agent de liaison dont nous avons besoin
La cybersécurité a longtemps été reléguée au second plan. Faute de valorisation suffisante, autant les organisations que les citoyens n’y ont pas porté d’attention particulière jusqu’à ce que nous connaissions le jour 0 au Québec. En juin 2019, Desjardins vécu la fuite de données la plus médiatisée au Québec et a frappé l’imaginaire. Les impacts d’une faille de sécurité sont maintenant tangibles et réels pour tous les québécois, et ce n’est pas seulement un ennemi invisible qui cible « les autres ». Ce point tournant a engendré des changements autant dans les entreprises que dans la conscience des particuliers. Cette vague de changements fut accélérée par le confinement relié à la Covid, qui a suivi de 9 mois la fuite chez Desjardins. L’obligation de télétravail a forcé plusieurs entreprises à s’organiser en un temps record à ce nouveau paradigme, entraînant ainsi plusieurs employés à trimbaler des informations d’une très grande importance dans leur domicile, fondamentalement moins sécuritaire que le lieu du travail.
L’état de la nation a changé drastiquement en moins de deux ans. La sécurité est devenue le centre de l’attention avec l’accélération des fuites de données et des entreprises qui ont succombé à des rançongiciels. Les professionnels du domaine qui ont dû gérer les suites de la « crise » Desjardins n’ont pas pu prendre le temps de consolider les acquis qu’ils ont été plongés rapidement dans la globalisation du télétravail avec tous les enjeux de sécurité qui en découlent.
Dans un contexte de pénurie de main d’œuvre où l’expertise se raréfie, les professionnels ont dû hâtivement accélérer la vitesse pour ensuite réaliser que les défis futurs nécessitent plutôt un mode marathon. En parallèle de ces péripéties, les malveillants n’ont pas chômés. Ils ont continué de s’organiser et de raffiner leur expertise pour profiter de la situation. Où en sommes-nous maintenant? Quels seront les défis futurs des professionnels de la sécurité de l’information?
La sensibilisation est-elle encore d’actualité?
Il y aura toujours un monde avant la faille de Desjardins et le monde après. Depuis cette saga, les fuites informatiques sont à la une des journaux de façon quasi quotidienne. C’est maintenant le nouveau normal. On se demande alors si l’on doit encore miser sur la sensibilisation dans une ère où les failles de sécurité informatique sont couvertes par les médias traditionnels. De plus, on peut sentir une forme d’acceptation dans la population générale qui prend pour acquis que leurs données vont se retrouver sur le Dark Web, peu importe s’ils font attention ou non à leurs données.
C’est facile de penser que nous sommes impuissants, puisque des informations sont déjà disponibles dans les zones sombres de l’Internet. Cette boutade est loin de la réalité, où malgré qu’un petit nombre d’informations sur nous soit accessible, c’est l’accumulation de ces informations par des brokers de données, légitime et illégitime, qui devraient nous alarmer. La fuite de Desjardins est malheureuse, mais ne représente qu’un morceau infiniment petit des profils qui circulent sur nous. Bien que la population soit plus au courant de l’actualité en cybersécurité, cela ne veut pas nécessairement dire que les gens comprennent bien le domaine et ses particularités. Nous devons donc saisir l’opportunité de porter une oreille attentive pour éduquer et continuer de faire valoir l’importance de cette expertise.
Que les gens soient à l’écoute n’est qu’un début. Le combat contre les malveillants grandit de jour en jour et il est important que tous soient mieux outillés. Ainsi, un investissement accru en cybersécurité doit être fait, autant en développant les professionnels du milieu, qu’en formant une relève dynamique afin d’avoir plus d’agents de changement dans leur entourage respectif. Pour supporter ces idées, il faudra propager les bonnes pratiques, vulgariser le fonctionnement des technologies sous-jacentes, et surtout mettre en œuvre des systèmes qui aident les citoyens à prendre conscience de la situation. Le réalisation de ces actions devra s’exécuter sans négliger de rendre accessible des outils et des connaissances.
Un autre défi est l’entêtement des organisations à utiliser le numéro d’assurance sociale (NAS), la date de naissance et d’autres caractéristiques pour établir l’identité de leurs clients. D’ailleurs, le NAS lui-même n’est qu’un numéro de client auprès des agences du revenu. Une façon unique de nous identifier dans leurs systèmes, au même titre que nous avons un numéro de client ou de dossier chez notre fournisseur de téléphonie. C’est son utilisation abusive par trop de gens qui ont donné de la valeur au NAS. D’ailleurs, il serait peut-être temps que nous commencions à aborder le NAS comme étant une information publique, au lieu d’essayer de réparer un système brisé bien au-delà de réparations possibles.
L’opportunité du positionnement stratégique
Avec la récente annonce du gouvernement du Québec de se doter d’un Ministère de la cybersécurité et du numérique, nous voyons que le gouvernement prend au sérieux le rôle de la cybersécurité pour le futur. C’est également un message fort pour les entreprises si nous ajoutons l’adoption du projet de loi 64 (PL64), visant à moderniser la protection des données personnelles. Cela place avantageusement le Québec dans la sphère de la protection des données, rejoignant l’union européenne avec le RGPD. Pour plusieurs, Desjardins a permis d’être le déclencheur de cette réforme.
L’heure est à l’action. Les gestionnaires recherchent tous des actions simples, concrètes et efficaces. Malheureusement la réalité est beaucoup plus complexe. C’est un art de jongler avec ces critères et de proposer une solution adaptée qui ne soit pas trop contraignante à mettre en place. Ceux qui sauront le faire apporteront de la valeur et de la crédibilité à la profession.
L’accessibilité
La faiblesse de toutes ces actions, c’est l’absence d’un programme citoyen pour aider la société à prendre des mesures de sécurité au niveau individuel. Plusieurs ont espoir que les effets de la PL64 et du Ministère de la cybersécurité et du numérique puisse donner l’effet d’entraînement pour l’ensemble des citoyens. L’expérience européenne ne permet pas de corroborer cette avenue, où la France a déployé des moyens importants pour aider les entreprises à rehausser leur posture en cybersécurité et incidemment les citoyens. Le gouvernement français a rendu disponible des ressources de sensibilisation à la cybersécurité sur ses différents sites Web, sans malheureusement récolter une hausse significative de la compréhension de la population. La principale source d’information reste les fuites qui continuent à faire la une des journaux. Cela nous démontre que la disponibilité de l’information n’est qu’une étape de l’acquisition de ces nouvelles connaissances. Il faudra également des campagnes de sensibilisation. La SAAQ exécute bien cette avenue pour favoriser l’adoption de comportements responsables sur la route. Le même principe devrait s’appliquer en cybersécurité afin que les gens utilisent concrètement cette nouvelle connaissance, pas seulement la comprendre de façon théorique. Pour y arriver, il faut démontrer que les citoyens font partie de la solution. D’autre part, malgré l’absence relative d’accompagnement du gouvernement du Québec, la réforme scolaire intègre des cours relatifs à être un bon citoyen numérique et d’adopter une bonne hygiène numérique et de sécurité. C’est encore une fois, un pas de plus vers une population sensibilisée, éduquée et responsable.
Le rôle du professionnel en cybersécurité ne se simplifiera pas dans le futur. Il faudra saisir les opportunités et prendre action. L’expertise et la spécialisation seront sollicitées par tous. Afin d’être à la hauteur du défi, le professionnel en cybersécurité devra s’outiller dans des compétences transversales telles que l’agilité, la communication et le sens politique. La prochaine année sera parsemée d’opportunités de faire briller le domaine de la cybersécurité, saurons-nous les saisir?
Crédit photo : Samin Haky sur Unsplash