Le secteur de la cybersécurité en pleine ébullition

Des entreprises en cybersécurité font actuellement de très bonnes affaires, alors que la vie sociale et professionnelle de toute la planète n’a jamais été autant concentrée en ligne, ouvrant la porte aux pirates informatiques.

«Nous avons certains clients qui ont stoppé des projets, mais nous en avons d’autres qui ont décidé d’accélérer leurs investissements en cybersécurité», avance Jean-Philippe Racine, président du Groupe CyberSwat. L’entreprise de Québec a aussi un bureau à Montréal.

«Juin a été le plus gros mois de notre histoire. On prend de l’expansion, je suis en train d’engager», ajoute l’entrepreneur qui entendait ajouter trois ou quatre personnes à son équipe qui en compte actuellement une dizaine.

La généralisation rapide du télétravail a eu un impact. «Ça change les enjeux de cybersécurité. On sensibilise leurs employés par de la formation à distance et des webinaires [séminaires en ligne].»

«Le télétravail amène une augmentation du niveau de risque. Les compagnies se sont retournées très vite, ont ouvert plein de portes et veulent maintenant mettre des gardiens devant», image Mathieu Grignon, directeur général pour les opérations canadiennes de l’entreprise américaine GoSecure.

Au pays, l’entreprise est dirigée de Montréal. Elle a aussi des bureaux à Québec, à Toronto et à Halifax. GoSecure emploie une centaine de personnes dans la province. D’ici trois ans, l’entreprise veut embaucher 70 employés au Québec, si la main-d’œuvre est au rendez-vous.

Explosion

«Nous avons eu beaucoup de demandes, au début, quand il y a eu le transfert [des télétravailleurs] vers la maison. Nous avons eu une augmentation de 670% du nombre d’appels en une semaine», raconte Simon Fontaine, président de ASR-Solutions.

«Nous avons vécu comme trois vagues, ajoute-t-il. La première avec les gens qui voulaient travailler de la maison. La deuxième avec le retour au bureau. La troisième avec ceux qui voulaient être hybrides en ayant un poste au bureau et un autre à la maison. Ça nous donne beaucoup plus de travail.»

«Ça a créé un boom au niveau des outils de télétravail, poursuit M. Fontaine, autant au niveau de la sécurité de la gestion de la productivité des employés, des logiciels de collaboration comme Teams ou de vidéoconférence.»

Éducation à faire

La firme informatique qui offre des services de cybersécurité emploie 25 personnes à Québec et prévoit actuellement connaître de «bons mois».

«Des entreprises à l’arrêt en ont aussi profité pour devancer des projets prévus plus tard. Nous avons fait des tests avec certains clients en simulant de l’hameçonnage, on a fait des rapports où 80% des gens tombaient dans le panneau. On offre ensuite une formation», précise-t-il.

M. Fontaine prêche par l’exemple. Les bureaux de son entreprise sont toujours vides et un de ses employés travaillera d’ici quelques mois à partir de l’Autriche!

«Je trouve que le travail à distance amène plus d’avantages que de désavantages. Je pense que c’est là pour rester.»

Cybersécurité: des failles en perspective   

Les entreprises de cybersécurité contactées par Le Journal ont remarqué les effets de l’empressement des entreprises à travailler à distance.

«Je ne serais pas surpris d’entendre parler, dans les prochains mois, de fuites de données en lien à l’immigration massive des entreprises vers le télétravail. Le télétravail a changé l’exposition au risque. D’autant plus que ça n’a pas été planifié», estime Jean-Philippe Racine du Groupe CyberSwat.

«Ma perception, c’est que plusieurs entreprises avaient l’intention de numériser leur modèle d’affaires, mais ne l’avaient pas encore fait. Maintenant, il y a plus de télétravailleurs à éduquer et de sites transactionnels à tester.»

«Des demandes sont entrées pour tester la sécurité des sites de vente en ligne. Plusieurs entreprises ont certainement mis en ligne des sites transactionnels sans en tester la sécurité. Ça va sûrement causer des problèmes. On s’attend à recevoir davantage de demandes dans les prochains mois», ajoute-t-il.

«Des services ont été précommandés pour après la pandémie pour être sûrs que les portes qui ont été ouvertes puissent être sécurisées», explique Mathieu Grignon de GoSecure.

«Pour la vente en ligne, les organisations se rendent actuellement compte qu’elles n’étaient pas prêtes. Ça regarde un peu plus les technologies de l’information actuellement. Je prédis cependant que, plus tard, nous aurons une augmentation du nombre d’incidents», analyse-t-il.

«La vente en ligne amène aussi des besoins de gestions et de protections des données, pense M. Grignon. Les organisations, les consommateurs, mais aussi le gouvernement, pour la réglementation, sont de plus en plus sensibilisés.»

Le risque au retour

Mais les experts estiment que c’est lorsque la pandémie sera terminée ou suffisamment contrôlée pour que les employés retournent massivement dans leurs bureaux que l’effet sur la sécurité se fera sentir.

«On entend des histoires de gens qui travaillent à la maison sur des ordinateurs personnels, sans antivirus, à manipuler des données d’entreprise. Des cas de fraude ou d’intrusion ne seront jamais bien documentés parce que ça va s’être passé sur un réseau résidentiel et que les gens ne seront même pas au courant», dit Steve Waterhouse, expert en cybersécurité et ancien officier de sécurité des systèmes d'information au ministère de la Défense nationale.

«La partie la plus importante, c’est quand tout le monde va revenir au bureau. Ce serait une bonne idée pour les entreprises de faire un audit complet de leur équipement. Faire comme si tout le monde était infecté. Les pirates le savent que les gens sont à risque à la maison, mais que le moment où c’est payant de frapper, c’est quand ils sont revenus sur les réseaux du bureau. On en a vu par le passé et on va en voir dans les prochains mois, c’est garanti», craint M. Waterhouse.

Menace inquiétante

Tous s’accordent aussi à dire que la crise actuelle favorise divers types d’attaques, qui ne ciblent pas seulement les entreprises.

«On sent déjà une recrudescence des attaques de rançongiciels [les pirates bloquent votre ordinateur et exigent une rançon pour libérer vos données], explique M. Racine. Les pirates se sont ajustés et font des courriels en lien avec la thématique du COVID-19.»

«Les hackers ne sont pas en confinement! Il y a beaucoup d’argent à faire, c’est devenu un business. En huit mois à partir d’août 2019, le rançongiciel Ryuk a rapporté 7,5 G$ seulement aux États-Unis. Ce n’est pas demain que ça va arrêter. En décembre, on s’est rendu compte qu’il s’attaque aux copies de sauvegarde, même sur un cloud. Pour se protéger, il faut que les sauvegardes soient hors du réseau», prévient Simon Fontaine de ASR-Solutions.

«Les téléphones intelligents se synchronisent par WiFi et deviennent des vecteurs d’infection que les gens sous-estiment. Ça ne prend qu’un courriel que vous ouvrez sur votre téléphone [s’il est synchronisé avec votre ordinateur du bureau] et vous venez d’infecter l’ensemble du bureau. On installe un logiciel qui est user friendly, tout se synchronise et on vient d’ouvrir une porte», ajoute M. Fontaine, qui met aussi en garde envers les logiciels gratuits.

-Avec la collaboration de Pierre-Paul Biron

Même la recherche est menacée   

Le moins que l’on puisse dire, c’est que les pirates de l’internet ne reculent devant rien, allant même jusqu’à mettre en péril la recherche pour une cure et un vaccin contre le coronavirus.

«Aux États-Unis, les hackers attaquent les centres de recherche sur le coronavirus parce que l’argent est là. C’est sans scrupules. Ça donne la chair de poule. Depuis deux ans ils s’attaquent aussi aux hôpitaux. Comme on a affaire à des truands, même en payant, ce n’est pas sûr qu’on va retrouver ses données», fait remarquer Simon Fontaine de ASR-Solutions.

«En moyenne, un hacker va passer 169 jours sur un réseau sans être détecté pour s’emparer des données et les vendre sur le dark web. Quand il sent la soupe chaude, c’est là qu’il va passer au rançongiciel, comme s’il n’en avait pas assez.»

«Pour une entreprise piratée qui compterait une centaine d’ordinateurs, on estime qu’il faut quatre heures par poste pour régler le problème. Imaginez maintenant lorsque ces ordinateurs sont aux quatre coins de la ville», dit-il.

Entreprises plus conscientes?

Mathieu Grignon, de GoSecure, estime tout de même que la cybersécurité devient de plus en plus une préoccupation pour les entreprises.

L’expert en cybersécurité Steve Waterhouse trouve pour sa part que les entreprises sont toujours loin de joindre la parole aux gestes.

«Tout le monde se dit pour la bonne vertu, mais dans la réalité, ça "brette" depuis un bon moment, pense-t-il. Ça fait 5 ans, même 10 ans, que l’industrie parle de l’importance d’investir en sécurité, mais ma charge comme formateur diminue dans la formation de spécialiste. Je ne comprends pas. Ce que ça me dit, c’est que les entreprises n’adoptent pas les bonnes pratiques en sécurité.»

«En gros, les entreprises vont toujours au plus pressant, ajoute-t-il. Ils éteignent le feu quand c’est pris, mais sans plus. Ils ne font pas suffisamment de prévention. L’éveil de la société québécoise sur les risques est arrivé avec Desjardins. Parce que là, ça a frappé proche de nous, dans nos poches. Ça a capté l’attention et ça fait que dans les quatre ou cinq prochaines années, il va y avoir une sensibilité à ça.»

Pour Simon Fontaine, bien que l’alarme a été sonnée il y a longtemps, il semble y avoir enfin un éveil. «Ça prend un Desjardins pour faire avancer les choses. La moitié des entreprises sont maintenant sensibilisées. Mais il ne faut pas croire qu’un antivirus règle tous les problèmes.»

Récemment à Québec, M. Fontaine a été témoin de rançons de 500 000$ et de 1,5 M$ exigées à des entreprises de Québec.

«Les gens ne devraient pas avoir peur d’en parler et de dire qu’ils ont été "hackés". Il ne faut pas avoir honte, les hackers sont tellement bien outillés. De le partager avec d’autres entreprises va aider. Parce qu’on n’en parle pas, les gens pensent que ça n’arrive pas. Depuis Noël, on a rencontré quatre cas, dont un pour lequel il a fallu deux semaines et demie pour remonter l’environnement. Un peu plus et ces compagnies auraient pu fermer.»

Steve Waterhouse prône même la manière forte. «Tant que rien n’oblige les entreprises à bouger, certaines ne le feront pas. Si on oblige les grandes banques à faire des audits de sécurité informatique annuels, là, ça va bouger. Même chose pour les PME, certaines vont attendre d’être acculées au pied du mur avant de faire de quoi.»

-Avec la collaboration de Pierre-Paul Biron