Des entreprises québécoises ne se sentent pas menacées par une cyberattaque parce que le Québec se trouve loin des grands repaires de pirates informatiques. Mais c’est une erreur de penser que la distance les met à l’abri des attaques externes.
« Vu qu’on est au Québec, on croit que c’est une petite place dans le monde et que nous sommes plus en sécurité, dit Dominic Villeneuve, directeur, cybersécurité et infrastructures, à UV Assurance. Dans des villes très criminalisées comme Johannesburg, en Afrique du Sud, il y a de puissants cartels qui attaquent sur Internet et qui peuvent faire des victimes jusqu’ici. Quand je suis connecté sur Internet, je suis dans la même ville qu’eux, et ces gens-là ont accès à moi. Dès que nous sommes sur Internet, nous devenons à risque. »
Adolescent, Dominic Villeneuve a lui-même basculé vers le côté obscur de la Force. Il a été pirate durant plusieurs années. L’arrestation et l’emprisonnement d’autres pirates qu’il connaissait l’ont fait réfléchir. Au début de la vingtaine, il a décidé de changer de camp. Aujourd’hui, il se sert de ses connaissances et de ses compétences pour contrer les attaques informatiques. À UV Assurance, il a pour mission de protéger les infrastructures et la pérennité des services de l’assureur.
« Il faut changer nos façons de faire! »
Lors de sa présentation au Forum sur la cybersécurité, il a brossé un portrait assez inquiétant de la situation et des risques auxquels les entreprises, même québécoises, sont exposées en 2019 ou 2020.
« La vitesse à laquelle les attaques évoluent est incroyable, indique-t-il. Nous, on est ralentis par nos politiques et nos cadres. Les pirates et les groupes bougent beaucoup plus vite que nous. Il faut s’adapter à leur vitesse. Ce qu’ils veulent, c’est notre information et notre argent, et il faut savoir réagir en conséquence. »
Selon Dominic Villeneuve, on ne peut plus attendre que les décisions se prennent d’en haut pour se protéger d’une cyberattaque. « On ne peut plus prendre trois mois, deux mois, six semaines pour mettre quelque chose en place, soutient-il. Quand il y a une attaque, dès le lendemain, on voit tout de suite les attaques arriver sur nos pare-feux. C’est extrêmement rapide. »
Être aussi rapide que les pirates
Les pirates sont de plus en plus organisés et rapides. Nous devons faire de même, dit ce spécialiste. Il faut évaluer et adapter constamment nos façons de faire, insiste-t-il, afin de répondre adéquatement aux tentatives de cyberattaque provenant de l’extérieur et de l’intérieur. C’est ce qu’a fait UV Assurance à la suite d’une prise de conscience, en raison des cyberattaques qui ont eu lieu principalement dans le secteur.
L’assureur a nommé un responsable de la sécurité – Dominic Villeneuve, en l’occurrence. Il a ensuite procédé à des analyses internes, élaboré un plan d’action, formulé des recommandations, classé le tout par ordre de priorité et sensibilisé la direction, les employés et le conseil d’administration aux risques. Toute la machine a été mobilisée pour affronter le danger.
Conscientiser la direction
Amener la haute direction d’une entreprise à prendre conscience de la menace que représentent les cyberattaques, la persuader d’investir des ressources et des moyens importants dans la prévention et la sécurité, peut se révéler une tâche difficile.
« Pour y parvenir, dit M. Villeneuve, il faut quantifier et démontrer la réalité des cybermenaces. Ce n’est pas toujours évident. Tout est une question de répercussions et de risques. »
À UV Assurance, cette sensibilisation a été facile à faire, car son PDG, Christian Mercier, était déjà très réceptif aux questions de sécurité. Dans plusieurs entreprises, les choses ne sont pas toujours aussi simples. M. Villeneuve dit que l’actualité doit servir d’exemple et de référence pour convaincre les plus hauts dirigeants de miser davantage sur la sécurité.
Les récentes nouvelles touchant le milieu financier viennent appuyer les efforts et justifier les mesures proactives, commente-t-il. Selon lui, c’est ce qui produit le plus d’effet sur la vision de la direction.
« Regardez ce qui se passe autour de nous. Il ne faudrait pas que ce soit à notre tour. Il faut se préparer et apprendre de ce qu’on voit autour de nous. Les cyberattaques et la communication de leur impact auprès des autres entreprises du milieu financier nous ont aidés à passer le message. »
Transmettre l’information à la direction
M. Villeneuve insiste aussi sur l’importance de communiquer à la direction les nouvelles du secteur qui portent sur des fuites de renseignements personnels ou des cyberattaques, ainsi que de lui transmettre les statistiques de sécurité de l’entreprise et les tentatives de piratage dont elle a fait l’objet.
« Ces informations doivent remonter jusqu’à la direction pour qu’elle en soit consciente, presse Dominic Villeneuve. Quand vous êtes victime d’une tentative d’attaque, que des gens essaient de vous berner, ça doit remonter jusqu’à la direction ; elle doit être mise au courant. Tous les mois, chez UV Assurance, je lui remets un rapport des succès qu’on a connus, des fois plus difficiles, et sur les campagnes qu’on fait à l’interne. Un collègue en parle au CA. »
Résultat : UV Assurance a observé un changement d’attitude dans son conseil d’administration, qui se dit maintenant très conscient des questions de sécurité.
M. Villeneuve déplore toutefois une chose, soit que les beaux plans d’action élaborés pour faire réagir aux atteintes à la sécurité des données et aux cyberattaques demeurent parfois seulement des plans d’action. « Ça n’a pas été le cas à UV Assurance, mais dans certaines entreprises, c’est parfois très difficile de les mettre à exécution en raison des couts, des efforts de déploiement et de la disponibilité des ressources », regrette-t-il.
