La cyberinsécurité inquiète les banquiers canadiens

TORONTO — Qu’est-ce qui est presque invisible, peut dévoiler des secrets importants et empêche les grands banquiers du Canada de dormir la nui?

Une cyberattaque.

Ce n’est pas une blague, mais une menace bien réelle pour ceux qui dirigent le Canada et ses grandes entreprises.

Quand Victor Dodig vérifie son téléphone chaque matin, le patron de la Banque CIBC craint d’apprendre qu’un gouvernement ou une compagnie, quelque part dans le monde, a été piraté, a-t-il déclaré le mois dernier à la Commission des valeurs mobilières de l’Ontario.

«Évidemment, ce serait plus inquiétant si notre institution était attaquée, mais nous sommes tellement interconnectés qu’un seul maillon faible est problématique pour nous tous», a-t-il expliqué.

De tous les scénarios cauchemardesques qui trottent dans la tête de Stephen Poloz, le gouverneur de la Banque du Canada, la menace d’une cyberattaque «est plus inquiétante que tout le reste», a-t-il dit en octobre lors d’une rencontre avec La Presse canadienne.

Les experts de la cybersécurité craignent que les mesures défensives implantées par les gouvernements et les compagnies ne soient pas de taille face à des pirates de plus en plus sophistiqués, comme en font foi certains événements récents.

Le quotidien New York Times rapportait cette semaine que l’Agence nationale de sécurité des États-Unis — la plus grande agence de renseignements du pays, connue pour ses propres opérations clandestines — a été compromise par un pirate, une fuite interne ou les deux. Les cyberarmes qu’elle avait développées pour espionner d’autres pays se sont maintenant retournées contre elle et la source de la fuite demeure incertaine après 15 mois d’enquête.

Il y a deux mois, la firme Equifax révélait que des pirates avaient exploité une faille dans son système pour s’approprier les données confidentielles de la moitié de la population des États-Unis. Cette fuite a été dévoilée à la fin du mois de septembre, cinq mois après l’intrusion informatique. Les pirates se sont servis à souhait pendant deux mois avant qu’Equifax ne découvre la brèche.

Si les politiciens américains ont crucifié la compagnie pour la lenteur de sa réponse, la réaction au Canada a été nettement moins hystérique, même si Equifax a refusé pendant plusieurs semaines de dire combien de Canadiens avaient été touchés.

Equifax Canada a pu garder le silence car aucune loi fédérale canadienne ne contraint les compagnies à annoncer publiquement qu’elles ont été victimes d’une intrusion ou d’un vol.

Un amendement à la Loi sur la protection des renseignements personnels et les documents électroniques pourrait tout changer s’il est adopté. Proposée il y a deux ans, la modification devra franchir encore plusieurs étapes avant d’être finalement soumise à un vote. En attendant, les cyberattaques se multiplient.

Près de 60 pour cent des entreprises canadiennes qui ont participé à un sondage Ipsos en février ont dit se douter ou savoir qu’elles ont été victimes d’une intrusion informatique au cours de la dernière année. Plus du tiers des Canadiens qui ont répondu aux questions de la firme Accenture ont confié avoir été attaqués.

Le nombre d’attaques informatiques à des fins d’extorsion a augmenté de 50 pour cent l’an dernier, selon une étude du géant Verizon Communications. Et cette compagnie est trop bien placée pour savoir quels ravages peut faire une attaque informatique — elle a récemment acheté Yahoo, qui a été victime de la pire fuite de l’histoire quand trois milliards de comptes ont été compromis.

Des estimations calculent que la cybercriminalité coûte entre 3 milliards $ et 5 milliards $ à l’économie canadienne chaque année. Le coût moyen d’une fuite pour une compagnie atteint 6 millions $, selon la Chambre de commerce du Canada.

La Banque du Canada a prévenu que les banques du pays sont vulnérables à une cascade d’attaques qui pourraient miner non seulement la confiance envers le système financier, mais aussi déborder sur des secteurs comme l’énergie ou les réseaux d’alimentation en eau.

Le piratage informatique a déjà été utilisé comme arme de guerre. Il y a deux ans, des pirates informatiques russes ont apparemment fait tomber le réseau électrique ukrainien, au plus fort du conflit entre ces deux pays. Les pirates russes ont depuis attaqué pratiquement tous les secteurs ukrainiens, y compris le réseau fiscal, le système de suivi des prescriptions et le système de surveillance des radiations à Tchernobyl.

Les attaques lancées contre Ashley Madison, Yahoo et maintenant Equifax ont beau donner naissance à des manchettes alarmantes, des enquêtes fédérales et une colère politique temporaire, les changements réels sont rares, laissant nos institutions vulnérables à la cyberattaque cauchemardesque envisagée par M. Poloz et qui paralyserait la civilisation — une attaque qui semble soudainement un peu plus possible.