Le Conseil national de recherche du Canada (CNR) a récemment admis avoir été victime d’une attaque cybernétique d’envergure, suffisante pour paralyser ses activités pendant un certain temps. L’information personnelle du public n’est, dit-on, pas en danger, mais entre vous et moi, les coupables n’ont pas visé cet organisme pour les informations personnelles des Canadiens. Le gouvernement s’est empressé d’identifier les services chinois comme le coupable numéro un. Il est peu probable que cela entraîne de véritables répercussions entre les deux pays tant ce genre d’espionnage économique est monnaie courante depuis longtemps déjà.
Ce n’est évidemment pas la première fois que les médias relaient ce genre de nouvelle, mais on imagine souvent à tort qu’il s’agit d’un problème ne concernant que les Américains (et les Chinois). Dans la pratique, les organisations canadiennes sont des cibles tout aussi intéressantes pour les services secrets étrangers, et on ne peut donc pas se surprendre quand ce sont nos propres institutions qui sont les victimes.
Afin de faire un peu de lumière sur la situation, le réseau CTV a interviewé Anthony Seaboyer, expert en sécurité nationale au Collège militaire royal du Canada, et Maxime Lamothe-Brassard, professionnel de la sécurité de l’information et frère de votre humble serviteur. Comme c’est souvent le cas avec ce genre d’article, on ne fait que survoler des problématiques très complexes auxquelles il n’y a pas toujours de solutions évidentes. Par manque d’espace, il n’est pas possible aux journalistes de s’étendre un peu sur le sujet – chose que les blogueurs de mon espèce se permettent de faire.
Notez que je n’ai pas directement discuté du dossier avec mon frangin, mais comme il lira ce billet, je suis certain qu’il se fera un plaisir d’y répondre et de rectifier sa pensée s’il le juge nécessaire.
M. Seaboyer mentionne dans l’article que la législation canadienne (et celles de tous les autres pays – nous sommes loin d’être seuls avec ce problème) ne parvient pas à suivre l’évolution du risque en sécurité TI. Il a raison, mais je crois que le problème dépasse la simple législation. Les organisations ayant des besoins en sécurité de l’information commencent à s’habituer aux risques de base; les « menaces de marchandise » (commodity threats), et les contrôles et investissements nécessaires pour s’en prémunir. Or, les ressources nécessaires pour se protéger efficacement contre des menaces avancées (advanced threats) des états nations sont bien plus importantes. Ces états sont devenus dans les dernières années des acteurs incontournables dans la sécurité de l’information et leur rôle et influence ne saura qu’augmenter dans le futur. Les entreprises œuvrant dans industries ciblées – et les normes qu’ils doivent respecter – devront s’ajuster à cette nouvelle forme de menace pour leur sécurité.
Plusieurs entreprises ayant des responsabilités en sécurité informatique continuent aujourd’hui à se buter contre les commodity threats. Dans ces circonstances, même des législations plus strictes n’aideront pas à régler le problème. Gérer correctement la sécurité de l’information d’une organisation est une tâche complexe et coûteuse, et qui peut être rendue caduque par une seule erreur. C’est vrai dans le secteur privé – l’essentiel de mon expérience personnelle – et je suis certain que ce l’est également dans le secteur public. Il ne s’agit donc pas d’une question de loi, mais plutôt de maturité organisationnelle. Les entreprises ont de la difficulté à faire ce qu’on leur demande déjà de faire, pas nécessairement par ignorance ou manque de persévérance, mais à cause de la complexité de la tâche, souvent relié à un changement de culture.
Cette constatation en cache une autre plus subtile: celle de la profonde asymétrie entre l’attaque et la défense dans sécurité de l’information. Il est bien moins coûteux – en terme d’effort, de temps et de ressources – pour un hacker de s’infiltrer dans une organisation, que pour une organisation de se protéger efficacement contre l’ensemble des risques TI auxquelles elle fait face. Tant que cette asymétrie demeure (et ce n’est pas près de changer de sitôt), les infrastructures critiques demeureront des cibles de choix pour les espions étrangers.
Cette tendance lourde entraîne progressivement un changement de stratégie pour les organisations cherchant à se prémunir contre les attaques commandées par des gouvernements étrangers, et c’est l’origine de la remarque de Maxime Lamothe Brassard sur nécessité de détecter les attaques au lieu de chercher à complètement les éviter. Cela peut sembler une admission de défaite, mais c’est en fait une stratégie pragmatique compte tenu de la situation. C’est d’ailleurs ce qui semble s’être produit avec le CNR. Sans être idéale, une telle approche a beaucoup plus de chances de réussir à long terme à mitiger le risque envers les infrastructures critiques nationales.
Les représentants du CNR parlent maintenant de rebâtir l’infrastructure technologique de l’organisation pour éviter qu’un tel incident se reproduise de nouveau. Cela peut sembler exagéré, mais ce n’est pas particulièrement inusité. Dans la pratique, lorsqu’un réseau est infiltré électroniquement, il est souvent souhaitable d’effacer et de rebâtir un grand nombre de systèmes, même lorsque ceux-ci ne présentent pas nécessairement des symptômes montrant qu’ils ont été compromis. La nature des attaques informatiques est telle qu’il est parfois très difficile d’en déterminer précisément la source. C’est d’autant plus vrai lorsque ces attaques viennent d’une agence de renseignement étrangère.
Cryptique César! 
Très bon résumé de la situation. Les solutions légales peuvent aider de deux façons à long terme je crois.
En créant un plancher minimum de sécurité à travers la création de normes, on augmente le coût d’entrée aux auteurs d’attaques de commodité. En coupant une partie du bruit de fond (les commodités) en sécurité on permet aux équipes de sécurité de se concentrer sur les attaques risquant de faire plus de dommage à l’organisation et donc d’être plus efficaces. De façon similaire à la police municipale qui s’occupe du vol à l’étalage et d’autres crimes plus simple et permet à la GRC de se concentrer sur les crimes demandant des enquêtes plus longues et complexes.
Ensuite, à encore plus long terme, une progression des ententes diplomatiques et une expansion générale de l’autorité de la loi permettra peut-être un jour aux victimes d’espionnage (que ce soit industriel ou de nation) de recevoir une représentation honnête internationalement. Une compagnie canadienne qui se fait voler les plans d’une invention, et qui 6 mois plus tard retrouve son produit à un dixième du prix en Chine devrait pouvoir avoir un recours légal facilement contre la compagnie étrangère.
Malheureusement, il s’agit de projets long termes et nous payons aujourd’hui le prix de nous être concentrés uniquement sur la sécurité de commodité pendant des années en nous cachant derrière le cercle vicieux de « nous n’avons jamais détecté d’attaques avancées alors pourquoi devrions-nous investir dans la détection de ces attaques ».
C’est cette mentalité qui commence à changer et qui amène les organisations à s’attaquer au problème des attaques avancées avec une approche nécessairement différente (beaucoup plus spécialisée) de celle des commodités.
Merci beaucoup pour ton commentaire Maxime, je suis certain que mes milliers de lecteurs ont autant apprécié que moi.
Même si je vois très bien l’utilité des législations et standards en sécurité de l’information dans un contexte national, je te trouve (ainsi que Anthony Seaboyer, en assumant que c’est ce qu’il voulait dire) bien optimiste de penser que cela peut s’appliquer dans un contexte international via des ententes diplomatiques et une « expansion générale de l’autorité de la loi ».
Ça ferait d’ailleurs un excellent sujet pour un prochain billet…
Aussi, si l’accent a été historiquement tant mis sur les commodity threats, c’est parce que pour la vaste majorité des organisations, ce sont les menaces pour lesquelles le risque est le plus élevé, et leur mitigation nécessite des ressources moindres que les attaques ciblées. Dans les circonstances, c’est un choix qui fait du sens.