Voici pourquoi les experts en cybersécurité estiment que le Canada a échoué dans sa réponse à la panne de CrowdStrike

Des millions d’ordinateurs ont été mis hors service vendredi dans le monde entier après qu’une mise à jour défectueuse du logiciel CrowdStrike a affecté des compagnies aériennes, des hôpitaux, des banques et des diffuseurs. Les …

Voici pourquoi les experts en cybersécurité estiment que le Canada a échoué dans sa réponse à la panne de CrowdStrike

Des millions d’ordinateurs ont été mis hors service vendredi dans le monde entier après qu’une mise à jour défectueuse du logiciel CrowdStrike a affecté des compagnies aériennes, des hôpitaux, des banques et des diffuseurs. Les experts en cybersécurité estiment que le Canada a échoué dans sa réponse par rapport à d’autres pays, ce qui montre qu’il est vulnérable et mal préparé aux attaques futures.

« Le Canada se situe dans la moyenne. Je lui donnerais une très mauvaise note, disons trois sur dix », a déclaré l’expert en cybersécurité Brian O’Higgins lors d’une entrevue sur Zoom dimanche. « Certains pays sont un peu plus organisés. »

« Le Canada n’est pas prêt », a déclaré un autre expert en cybersécurité, Ritesh Kotak, lors d’une entrevue sur Zoom. « Il reste beaucoup de travail à faire. »

Les experts en cybersécurité affirment que le Canada ne dispose pas d’un processus simplifié pour réagir à une panne ou à une attaque informatique. Au lieu de cela, ils affirment que le pays s’appuie sur plusieurs entités distinctes pour gérer les problèmes liés à la cybersécurité.

« Avoir un responsable de la cybersécurité ou un point de contact unique est logique dans tout cela », a déclaré O’Higgins. « Actuellement, ils sont dix, voire plus, et ils ont une grande expertise. Mais une grande partie de leurs connaissances relèvent du domaine secret et ils passent une grande partie de leur temps à ne pas parler aux gens, alors que nous avons besoin de l’inverse. C’est donc une question d’organisation. »

Les analystes cybernétiques affirment que la panne informatique de vendredi a obligé de nombreuses entreprises et organismes provinciaux à essayer de trouver eux-mêmes des solutions aux pannes, au lieu de faire appel à un organisme gouvernemental unique pour obtenir de l’aide.

O’Higgins et d’autres citent l’Australie comme « l’étalon-or », où il existe un ministre de la cybersécurité dont la seule responsabilité est d’être la personne de référence lorsque des problèmes informatiques, comme la panne, frappent le pays.

« Au niveau macro, nous avons besoin d’une meilleure coordination entre tous les niveaux de gouvernement pour garantir que les ressources sont adéquates et qu’il y a une coordination en cas d’attaque ou de panne informatique », a déclaré Kotak. « Nous avons besoin d’un point de contact unique, d’une personne responsable, d’une personne qui assure la coordination en cas d’attaque. Je pense que cela ne fonctionne pas quand il s’agit d’un secteur, qu’il s’agisse de l’industrie, de la défense ou de la sécurité publique – et que chacun a sa propre réponse en matière de cybersécurité. »

Les experts en cybersécurité affirment également que le Canada ne dispose pas d’une stratégie solide comme celle d’autres pays, qui alloue des fonds et d’autres ressources aux initiatives de cybersécurité, notamment en tenant les entreprises technologiques responsables des lacunes de leurs initiatives de cybersécurité.

« Nous (le Canada) n’avons pas de lois en place. Nous n’avons pas de cadres en place », a déclaré l’experte en technologie Carmi Levy lors d’une interview sur Zoom dimanche.

« L’Union européenne a adopté une loi sur la cyber-résilience, qui oblige les entreprises à faire tout ce qu’elles peuvent pour assurer leur sécurité et celle de leurs parties prenantes. Et des conséquences sont intégrées dans la législation en cas de non-respect », a ajouté Levy.

Les experts en cybersécurité soulignent également la stratégie septennale de cybersécurité de l’Australie, publiée fin 2023, qui alloue des centaines de millions de dollars de financement et d’autres ressources jusqu’en 2030 au secteur de la cybersécurité.

« La stratégie australienne en matière de cybersécurité comporte des dates précises et un financement pour garantir le respect de ces dates. Elle a établi des priorités en amont et a donné du mordant à sa législation et à ses initiatives. »

« Au Canada, nous avons présenté une stratégie nationale de cybersécurité plus tôt cette année, mais le budget est très limité, il n’y a pas d’échéancier et on ne sait pas vraiment où cela va mener les Canadiens », a déclaré M. Levy.

Les experts en cybersécurité estiment qu’il faut davantage de législation et de financement pour aider les entreprises qui ne disposent pas des ressources nécessaires pour répondre à une cyberattaque ou à une panne. « Ces subventions et ces fonds doivent également être accessibles sans barrières », a déclaré Kotak.

« À l’échelle microéconomique, j’aimerais voir davantage de subventions et de ressources accordées aux petites et moyennes entreprises pour les préparer à l’inévitable. »

O’Higgins affirme qu’il faut davantage de réglementation et d’application de cette réglementation pour que le Canada puisse rattraper son retard sur les autres pays.

En réponse, le Centre de la sécurité des télécommunications du Canada (CST) a déclaré que « le gouvernement du Canada entreprend actuellement un renouvellement de la Stratégie nationale de cybersécurité, initialement lancée en 2018 ».

Le projet de loi C-26 (Loi concernant la cybersécurité) constitue une étape cruciale qui donne au gouvernement de nouveaux outils et pouvoirs pour renforcer les défenses, améliorer la sécurité dans les secteurs vitaux réglementés par le gouvernement fédéral et protéger les Canadiens et les infrastructures essentielles du Canada contre les cybermenaces. Le projet de loi est devant le Sénat et obligerait les entreprises de quatre secteurs d’infrastructures essentielles (énergie, télécommunications, finances et transports) à signaler les incidents cybernétiques au Centre pour la cybersécurité, tout en rendant obligatoires certaines mesures de protection importantes, comme la mise en place d’un plan de cybersécurité, par exemple.