Conformément au Cadre de la cybersécurité de la Commission de l’énergie de l’Ontario (voir notre analyse du cadre) [en anglais seulement], les compagnies d’électricité sont tenues de remplir un profil de risque inhérent et un questionnaire d’autoévaluation connexe.
Or, il peut s’avérer difficile de se tenir au fait des nouveautés en matière de cybersécurité.
Nous ferons le point ci-après sur deux menaces que le Centre de la sécurité des télécommunications (CST) a récemment révélées dans son rapport sur l’évaluation des cybermenaces nationales, ainsi que sur d’autres publications et développements à ce sujet.
Le rapport du CST
Le CST est l’agence canadienne chargée de la collecte et de l’analyse du renseignement d’origine électromagnétique. Le 18 novembre, il a publié son deuxième rapport sur l’évaluation des cybermenaces nationales, qui expose les attentes générales concernant les cybermenaces au Canada au cours des deux prochaines années.
Le rapport du CST est particulièrement intéressant, car il est de nature prospective et est publié par une organisation bien placée pour faire des prévisions en matière de cybermenaces. Le CST cite exclusivement des sources d’information publiques, mais, comme il l’indique clairement, les jugements qu’il formule se basent tant sur des sources d’information librement accessibles que sur des sources d’information classifiée.
Le CST fait le point sur deux cybermenaces qui pèsent sur le secteur énergétique canadien, à savoir :
Les rançongiciels
Le CST estime que les infrastructures essentielles constituent la cible de prédilection des auteurs de cybermenaces qui recourent au rançonnement. Ainsi, comme l’indique le rapport : « On considère que les activités malveillantes dirigées contre le Canada continueront probablement à cibler les grandes entreprises et les fournisseurs d’infrastructures essentielles au cours des deux prochaines années ». Le rapport mentionne également qu’il est probable que les systèmes de contrôle industriel mal segmentés seront davantage ciblés au cours des deux prochaines années, car les auteurs de cybermenaces tentent « d’accroître la pression sur les infrastructures essentielles et ainsi inciter les victimes de l’industrie à consentir rapidement au paiement de la rançon demandée ».
La collecte de renseignements dirigée par des États
Même si le CST indique clairement qu’il ne prévoit pas d’attaques d’États visant la technologie opérationnelle en l’absence de conflit international, il juge néanmoins que ces attaques constituent les menaces les plus pressantes à la sécurité physique des Canadiens. Le CST songe plus particulièrement à la technologie opérationnelle utilisée pour contrôler « l’ouverture de barrage, le fonctionnement d’une chaudière, la transmission d’électricité et l’exploitation des pipelines ». De plus, même si les risques pour la sécurité physique sont faibles à l’heure actuelle, le CST pose le constat suivant : « Néanmoins, les auteurs de cybermenace pourraient cibler des entreprises canadiennes essentielles dans l’objectif de recueillir des données, de se prépositionner en vue d’activités ultérieures, ou de les intimider ».
Autres publications et développements récents
Des organismes de réglementation étrangers ont récemment publié trois rapports sur des incidents majeurs ayant compromis la cybersécurité.
- Le 15 octobre, le Département des services financiers (DFS) de l’État de New York a publié son report on the compromise of Twitter’s account management system [rapport sur une intrusion dans le système de gestion des comptes de Twitter] [en anglais seulement], incident qui s’est produit en début d’année. Le rapport du DFS est une source d’information très pertinente sur la gestion des risques liés à l’accès et au travail à distance. À titre d’exemple, le DFS a souligné la qualité variable des divers moyens d’authentification à facteurs multiples, ce qui va dans le sens d’un avertissement émis récemment par Microsoft.
- Le 30 octobre, le bureau du commissaire à l’information du Royaume-Uni a publié son report on a major hospitality sector incident [rapport sur un incident majeur survenu dans le secteur du tourisme d’accueil] [en anglais seulement]. En l’occurrence, les auteurs de la menace ont pu avoir accès aux systèmes d’une entreprise et commettre de graves actes malveillants sur une période de deux ans avant de déclencher une alerte. Le bureau a publié des directives sur la surveillance et les autres mesures de contrôle de la couche réseau.
- Le 13 novembre, le même bureau a publié un report on a major 2018 incident [rapport sur un incident majeur survenu en 2018] [en anglais seulement], incident dans le cadre duquel les auteurs de la menace ont réussi à utiliser le script d’un « agent conversationnel » tiers pour recueillir des données de cartes de paiement et des formulaires de paiement en ligne d’une entreprise. Le bureau a publié un certain nombre de directives sur la gestion des risques de la chaîne d’approvisionnement, notamment en ce qui concerne le développement d’applications.
Fait à noter également, le 4 novembre, la société Coveware, spécialisée dans la récupération de rançons, a publié son quarterly ransomware report [rapport trimestriel sur le rançonnement] [en anglais seulement]. Ce rapport constate que les rançonneurs ont de moins en moins tendance à tenir leur promesse de supprimer les données volées. Ainsi, en 2020, il n’est pas rare que des rançonneurs conservent les données et menacent de les publier sur le Web en vue d’obtenir une rançon. À en croire le rapport de Coveware, le paiement de la rançon demandée devient une option nettement moins attrayante.
Le cadre réglementaire est également sur le point de faire l’objet de changements majeurs. Le gouvernement fédéral a présenté le projet de loi C-11, qui remplacera la LPRPDE par une nouvelle loi appelée Loi sur la protection de la vie privée des consommateurs et, en particulier, instaurera un nouveau régime d’application stricte. L’incidence la plus importante se fera sentir sur les entreprises de distribution locales. Consultez notre analyse exhaustive du projet de loi C-11 pour en savoir plus à ce sujet.
Points à retenir
Certains de nos clients connaissent déjà les cybermenaces dont il est question dans le rapport du CST. Mais les autres clients devraient tenir compte des observations de l’organisme et adapter leurs processus en conséquence. Le projet de loi C-11 insiste sur l’urgence de se préparer à faire face à des cyberincidents de toutes sortes. Nos clients devraient considérer leurs politiques d’intervention en cas d’incident comme des documents évolutifs, qui doivent faire l’objet de vérifications et de rajustements constants.
Nous serions heureux de vous apporter notre aide sur ces enjeux. Si vous avez des questions, n’hésitez pas à communiquer avec votre avocat de BLG ou l’une des personnes-ressources ci-dessous.
