GATINEAU – Les PDG et chefs d’entreprise ignorent souvent et camouflent même les cyberintrusions, allèguent les experts en technologie de l’information (TI) qui ont participé à la conférence sur l’espionnage à Gatineau au début du mois de décembre.

Toutefois, ces actions laissent les sociétés cotées en bourse et leur conseil d’administration dans des positions compromettantes face aux importantes responsabilités et obligations légales qui découlent de cyberattaques causant des fuites d’information sur leur clientèle ou des dommages à la valeur concurrentielle de leur entreprise. 

Un professeur de droit met en garde l’assistance sur le fait que les consommateurs dont les renseignements ont été divulgués auront de la difficulté à faire la démonstration de la fuite, et les actionnaires ont plus d’avantages à avoir gain de cause dans les cas de recours collectifs qui pourraient hanter les chefs d’entreprise longtemps après leur départ.  

L’avertissement de Nortel

Le cas de Nortel devrait lancer, en ce moment, un avertissement aux autres compagnies canadiennes. C’est certainement le souhait de Brian Shields, ancien conseiller principal à la sécurité chez Nortel.

Il a assisté de l’intérieur aux évènements qui se déroulaient alors que les dirigeants ignoraient le piratage systématique ou lorsqu’ils lui rendaient impossible la tâche de dépister les attaques ou de mieux sécuriser la compagnie.

Shields a exposé dans les moindres détails et de manière très technique la façon dont Nortel a été piratée pendant des années.

Il croit que Nortel a été mise à sa ruine parce qu’elle a fait face à une guerre de prix acharnée offerts par une concurrence. Il croit également que la progression du géant des télécommunications chinois Huawei est proportionnelle à la chute de Nortel et que le cyberespionnage qui sévit actuellement a aussi joué un rôle important dans cette affaire.

Nortel était un joyau canadien dans la sphère technologique et c’est maintenant terminé. D’autres suivront si rien ne change, prévient Shields.

«Une guerre économique sévit en ce moment et nous sommes en train de la perdre», insiste-t-il.

Guerre virtuelle

Aux États-Unis et au Canada, une foule de rapports successifs examinent en détail la portée du problème. Les chiffres avancés pourraient atteindre des trillions de dollars en perte pendant que la recherche et le développement, payés par les compagnies nord-américaines, alimentent l’ascension de leurs compétiteurs – des compétiteurs chinois la plupart du temps.  

Shields était un des 20 conférenciers à la Conférence internationale sur l’espionnage et la sécurité industrielle tenue à l’hôtel Hilton de Gatineau les 1er et 2 décembre 2014.

Un des thèmes récurrents à la conférence était celui de l’espionnage endémique et des compagnies mal préparées ou réticentes à s’occuper du problème. Plusieurs experts en sécurité des IT qui étaient présents ont expliqué que les dirigeants d’entreprises ne saisissent pas bien la situation ou, tout simplement, ne se soucient pas des cyberintrusions. 

Après le bilan de Nortel présenté par Shields, Éric Parent, PDG fondateur de Logicnet & EVA-Technologies, a révélé à l’assistance qu’exactement la même chose est en train de se passer actuellement.

«Tout ce que vous venez d’exposer est toujours en cours», a-t-il insisté.

Parent affirme que le travail qu’il effectue en ce moment pour un client important a révélé les mêmes attaques, la même chronologie d’évènements et la même indifférence de la part des dirigeants.

«Une des différences majeures est que l’information piratée ne profitait pas à une compagnie de télécommunications chinoise, mais à deux universités chinoises.»

L’entreprise de Parent a dû laisser tomber ce client parce qu’il refusait de prendre connaissance des lacunes dans la sécurité. Il ne voulait pas que sa compagnie soit associée aux ruptures et aux infractions futures inévitables. En fait, l’entreprise de Parent fait de son mieux pour éviter de travailler avec les compagnies cotées en bourse. 

Camouflage des attaques

Trop souvent, les PDG préfèrent cacher les problèmes plutôt que d’y faire face par peur d’avoir à affecter le cours des actions à court terme, ou de perdre leur bonus annuel. Parent et une des membres de son équipe, Sylvie Guérin, une vérificatrice principale à EVA-Technologies, affirment que les PDG vont même jusqu’à cacher les attaques de leur conseil d’administration et jusqu’à renvoyer les principaux employés à la sécurité en technologie de l’information pour empêcher que la nouvelle ne se répande.

Parent en a rejoint d’autres et ensemble ils ont créé le Canadian Cyber Defense Network (CCDN), un site où les pirates «chapeaux blancs» qui veulent dénoncer ou révéler des vulnérabilités qu’ils ont découvertes et qu’ils veulent voir rétablies plutôt qu’exploitées peuvent aller en toute sécurité. 

Les experts en TI recevront des détails concernant des problèmes de sécurité sérieux par des sources anonymes auxquelles ils attribueront des numéros de référence qui seront publiés en ligne, sans les détails de la vulnérabilité. Ensuite, le CCDN tentera d’informer les PDG à propos de ces vulnérabilités et d’effectuer des suivis sur la façon dont ces problèmes sont pris en charge. Sur leur site Internet, ils se prononceront sur le fait que les vulnérabilités ont été résolues ou non et noteront leur conclusion à la suite du numéro de référence correspondant. 

Responsabilité de la direction et des entreprises

Ce processus, pour le peu complexe, vise à s’assurer que les gens qui découvrent des vulnérabilités de système peuvent les identifier sans risques de poursuites ou de pénalités, un problème qui existe actuellement. Les gens qui identifient les vulnérabilités pourraient faire partie du personnel en TI de la compagnie dans laquelle les faiblesses ont été identifiées.

Il y a aussi une autre méthode pour forcer les dirigeants d’entreprise et les conseils d’administration à régler les lacunes de sécurité, révèle Errol Mendes, professeur de droit à l’Université d’Ottawa, qui était aussi orateur lors de cette conférence sur l’espionnage.

«Parlez-leur de la responsabilité juridique potentielle», explique-t-il. «Utilisez la matraque légale.»

Le problème auquel font face plusieurs conseils d’administration de grandes entreprises, c’est qu’ils n’ont pas l’expertise pour comprendre les aspects techniques de la cybersécurité ni les défis que cela pose aux entreprises.

Qu’ils le comprennent ou non, ils restent néanmoins légalement responsables pour les erreurs qui seront commises sous leur juridiction.

La jurisprudence, tant au sud qu’au nord de la frontière, évolue rapidement et place le fardeau de l’établissement des mesures de cybersécurité appropriées sur les conseils d’administration, comme faisant partie intégrale de leurs obligations fiduciaires face aux actionnaires.  

Bien qu’ils ne comprennent peut-être pas et agissent en réaction aux menaces, ils doivent avoir des mécanismes en place pour s’assurer que l’information leur parvienne, leur permettant ainsi de prendre des décisions éclairées.

En cas d’échec, la compagnie ou les membres du conseil d’administration seront eux-mêmes redevables et assujettis aux amendes ou aux poursuites.

Les membres canadiens des conseils d’administration ne peuvent échapper à ces poursuites même après leur départ de ces compagnies, affirme Mendes.

«Si vous démissionnez après que quelque chose de ce genre est arrivé, ça ne peut pas constituer une échappatoire pour vous empêcher de faire face aux conséquences», insiste-t-il.

Problème complexe

À cause de cette problématique complexe dont seul un petit nombre de membres des conseils d’administration en saisissent l’étendue et les détails techniques, il recommande que les conseils d’administration mettent en place des comités spéciaux qui ont l’expertise nécessaire.

Il conseille aussi que les conseils d’administration embauchent des tiers pour évaluer leurs mesures de sécurité internes et qu’ils s’assurent que leur équipe en TI est à la hauteur des exigences auxquelles ils devront faire face.

Pour les experts en TI présents dans la salle, Mendes les a informés que cet angle légal pourrait constituer l’élément motivateur dont ils ont besoin pour pousser les conseils d’administration et les dirigeants d’entreprise à l’action. L’ignorance n’est pas une bonne défense, poursuit-il, même si le PDG cache ces lacunes ou ces brèches à son conseil d’administration.

Avec des gros titres affichant des intrusions alarmantes – comme le piratage contre JPMorgan Chase qui a exposé 76 millions de ménages et 7 millions de petites entreprises au spectre du vol d’identité – ce n’est pas un phénomène qui peut être laissé dans l’ombre.

Parent affirme que les entreprises ont l’obligation, face à leurs clients et à leurs actionnaires, de faire des efforts énergiques pour améliorer la cybersécurité.

«La sécurité et l’éthique vont main dans la main», conclut-il.

Version originale : Cyber Attacks Expose CEOs, Corporate Boards