Épisode 036 - Des enclos aux pare-feu : la cybersécurité en agriculture

Ali : C’est en janvier 2019 que j’ai reçu un appel, à mon bureau, de la part d’une personne qui était, comme j’allais l’apprendre plus tard, un agriculteur; et il me lisait un message d’un rançongiciel, puis il m’a dit : « C’est ce que je vois à l’écran. Qu’est-ce que je fais? » Et j’ai répondu : ne touchez à rien! Je m’en viens vous aider. Ne touchez pas au clavier, ne faites rien, parce que, vous savez, en cas d’attaques par rançongiciel, les auteurs sont en fait en train de tout surveiller, et il y a un compteur sur votre écran. Et ça m’a ouvert les yeux sur cette nouvelle réalité. Je n’avais jamais travaillé dans l’agroalimentaire avant 2019; mon attention était tournée vers les secteurs des finances et de la défense.

Kirk : Ce seul coup de fil inattendu a placé M. Ali sur une nouvelle trajectoire : il allait appliquer ses recherches et son expertise en cybersécurité à l’agriculture. Depuis, il a fondé le laboratoire de cyberscience, à l’Université de Guelph. Le laboratoire est un véritable leader et innovateur dans notre secteur, qui identifie et combat les cyberrisques tout en formant une nouvelle génération de professionnels de la cybersécurité avancée pour protéger nos fermes et notre système alimentaire.

Dans cet épisode, M. Ali explique où se trouvent les plus grands risques pour les exploitations agricoles et quelles mesures pratiques les producteurs peuvent prendre pour améliorer leur cybersécurité. Il raconte d’ailleurs quelques anecdotes qui font réfléchir, qu’il s’agisse de venir en aide à un producteur de volaille victime d’une attaque ou de vivre incognito parmi les pirates informatiques en Europe de l’Est.

Marie-France : Nous entendrons également Charles-Félix Ross, qui raconte comment l’Union des Producteurs Agricoles du Québec – ou l’UPA – a été victime d’une attaque par rançongiciel en 2022. Il expliquera comment il a aidé l’organisation à surmonter l’attaque et les leçons apprises.

Kirk : Avant de conclure, à la fin de cet épisode, nous vous présenterons une boîte à outils de cybersécurité conçue par Agriculture et Agroalimentaire Canada, qui contient des listes de vérification, des guides et des renseignements que vous pourrez utiliser immédiatement.

Marie-France : Bienvenue aux Premiers seize pour cent, un balado sur les innovateurs et l’innovation dans le secteur agricole canadien. Je suis votre coanimatrice, Marie-France Gagnon.

Kirk : Et je suis l’autre coanimateur, Kirk Finken.

Marie-France : Alors, Kirk, revenons à ton entretien avec M. Ali. Je suis curieuse de savoir ce qui l’a marqué lorsqu’il a commencé à s’intéresser à l’agriculture et à la cybersécurité?

Kirk : Je pense que c’est l’ampleur de la technologie numérique déjà utilisée dans les exploitations agricoles canadiennes.

Ali : Plus je m’engageais dans la communauté, plus je découvrais des histoires intéressantes et combien ce secteur est vaste, la quantité de technologie que les gens utilisent dans ce secteur... ça m’a surpris, vous savez? Et combien les agriculteurs et les Canadiens sont avant-gardistes, et essayent d’améliorer les rendements et la productivité grâce aux technologies numériques. Par le fait même, ça augmente la surface d’attaque ou le cyberrisque.

Kirk : Alors, on a eu un léger aperçu de ce risque au début, avec l’agriculteur qui vous a appelé... je sais que vous êtes un petit laboratoire dans le sud de l’Ontario, et pas une grande entreprise, mais pouvez-vous me donner une idée du nombre d’appels que vous recevez?

Ali : Bien sûr; dans le sud de l’Ontario, en 2024, notre petit laboratoire seul a répondu à 46 incidents, n’est-ce pas? Et, vous savez, lorsqu’on nous appelle pour un incident, ce n’est pas rien, parce que ça veut dire que l’agriculteur voit le message, que les attaquants commencent soit à partager l’information ou à communiquer avec la cible, ce qui signifie qu’ils ont déjà beaucoup progressé, en ce qui concerne le stade d’attaque auquel ils se trouvent.

Kirk : Quand vous dites qu’ils ont déjà beaucoup progressé, qu’est-ce que vous entendez par là?

Ali : Si on regarde les étapes d’une attaque, généralement, ce que les attaquants font, une fois qu’ils ont accès à un système, c’est essayer d’abord de voler des données personnelles identifiables, comme de cartes de crédit, des renseignements sur les clients, etc. Mais dans toutes leurs démarches, ils essaient de se cacher. Ils essaient de faire en sorte que l’utilisateur, le propriétaire du système, ou même l’équipe de cybersécurité, ne puisse pas les détecter, ne puisse pas les trouver. Les auteurs de ces attaques savent très bien que l’utilisateur verra un message apparaître dès que le rançongiciel est déposé. C’est le but des rançongiciels, non? Ils ne le feront donc que lorsqu’ils en auront fini avec le système.

Ces activités sont généralement menées par différents groupes de pirates informatiques. On a donc un groupe de pirates informatiques spécialisés qui s’introduisent dans le système et volent les renseignements personnels, comme les cartes de crédit, les données, vous voyez? Ensuite, une fois qu’ils ont terminé, ils créent une porte dérobée et laissent la place au groupe suivant. Ce groupe s’attaque plutôt à d’autres systèmes. Alors, c’est pourquoi, quand vous voyez un message de rançon, ça veut probablement dire que ça fait déjà un bon moment que les attaquants ont accédé à votre système.

Kirk : Oh wow....Et dans de telles situations, certains vous ont appelé. Quel est l’exemple de cyberattaque le plus effrayant que vous ayez vu dans une exploitation agricole?

Ali : Le plus effrayant pour moi, a été l’attaque d’un élevage de volaille, en 2023. C’était à la fin du mois de décembre, j’étais en vacances avec ma famille, et quand nous avons reçu l’appel, le producteur était paniqué au téléphone. Il me dit : « Je ne peux plus contrôler la température dans mon poulailler, et les poussins sont en train de mourir. » Alors, il me disait que si la température changeait pour plus de 15 minutes, les poussins commençaient à mourir, vous voyez? Et ça m’a ouvert les yeux sur le fait que nous avons un sous-secteur de l’agroalimentaire où le temps de réponse à une cyberattaque peut être de 15 minutes seulement. Et on ne voit pas ça dans d’autres secteurs ou du moins dans peu de secteurs. Par exemple, à titre de comparables, il y a le secteur des finances et peut-être le secteur de la défense, qui auraient un temps de réponse aussi court.

Kirk : Le temps de réponse pour la volaille est court, mais il s’applique également à de nombreuses exploitations – tout ce qui a trait au bétail et aux serres est équipé de systèmes de chauffage et de ventilation contrôlés et automatisés. Wow! Alors, quelles seraient selon vous les autres lacunes ou faiblesses auxquelles les producteurs doivent prêter attention?

Ali : Je dirais que du point de vue des agriculteurs, des producteurs, des propriétaires, la principale faiblesse que je remarque, c’est qu’ils ne voient pas la cybersécurité comme une chose dont ils sont responsables. De leur point de vue, c’est les vendeurs qui sont responsables, ce qui n’est pas le cas. Vous savez, la cybersécurité est toujours la responsabilité du propriétaire, du propriétaire de l’entreprise, peu importe l’entreprise que vous dirigez.

Kirk : En soi, ça ressemble à un maillon faible : les agriculteurs pensent que les fournisseurs sont responsables, mais les fournisseurs ne sont pas toujours en mesure de les aider.

Ali : Vous pouvez donc utiliser la technologie des fournisseurs, mais la responsabilité vous revient quand même. Et de ce que j’ai pu voir dans de nombreuses attaques, les exploitations sont assez complexes et elles font affaire avec différents fournisseurs; et, quand l’attaque se produit, le fournisseur n’a peut-être pas les ressources nécessaires pour aider l’agriculteur, ou bien, même s’il les a, il ne peut pas nécessairement identifier la source de l’attaque. Est-ce que ça provient de leur technologie ou d’une autre technologie? Personne n’ose donc toucher à quoi que ce soit.

Kirk : Est-ce que moyens existent pour guider les agriculteurs et les fournisseurs?

Ali : Vous savez, actuellement, il n’existe aucune norme ou exigence en matière de cybersécurité pour le secteur agroalimentaire. Techniquement, les fournisseurs peuvent donc vendre les produits qu’ils veulent, vous savez? Et étant donné l’absence de normes claires, les fournisseurs ont aucune raison d’investir dans l’amélioration de leur cybersécurité. Deuxièmement, même pour les fournisseurs qui pensent à la sécurité, leurs phrases-clés sont du genre : « On est en conformité avec la norme ISO 27001 », ce qui ne veut rien dire pour un agriculteur.

Ali : On a besoin de normes de cybersécurité faciles à comprendre. Il faudrait donc une sorte de classement : A, B, C, D ou élevé, moyen, faible, et on n’a rien de ça, vous savez? C’est ce qu’on voit dans d’autres secteurs. Par exemple, dans les services publics, on a le Cadre de cybersécurité de l’Ontario, il compte quatre niveaux... 1, 2, 3, 4.

Kirk : OK. Alors, on a besoin de normes industrielles. Si vous êtes une personne responsable des normes gouvernementales ou de la cybersécurité et que vous écoutez ce balado, vous avez un travail à faire. Et pour ce qui est des agriculteurs, par où commencer? C’est évident qu’ils ne peuvent pas rester les bras croisés.

Ali : Je me souviens : je travaillais avec le propriétaire d’une ferme laitière dont l’exploitation avait été attaquée. Après avoir répondu à l’incident, une fois tout rétabli, il m’a demandé : « Ali, pourquoi est-ce qu’on s’en est pris à moi? » Et je lui ai répondu : « Parce que vos systèmes n’étaient pas sécurisés... vous étiez une proie facile. » Si j’étais un pirate informatique et qu’en seulement deux clics je pouvais accéder à votre ordinateur et à vos systèmes, c’est évident que c’est ce que je ferais, vous voyez? Si vous êtes une cible facile, les attaquants vont s’en prendre à vous, peu importe l’endroit où vous êtes dans le monde ou ce que vous faites.

Kirk : C’est un très bon point. Parlez-nous de l’état d’esprit des pirates informatiques. Je pense que ça aiderait.

Ali : Je suis allé en Europe de l’Est après mon doctorat, et j’ai vécu parmi ces groupes de pirates informatiques, pour mieux comprendre leur comportement. La plupart de ces équipes de piratage fonctionnent comme des entreprises, des entreprises tout à fait normales. Ils font du 9 à 5. Même les pirates informatiques ont des familles et des priorités, vous savez? Alors, ils reçoivent une liste de cibles et, à partir de cette liste, ils cherchent à savoir : « Lesquelles sont les plus faciles à attaquer, pour moi, aujourd’hui? »

Ali : C’est ainsi que la plupart de ces groupes cybercriminels opèrent, ils veulent optimiser leur rendement. Et, vous savez, la personne qui se trouve en Europe de l’Est, elle se contente de chercher et de scruter les cibles par adresses IP. Ils s’en fichent. Ils ne le savent pas que vous êtes un agriculteur du sud de l’Ontario. Ils voient une adresse IP qui est vulnérable, et ils l’attaquent.

Ali : Alors, la règle d’or pour tout le monde, en cybersécurité, et particulièrement pour les agriculteurs, c’est : « Ne soyez pas la cible la plus vulnérable. » Personne dans le domaine de la cybersécurité, même moi, ne s’attend à ce que les agriculteurs investissent beaucoup dans la cybersécurité, mais il faut investir suffisamment pour être mieux protégé que d’autres cibles. Les pirates s’en prendront donc à d’autres, et pas à vous.

Kirk : Marie-France, ce que j’ai entendu, venant de M. Ali, c’est un message plutôt inconfortable, mais aussi très simple. Il y a plusieurs technologies dans une exploitation agricole qui peuvent constituer des points d’entrée pour les pirates informatiques. Les criminels scrutent le Web, à la recherche de faiblesses. Il faut simplement adopter de bonnes pratiques en matière de cybersécurité pour éviter qu’il y ait des points faibles.

Marie-France : Si je me mets dans la peau d’un producteur, le risque est un peu déconcertant. Mais c’est plutôt révélateur de savoir que pour des criminels anonymes d’un autre pays, c’est un travail de 9 à 5?

Kirk : En effet, mais d’un autre côté, plus on en parle, oui, on peut se faire peur, – c’est un peu comme les coyotes. Vous savez qu’ils sont là, quelque part.. Vous savez comment ils fonctionnent et ce qu’ils cherchent. Vous savez aussi comment protéger votre bétail : des clôtures électriques et à l’épreuve des prédateurs, entre autres. Alors, vous faites ce qu’il faut, n’est-ce pas?

Marie-France : Et faire ce qu’il faut, dans ce cas, c’est quoi? Est-ce que M. Ali a parlé de la manière dont les gens dans notre secteur peuvent se protéger contre les pirates informatiques?

Kirk : Oui, il a offert quelques conseils.

Ali : Le plus grand conseil que je pourrais donner aux agriculteurs est d’au moins se faire un plan. Qu’est-ce qui se passerait si vous étiez victime de cyberattaques? Ou au moins, renseignez-vous : assurez-vous que vous et votre personnel ayez assisté à quelques ateliers en ligne sur la cybersécurité, à des formations en ligne sur la cybersécurité.

Ali : Parce qu’en cybersécurité, il y a trois piliers : les gens, les processus et la technologie. Pour ce qui est des gens, nous pouvons organiser des formations; pour le processus, il s’agit de vos processus internes. Pensez à la façon dont vous pouvez les rendre plus sûrs. Et bien sûr, la technologie, ça veut dire investir dans les technologies de détection et de défense de la cybersécurité. Mais, svp, commencez à réfléchir et à prendre des mesures pour au moins un de ces trois piliers, soit les gens, les processus et la technologie.

Ali : Et vous savez, il n’y a pas à avoir honte, si vous êtes victime d’une attaque; tout le monde est attaqué. Même les grandes entreprises subissent des attaques, vous savez? Mais, il faut avoir un plan en tête et être préparé pour le jour où ça viendra.

Kirk : Avez-vous vu des exemples d’agriculteurs qui sont vraiment à l’avant-garde dans ce domaine?

Ali : Oui j’ai vu pas mal d’agriculteurs qui adoptent les nouvelles technologies et qui, en même temps, se penchent sur la question de la cybersécurité. L’année dernière, en 2024, j’étais à la conférence annuelle d’AAC et je parlais avec un des agriculteurs, qui est venu me voir après ma présentation, et il m’a dit : « Ali, j’ai travaillé avec un tel fournisseur, et on m’a dit que si je voulais utiliser leur technologie, il fallait que je désactive mon pare-feu. Et je leur ai dit, Il n’en est pas question! Il faut développer votre technologie pour qu’elle fonctionne avec mon pare-feu. » Et pour moi, c’était comme « Wow, super! On s’en va vers du mieux, là. »

Ali : Alors, les chefs d’entreprise commencent à demander aux fournisseurs « Quelles sont les protections de cybersécurité que vous offrez », ou « Quels mécanismes est-ce que vous avez », ou ils commencent à installer des pare-feu. Et j’ai même entendu certains producteurs laitiers dire qu’ils procédaient régulièrement à des évaluations de la vulnérabilité. Peut-être deux fois par an.

Ali : Lorsque vous procédez une évaluation, une évaluation de la vulnérabilité, de la sécurité, vous avez une idée plus claire de vos faiblesses. Mais ça ne veut pas dire que vous devez vous attaquer à chacune d’entre elles. Vous pouvez décider et documenter... « J’accepte certains de ces risques » ou « Je prévois de m’en occuper l’année prochaine. » Si vous êtes victime d’une attaque, et que vous transmettez ce rapport à votre professionnel en cybersécurité, vous venez de lui faire gagner beaucoup de temps, parce que vous connaissez probablement vos faiblesses, et ils vont pouvoir s’attarder à celles qui peuvent être exploitées.

Kirk : Qu’en est-il des fournisseurs de services Internet? Est-ce que les agriculteurs peuvent faire quelque chose pour être au moins équipé d’une protection de base?

Ali : Je vois de plus en plus d’agriculteurs qui vont dire à leurs fournisseurs de services Internet, quand ils discutent avec eux : « Je dirige telle entreprise, quel type de protection avez-vous à m’offrir? » Vous voyez? Beaucoup d’entreprises de télécommunications peuvent fournir un bon niveau de protection de la sécurité pour votre entreprise ou votre réseau, gratuitement, parce qu’elles veulent vous garder comme client. Vous voyez? Mais ce n’est pas ce qu’il y a de mieux, n’est-ce pas? Mais c’est mieux que rien. Si votre compagnie de télécommunications offre l’option, juste le fait d’activer cette option montre aux pirates que vous êtes équipé d’un pare-feu et que vous êtes une cible plus difficile que celle qui ne dispose pas d’un pare-feu.

Kirk : Et puis, l’une des questions que les agriculteurs posent toujours, vous savez, « Combien ça coûte, protéger mon exploitation? »

Ali : Règle générale, je dis toujours « 1 $ plus sécurisé que les autres ». Parce que si ça vous coûte 1 $ de plus aux pirates, ils ne vont pas s’en prendre à vous; ils iront vers une autre cible, vous voyez? Alors, vous pouvez en faire votre principe de base, vous savez? Pour décider du montant que vous voulez investir.

Kirk : Okay, 1 $ de plus... Est-ce qu’il y aurait un autre critère de référence?

Ali : Dans d’autres secteurs, comme le secteur des finances, et même des transports, le coût de la cybersécurité représente généralement 20 % du coût total des TI. Jusqu’à maintenant, vous savez, je n’ai encore jamais vu un agriculteur investir autant dans la cybersécurité. On parle de beaucoup moins que ça, mais ça ne coûte rien d’entamer une démarche de cybersécurité. C’est facile de se procurer des formulaires d’auto-évaluation de la sécurité; par exemple, sur notre site web – où on trouve des formulaires par industrie, pour l’industrie bovine, l’industrie laitière, etc. – après avoir rempli ces formulaires, on vous proposera des mesures et des conseils. De cette façon, vous savez, vous saurez où commencer.

Ce n’est pas très cher d’envoyer votre personnel ou de vous rendre vous-même suivre des formations de sensibilisation à la cybersécurité, ou de les suivre en ligne. Je sais que certaines sociétés et organisations, comme le ministère de l'Agriculture, de l'Alimentation et de l'Agroentreprise de l'Ontario, organisent des exercices de simulation sur la cybersécurité. Si vous en avez la possibilité dans votre région, je vous conseille définitivement d’en profiter, parce que, ce qui se passe, c’est que des experts en cybersécurité vous placent dans une situation où une attaque a eu lieu et où vous devez prendre des décisions. Alors, vous procédez étape par étape, pour en faire l’expérience et pour comprendre, vous savez, quelles décisions il faut prendre en cas d’attaque. Alors, vous savez, ça vous permet de bien vous préparer mentalement.

Kirk : Et que qu’est-ce que vous pensez de l’assurance cyberrisques?

Ali : En effet, c’est une excellente, excellente idée. Oui, si votre exploitation n’a pas d’assurance cyberrisques, obtenir une assurance cyberrisques vous aidera beaucoup, parce que ça vous permettra de réduire considérablement le coût d’une cyberattaque, et la compagnie d’assurance vous aidera, vous savez, en améliorant la cybersécurité. Mais, vous savez, le fait d’avoir une assurance cyberrisques n’envoie pas un signal aux pirates informatiques indiquant que vous avez mis des protections en place; de leur point de vue, vous êtes une cible comme une autre. Investissez dans un pare-feu, investissez dans un SDI – un système de détection des intrusions – ou dans un logiciel mandataire qui est visible de l’extérieur, et qui envoie le message que « cette entreprise-là a un mandataire », ou « elle a un pare-feu... »; ça mènerait à un bien meilleur retour sur investissement.

Je comprends parfaitement que la cybersécurité reste un des services les plus coûteux en matière de TI.

Ali : Ici, à l’Université de Guelph, et en collaboration avec d’autres intervenants, on essaie toujours d’encourager le gouvernement à subventionner et à soutenir nos agriculteurs pour qu’ils atteignent un niveau de cybersécurité satisfaisant, tout comme ils subventionnent, par exemple, les services de biosûreté. Il faut aider les agriculteurs à atteindre un bon niveau de cybersécurité.

Marie-France : Tout ce que je peux dire, c’est « wow »; c’est vraiment intéressant. Ce qui m’a marquée, c’est Ali qui dit : « Commencez par de petits gestes. » Chaque geste vous rend moins vulnérable.

Kirk : Oui, et certains de ses conseils seront aussi dans les documents que nous allons partager à la fin.

Marie-France : Et, vous savez, il a mentionné un autre point important : les exercices de simulation.

Kirk : Ces exercices sont importants, parce qu’en situation d’attaque réelle, on n’a pas le temps d’essayer de tout comprendre à partir de zéro; tout est déjà préparé.

Marie-France : Le plan B est déjà en place. Et, c’est ce qui nous amène à mon entretien avec Charles-Félix Ross. En tant que directeur général de l’Union des Producteurs Agricoles du Québec, c’est lui qui a mené l’organisation à travers une attaque par rançongiciel, en 2022. Ce n’était pas un exercice de simulation. C’était bien réel.

Marie-France: Exactement Kirk. Et ça m'amène à ma conversation que j'ai eue avec Charles-Félix Ross, en tant que directeur général de l'Union des producteurs agricoles du Québec. Il a été le meneur de son organisation pour faire face à une attaque par rançongiciel, ce qu'on appelle aussi ransomware en 2022. Et ce n'était pas un exercice de simulation, c'était tout à fait réel.

Charles-Félix Ross: On était au cœur des vacances. J'étais avec ma conjointe en France dans l'attente de mon vol, et j'ai reçu un appel de mon directeur des services informatiques de l'UPA. Il m'a informé que l'ensemble de notre réseau était complètement paralysé, crypté, jammé, qui avait absolument rien à faire, qu'on dessert plus de 1000 clients. On dessert des organisations qui offrent des services aux producteurs agricoles.

Charles-Félix Ross: Tout était paralysé. On s'est réuni très, très rapidement avec notre assureur. Une chance, on avait une police d'assurance en cybersécurité, sécurité. Donc on s'est réuni très rapidement avec un British coach qui nous avait été recommandé par la compagnie d'assurance. Elle était très très calme. Elle dit ça à chaque semaine. Des attaques ou des compagnies qui sont prises avec cette situation là. Elle nous a recommandé rapidement de travailler avec KPMG, des spécialistes de crise en cyberattaque.

Charles-Félix Ross: Puis elle nous a conseillé également de travailler avec un négociateur qui allait entrer en contact avec les pirates informatiques ou avec les hackers. Le négociateur, c'était quelqu'un de la Californie qui tripait sur le baseball. Mais lui, il fait ça à chaque jour, négocié avec les hackers et les pirates. Bon, il nous a confirmé rapidement que c'était des bons bandits, des bons, des bons, des bons pirates qui tenaient leurs paroles. Et là, il y a une négociation qui s'est entrepris avec les pirates. L'idée derrière ça, et ils le savent aussi de l'autre côté, c'est de sauver du temps. On doit être en mesure, de notre côté, de faire un diagnostic de la situation. Est ce qu'on est capable de repartir les systèmes, de savoir s'ils ont eu de l'information de nos de s'ils ont réussi à obtenir des données. C'est ce qui a été mis en place. Puis bon, deux semaines plus tard, on a réussi vraiment à repartir tous nos systèmes, puis on a réussi à se sortir de ce guêpier.

Marie-France: Waouh! Et Charles Félix. Peux tu me parler de quelques leçons que vous avez tirées de cette affreuse péripétie?

Charles-Félix Ross: En fait, c'est de rester calme, je vous dirais, c'est de rester calme et dans ce cas là, c'était d'avoir un leader, quelqu'un qui qui qui gère la situation. Dans ce cas là, ça a été moi comme directeur général mais j'aurais pu confier la tâche à un directeur aussi de mon équipe. Pour faire le lien avec le conseil d'administration, faire le lien avec les directeurs, faire le lien avec les les mandataires et de rester et de rester calme. Mais nous, on travaille avec 38 organisations, on a 29000 membres. Donc, nous, on a choisi, au niveau des communications, d'être très transparent sur ce qui se passait. Le fait d'avoir été transparent au départ, de dire qu'on était en contrôle de la situation, puis une chance qu'on avait nos mandataire externe aussi, parce que ça, on l'a fait valoir. Les gens ont resté calme et ils nous ont supporté. Donc, ce sont les deux, je dirais deux leçons. Bon, ça prend un leadership, ce qu'on a vécu, ça prenait aussi une transparence de par rapport à ce qui arrivait.

Marie-France: Et après tout ça, quels conseils donneriez-vous aux producteurs et aux organisations qui nous écoutent en ce moment?

Charles-Félix Ross: Oui, d'avoir une bonne police d'assurance, d'évaluer les risques aussi de faire un exercice d'évaluation de risques, si on vit ça, c'est quoi, notre niveau, nos risques financiers, nos risques passionnels? Puis aussi d'être plus exigeant aussi avec son livre des services à d'autres organisations ou, si on est en échanges avec d'autres organisations d'échange d'informations, d'échanges de fonctionnement. Quand qu'on décide d'offrir nos services à un groupe, on regarde de quelle façon ils sont configurés, de quelle façon ils sont, que leur système fonctionne et est ce que leur système est compatible à notre système. Donc beaucoup de prévention. Je vous dirais que je recommanderais aux autres organisations et on doit on doit se pencher sur, éventuellement, si ça nous arrive, il y a des chances que ça nous arrive, on se prépare comment pour ça?  

Kirk : Marie-France, ça a été une véritable révélation. Je me dis que pour ma propre famille – et la plupart des exploitations agricoles sont des entreprises familiales – je devrais faire une évaluation et un plan de cybersécurité pour ma propre famille. Et même un exercice de simulation.

Marie-France : C’est une excellente idée et – pour vous aider – comme le disait M. Ali, la cybersécurité, ça n’a pas besoin d’être compliqué. Alors, on commence par de petits gestes : on fait un inventaire, on forme les gens et on s’assure d’avoir mis en place des protections de base. Chaque étape vous rend moins vulnérable.

Kirk – Et selon Charles-Félix, la leçon est claire : quand un incident se produit, le leadership et la transparence font toute la différence. Assurez-vous d’avoir préparé votre plan et votre équipe avant la crise.

Marie-France : Un grand merci à Ali Dehghantanha et à Charles-Félix Ross d’avoir partagé avec nous leurs connaissances et leurs expériences avec nous.

Kirk : Et si vous souhaitez obtenir du soutien pratique pour votre propre exploitation, Agriculture et Agroalimentaire Canada a créé des ressources pour les agriculteurs, notamment des listes de vérification, des guides et des boîtes à outils. Vous les trouverez en cherchant, sur Google, AAC et la cybersécurité et votre entreprise agricole.

Marie-France : Nous ajouterons le lien dans les notes de l’épisode pour qu’il soit facile à trouver. Et d’ici la prochaine fois...

Kirk : Essayez quelque chose de nouveau!Marie-France : Par exemple, un mot de passe fort autre que le nom de votre chien ou 1-2-3-4.