Les premiers seize pour cent - EP 016

Sara : D’habitude, aux premiers seize %, on raconte des histoires sur des innovateurs positifs dans le secteur agricole. Aujourd’hui, on change de registre, on parle des innovateurs malicieux. Il faut absolument les connaître aussi.

Kirk : Les escrocs sont devenus numériques. Et ils considèrent le secteur agricole comme une bonne cible.

Janos : Pensons aux agriculteurs en tant qu’individus. Au bout de compte, c’est l’humain qui entraîne la plus grande vulnérabilité. Mais c’est aussi l’humain qui permet les progrès les plus importants en matière de cybersécurité et de cyberpréparation. Vous savez, les agriculteurs pensent à la météo et à toutes sortes d’éléments différents. Ils sont, de par la nature de leur travail, de bons gestionnaires de risques. Mais ils n'ont pas toujours fait le lien entre la sécurité de leur technologie et de leurs informations et la sécurité et le bien-être de leurs exploitations agricoles, de leurs familles et de leurs communautés rurales.

Kirk : Vraiment! Les producteur, comme bien des gens dans notre secteur, passent une grande partie de leur temps à gérer les risques. Aujourd'hui, on se concetre sur un nouveau risque à gérer : la cybersécurité.

Sara : Les producteurs sont de plus en plus dépendants des technologies numériques - des moissonneuses-batteuses sophistiquées aux systèmes de contrôle du climat dans les granges, en passant par des machines de transformation et des applications pour la météo ou les prix des marchés sur leurs téléphones.

Kirk :On utilise une tonne de technologies dans ce secteur.

Sara : C'est vrai. Et, comme dans d'autres secteurs, on doit penser à la cybersécurité. Mais il y a un facteur unique dans l'agriculture qui rend la cybersécurité différente de celle d'un commerce de détail de vêtements ou des soins de santé, par exemple.

Kirk : Qu’est-ce que tu veux dire?

Sara : Dans les exploitations agricoles, souvent, il n'y a pas le même sorte de séparation que dans d'autres types d'entreprises ou d'organisations. Nos outils et nos appareils professionnels sont principalement connectés à nos réseaux domestiques et à nos téléphones personnels.

Kirk : C'est exact.

Sara : Avec toutes ces connexions entre vie professionnelle et vie personnelle, et avec les médias sociaux, on laisse traîner des informations et des petites portes numériques ouvertes pour les personnes entreprenantes.

Kirk : Entreprenants; bon choix de mot.

Sara : Ils peuvent vous saigner pour quelques centaines ou quelques milliers de dollars. Ou ils peuvent faire tomber toute votre exploitation. Ils peuvent aussi prendre en otage les opérations financières d'une chaîne d'approvisionnement ou d'un sous-secteur entier de l'agriculture. C'est vraiment inquiétant.

Kirk : C'est pourquoi on a contacté des experts sur ce sujet. Ils nous ont raconté quelques histoires vraies de piratage informatique pour illustrer la façon dont les cybercrimes sont commis. Et ils nous ont donné de solides conseils sur la façon dont on peut améliorer notre cybersécurité.

Sara : Tout d'abord, on a Janos Botschner, que vous avez entendu au début. C'est un psychologue du comportement et un consultant en sécurité publique. M. Botschner travaille avec la Community Safety Knowledge Alliance ou CSKA, une organisation à but non lucratif de Saskatoon qui se concentre sur divers aspects de la prévention du crime et de la sécurité publique. M. Botschner et la CSKA travaillent actuellement à une initiative visant à améliorer la cybersécurité, en particulier dans le secteur agricole, qui est financée par Sécurité publique Canada.

Kirk : Donc, ce qui est intéressant au sujet du M. Botschner, c'est qu'il se spécialise dans la psychologie du crime et la sécurité communautaire. En plus d'examiner les aspects économiques et légaux de la criminalité, il a des idées sur les facteurs de motivation des criminels et les effets de la victimisation. 

Sara : On a aussi parlé avec Christine Beauchamp du Centre canadien de cybersécurité ou CCS. Le CCS surveille les signaux et les renseignements étrangers pour le gouvernement du Canada. Sa mission est vraiment importante en matière de cybersécurité - pour tous les niveaux du gouvernement, pour l'industrie et pour citoyens canadiens. Ils sont dans le domaine de la cybersécurité depuis plus de 70 ans.

Kirk : Pour commencer, comme la cybercriminalité ne connaît pas de frontières, j'ai demandé au M. Botschner de nous donner une vue d'ensemble des cybermenaces en ce qui concerne le secteur agricole mondial.

Janos : Si nous considérons le secteur agroalimentaire dans son ensemble, nous pouvons voir qu'il constitue une infrastructure critique à part entière ainsi qu'une main-d'œuvre essentielle. Il se situe à l'intersection de multiples chaînes d'approvisionnement et interagis avec de nombreux autres secteurs. Il fait donc partie d'un ensemble d'infrastructures critiques interdépendantes. Elles s'alimentent toutes les unes les autres et sont toutes liées les unes des autres. L’automne dernier, l’organisation CrowdStrike a fait état, en 2020, d’un décuplement des intrusions d’origine humaine touchant le secteur agricole.

Kirk: Par intrusions humaines, vous voulez dire, par opposition aux programmes autonomes ou aux bots? C'est une grosse augmentation! Et au Canada, on a un secteur agricole modernisé et hautement technologique. On est donc naturellement une cible pour les cybercriminels. Qui exactement dans notre secteur agricole est confronté à ces risque-là? Et qui doit faire attention?

Janos : Les très grandes entreprises semblent être conscientes de la nécessité d’adopter des pratiques standards en matière de sécurité de l’information. Toutefois, les petits et les moyens producteurs ne sont généralement pas très attentifs aux risques qu’ils encourent en cas de cyberévénements et n’ont jamais été bien placés pour réagir en cas d’attaque grave, qu’elle concerne leur chaîne d’approvisionnement ou, dans certains cas, qu’elle les vise directement. Il s’agit d’un secteur d’activité en pleine expansion, comme vous pouvez l’imaginer, car il présente peu de risques et est très rentable pour les cybercriminels et leurs commanditaires.

Comme l’a récemment fait remarquer Ray Boisvert, de l’équipe responsable de la stratégie en matière de sécurité d’IBM, le secteur des logiciels rançonneurs devrait atteindre – et écoutez bien – jusqu’à 10 000 milliards de dollars américains au cours des cinq prochaines années. Comparez ces chiffres au PIB de certains pays. Les ennemis sont très bien financés, si nous parlons de profits de cette ampleur.

Ils sont également encouragés quand les paiements sont effectués. Ainsi, plus les perturbations, par exemple, d’une chaîne d’approvisionnement sont importantes, plus les entreprises sont susceptibles de payer une rançon pour remettre les choses en ordre.

Il convient de noter qu’en octobre dernier, le groupe lié à l’attaque de JBS a déclaré que le secteur agricole était une cible prochaine de ses activités. Il semble donc respecter sa parole.

Kirk : On a certainement dû s’adapter à une façon plus numérique de faire des affaires en raison de la pandémie. Comment ça a affecté la cybersécurité?  

Janos : La transformation numérique s’est accélérée pendant la pandémie, nous l’avons bien vu. Bien qu’il ait dû faire face à de nombreux défis liés, entre autres, à la consolidation et aux chaînes d’approvisionnement, le système alimentaire canadien a pu maintenir son rôle vital avec un minimum de perturbations.

Si nous nous projetons dans la période après pandémie, les investissements continus et la transformation de l’agriculture et de la production alimentaire canadiennes sont réellement destinés à propulser la reprise et à renforcer la position internationale du Canada, non seulement en matière de commerce, mais également sur le plan du leadership relatif à la sécurité alimentaire et au changement climatique.

Donc, avec cette croissance de la numérisation et ce rôle de l’agroalimentaire comme élément clé du bien-être national et géopolitique du Canada, il est raisonnable de penser que le secteur connaisse une augmentation des perturbations de la cyber sécurité.

Kirk : Donc, tout indique qu'il faut un nouveau niveau de vigilance ou une nouvelle façon de penser à nos technologies.

Janos : Les circonstances sont là pour dire, ok, cela fait partie de notre nouveau monde. Comment pouvons-nous aider les gens à comprendre, à communiquer et à agir de manière à ce que la conscience de tous les aspects numériques s’inscrive dans notre expérience du monde au XXIe siècle? Il s’agit donc d’intégrer cette conscience dans la façon dont vous gérez votre entreprise. Avez-vous effectué une sauvegarde des informations financières? Savez-vous qui sont vos fournisseurs? Si vous recevez un courriel qui vous semble un peu louche, pourquoi ne pas envoyer un message texte ou téléphoner à la personne qui vous l’a envoyé pour vérifier « m’as-tu envoyé ça »? Donc, il s’agit simplement de modifier un peu sa façon de penser.

Là encore, vous savez, si un agriculteur observait un comportement un peu différent chez une truie de reproduction ou une vache laitière, il porterait attention et pourrait communiquer avec son vétérinaire.

C’est un peu la même chose. Ce à quoi les agriculteurs doivent porter attention est simplement différent et n’est pas toujours physiquement tangible. Les producteurs sont très bons pour remarquer certains éléments et réfléchir de façon globale à la manière dont tous les éléments entrent en jeu pour bien s’occuper de leur entreprise, de leur famille et de leur collectivité.

Sara : D'après ce que vous venez de dire, j'ai l'impression que la cybersécurité ne peut pas être toute seule dans un coin.

Janos : Ça ne suffit plus d’envisager la situation comme un problème informatique. Si nous l’étudions d’un point de vue commercial, il s’agit de gestion des risques de l’entreprise. Il est donc très important d’avoir des conversations avec les cadres et les conseils d’administration afin qu’ils puissent prendre des mesures raisonnables pour atténuer ces risques et être en mesure de s’adapter et de lancer la reprise des activités après un événement.

Si, par exemple, vous vivez dans une collectivité rurale éloignée où il y a un potentiel de conditions météorologiques extrêmes remontant à plusieurs générations, vous saurez quoi faire pour protéger votre ferme. Vous saurez également comment protéger votre famille et d’autres aspects de votre style de vie des tornades ou des tempêtes hivernales, ou encore d’autres événements météorologiques graves. Cela fait partie intégrante de la façon dont vous gérez votre entreprise et dont vous vivez votre vie.

Kirk : De grosses cyberattaques ont récemment eu lieu dans les industries agroalimentaires mondiales. Pouvez-vous nous parler de deux d'entre eux en particulier, celui contre l'Australian Wool Exchange? Et celui contre JBS Foods, la multinationale de la transformation de la viande?

Janos : Allons y de façon chronologique. Le premier, qui s’est produit en février, était l’attaque du système de change de l’industrie de la laine australienne. Un type particulier de logiciel, qui était utilisé par plus du trois quarts de cette industrie en Australie et en Nouvelle-Zélande, a fait l’objet d’une attaque par un logiciel rançonneur qui a interrompu les achats et les échanges pendant environ une semaine. Le volume hebdomadaire totalisait environ 80 millions de dollars, soit un coût immédiat important. Des flux de trésorerie ont également été interrompus pour les producteurs.

L’entreprise JBS Foods, autre exemple, a subi une cyberattaque de grande envergure par un logiciel rançonneur qui a gravement perturbé les opérations de production en Amérique du Nord et en Australie.

Des travaux ultérieurs ont attribué cette action à un groupe de pirates informatiques de la Russie. Le groupe utilise un puissant type de logiciel rançonneur appelé LEAK. Ce logiciel permet aux attaquants de causer deux types de préjudices. Le premier porte atteinte à la disponibilité des données en chiffrant les fichiers et en empêchant leur utilisation jusqu’à leur déchiffrement. Il s’agit d’une attaque que nous connaissons bien. L’autre préjudice que le logiciel peut causer est d’attaquer la confidentialité des données en menaçant de rendre publiques des données de nature délicate. Les victimes sont ainsi poussées à payer une rançon. Bien entendu, si une organisation criminelle vole vos données, il n’y a aucune garantie qu’elle ne les vendra pas à quelqu’un d’autre.

Ça a augmenter la pression dans une situation déjà explosive. JBS a apparemment réagi en payant une rançon de 11 millions en crypto monnaies pour s’assurer que ses clients ne subissent pas de pénurie d’approvisionnement et sans doute aussi pour empêcher la divulgation de renseignements confidentiels.

Nous pouvons imaginer que, lorsque vous devez également gérer la propriété intellectuelle, ça peut devenir une préoccupation assez importante puisqu’elle peut avoir une incidence sur votre avantage concurrentiel.

Sara : J'imagine que certaines des victimes d'une cyber-attaque ne se sentent pas à l'aise de partager le fait qu'elles ont été compromises. C'est embarrassant. Comment ça affecte le partage d'informations pour combattre ces attaques?

Janos : Votre remarque est également très importante. Il peut y avoir une certaine gêne, mais je pense qu’en vérité chacun d’entre nous a probablement déjà été attaqué d’une façon ou d’une autre. Nous n’avons peut-être pas encore été des victimes, mais des personnes et des réseaux de zombies essaient sans cesse de nous attaquer. Il s’agit donc d’une situation très courante. Je pense que pour la majorité des organisations, il ne s’agit pas de Si, mais de Quand. Et donc, comment ferez-vous pour que ces attaques soient moins probables ou aient moins de répercussions? De quelle manière assurerez-vous la reprise des activités le plus rapidement possible?

Il peut y avoir des raisons commerciales pour lesquelles une organisation ne souhaite pas divulguer ces renseignements, et cette décision lui appartient. Il est certain que dans de telles situations, il y a une occasion importante d’ assurer une aide mutuelle et un soutien de base de personne à personne, afin d’aider à surmonter la difficulté. Il s’agit de situations très stressantes. En pensant au bien-être de chacun de nos agriculteurs, de leurs familles et de leurs collectivités rurales et en renforçant la capacité de soutien mutuel face à l’adversité, nous arrivons à effectuer également un travail très important.

Janos : Eh bien, je pense que… il existe certains exemples importants. Quand l’entreprise de livraison Maersk a été attaquée, ça a été annoncé. L’entreprise avait de bonnes relations avec ses concurrents. Elle avait un peu de chance de son côté. Certaines infrastructures de données de l’entreprise qui se situent dans un pays africain avaient subi une panne de courant. Cette section de l’entreprise n’a donc pas été touchée par la cyberattaque et ils ont pu récupérer une partie de son infrastructure de données à ce moment. Ils avaient aussi, et c’est important, de bonnes relations avec leurs concurrents. Ces derniers ont donc prêté des infrastructures à Maersk pour l’aider à reconstruire son système après l’attaque. D’une certaine manière, il s’agit vraiment d’un cas exemplaire concernant la façon de bien faire les choses.

Kirk : Cette capacité de soutien dont parle Janos est vraiment importante. On y a accès ici même au Canada. Le Centre canadien de la cyber sécurité (Cyber Centre) est l'autorité canadienne en la matière.

Christine : Je m’appelle Christine Beauchamp, je suis directrice de la mobilisation des clients et de la détection des incidents au sein du Centre canadien pour la cyber sécurité. Nous sommes un groupe centralisé qui fournit des renseignements, une expertise et un soutien aux Canadiens et aux organisations canadiennes en ce qui concerne les incidents de cyber sécurité ainsi que leurs questions et leurs préoccupations.

Kirk : Christine, le Dr Janos Butschner nous a brossé un tableau global des menaces qui pèsent sur le secteur agricole. Mais votre organisation est en première ligne de la cyber sécurité. Pouvez-vous nous donner une idée de la menace globale ici au Canada?

Christine : Au Canada, la plus grande menace en matière de cyber sécurité, c’est la cybercriminalité.  La cybercriminalité est omniprésente. Elle est très répandue. Les cybercriminels ne font pas de discrimination. Ils ciblent un large éventail d’éléments. Ils essaient d’attaquer le plus grand nombre possible de comptes, de personnes et d’organisations, en espérant que quelques-uns seront victimes de leur stratagème et de leurs attaques.

Christine : Les seules données que je pourrais vous fournir qui sont, je suppose, concrètes concernent le gouvernement du Canada dans son ensemble. Il fait l’objet de plus d’un milliard de tentatives de compromission chaque jour. Ce sont des chiffres stupéfiants. Ils sont plus importants que ce que l’esprit peut comprendre. Il est donc essentiel que les gens aient une bonne cyber hygiène d’une part, mais aussi qu’ils disposent de systèmes solides capables de mettre fin aux tentatives de compromission avant qu’elles ne se produisent.

Sara : wow... On voit tous ces emails ou on reçoit des appels, mais avez-vous un exemple d'une histoire que vous pourriez partager sur la façon dont ils finissent par fonctionner?

Christine : Récemment, j’ai été en contact avec une association, une petite organisation, pas nécessairement une très, très grande entreprise avec beaucoup d’argent. Il a été découvert qu’un président de l’organisation avait communiqué avec les membres du conseil d’administration, en fait qu’une personne avait créé un faux compte de courriel, avait prétendu être ce président et avait fait une demande d’achat en son nom par courriel. Il voulait des cartes cadeaux pour remercier un groupe de bénévoles. Parce que le courriel était signé du nom du président, la personne n’a pas vérifié s’il s’agissait de l’adresse courriel normale que le président utilisait réellement.

La personne a donc acheté toutes les cartes cadeaux en ligne, puis a répondu au courriel en joignant ces cartes et en indiquant de les envoyer à tous les bénévoles. Il s’agissait en fait d’un faux compte créé par un cybercriminel. Malheureusement, cette personne a perdu tout son argent en se faisant prendre dans cette affaire. En fait, cela se produit régulièrement.

La grande majorité des compromissions proviennent en fait d'attaques très simples et les tentatives d'hameçonnage, les liens dans les courriels sont en fait le principal moyen pour les cybercriminels d'accéder à vos informations et à vos comptes

Sara : Donc, c'est ce qu’on entend par ingénierie sociale. C'est construire une histoire complexe basée sur des relations. Comment ils obtiennent ce type d'informations sur les relations?

Christine : Ils peuvent les obtenir en ligne sur votre site Web, par exemple, en fonction de la quantité de renseignements qu’une organisation mettra en ligne sur sa mission, ses employés et sa structure organisationnelle. Ils peuvent également les obtenir auprès de personnes qui font de nombreuses publications en ligne. Si vous pensez à tous les renseignements que vous publiez à votre sujet sur les médias sociaux et que vous vous demandez ce qu’un cybercriminel pourrait apprendre sur vous en parcourant tous vos messages, vous seriez surpris de voir tout ce que vous avez révélé sur vous-même et du nombre de munitions que vous avez données à un auteur de cybermenace pour essayer de vous faire passer pour quelqu’un d’autre.

Kirk : Je comprends votre point de vue. On doit développer des cyber-dégourdis. Et par où on commence si on veut améliorer notre sécurité?

Christine : Il n’existe pas de méthode unique pour s’assurer d’être complètement en sécurité en ligne. Nous faisons plutôt la promotion de la sécurité par couches. Qu’est-ce que cela signifie? Cela signifie qu’il faut mettre en œuvre un certain nombre de petites mesures qui, une fois regroupées, assureront une sécurité solide. La première mesure qu’on recommande, c’est la création de mots de passe. Créez un mot de passe chaque fois que c’est possible de le faire et essayez de le rendre unique et différent à chaque fois et pour chaque compte. Cela peut être compliqué parce que nous avons des centaines de comptes.

Comment se souvenir ou s’assurer d’utiliser un mot de passe différent à chaque fois? On peut utiliser des gestionnaires de mots de passe. Il en existe de très bons sur le marché. Ça aide. Vous savez, vous sauvegardez les mots de passe à un seul endroit sécurisé et vous n’avez pas besoin de vous souvenir de tous. Il y une autre astuce, par contre. On recommande aux personnes d’utiliser des phrases passes plutôt que des mots de passe. Par « phrase passe », on entend trois ou quatre mots aléatoires avec ou sans espace jusqu’à environ 15 caractères. Il pourrait s’agir, par exemple, de « chaise, table, caméra, télévision ». Ces phrases sont en fait assez difficiles à craquer, plus faciles à retenir, mais difficiles à deviner.

Nous avons parlé un peu de l’application de correctifs et de la mise à jour des logiciels. Dès que vous recevez ce petit message sur votre téléphone ou sur votre ordinateur, il est important de ne pas le négliger. Il vous indique que ce logiciel doit être mis à jour ou que vous devez redémarrer votre appareil pour mettre à jour ce logiciel particulier. Il s’agit essentiellement d’un message vous indiquant « nous avons réglé une faiblesse qui pourrait être exploitée par des cybercriminels ou des auteurs de cybermenace ». Il faut en tenir compte immédiatement.

Un autre élément auquel nous accordons une grande importance est l’authentification multifactorielle. Par exemple, lorsque vous créez un compte et qu’un message apparaît comme suit : « Oh, merci pour votre nom d’utilisateur et votre mot de passe, pouvons-nous avoir un numéro de téléphone pour vous envoyer un message texte avec un code particulier? » Activez-les, ils ne sont pas faits pour vous compliquer la vie. En fait, ils augmentent considérablement la sécurité, car il est beaucoup plus difficile pour un cybercriminel d'avoir les deux éléments. S'il peut obtenir votre nom d'utilisateur et votre mot de passe, il ne peut pas obtenir votre empreinte digitale, par exemple. Cette couche de sécurité supplémentaire permet donc de verrouiller vos comptes beaucoup plus solidement.

Sara : C’est des bons conseils. Donc si quelque chose arrive, qu'est-ce que je fais?

Christine : La toute première mesure à prendre est de mettre immédiatement hors ligne tous vos appareils afin qu’ils cessent de transmettre des renseignements sur Internet. Si vous pensez avoir été victime d’un cyber crime, on vous encourage à contacter la GRC ou la police de votre région pour le signaler. Vous pouvez aussi communiquer avec le Centre antifraude du Canada pour en faire le signalement. Si vous n’êtes pas sûr et que vous craignez les préjudices que cela pourrait causer à votre organisation dans son ensemble, n’hésitez pas à signaler le cyber incident au Centre pour la cyber sécurité. Une page destinée au signalement des incidents très facile à utiliser se trouve en ligne à l’adresse Cyber.gc.ca. Une équipe de professionnels peut vous guider à travers les étapes à suivre pour vous assurer que nous gérons la situation aussi rapidement que possible.

Ou encore, si une organisation ou un groupe de personnes ont des questions particulières auxquelles ils ne trouvent pas de réponse au moyen de nos outils disponibles, ils sont toujours invités à contacter le Centre pour la cyber sécurité directement en envoyant un courriel à l’adresse contact@cyber.gc.ca. Une équipe de professionnels sera plus qu’heureuse de vous mettre en contact avec l’expert en la matière qui répondra à vos questions.

Sara : Tu sais que le nettoyage dont parle Christine n'est pas la dernière étape si quelque chose arrive. On doit tout recommencer. M. Botschner a terminé en soulignant vraiment l'importance d'un plan de récupération. Il faut reconstruire son infrastructure numérique quand quelque chose se produit. Les sauvegardes pourraient bien être la partie la plus importante.

Janos : Comment mettez-vous les choses en place et les faites-vous fonctionner? Plus vous y penserez, mieux vous vous porterez, car vous anticiperez et prendrez des mesures actives pour tenter de résoudre ce problème au mieux de vos capacités. Et vous savez, cela va être psychologiquement important. Je dirais aussi que cela vous permet d'avoir un peu plus de tranquillité d'esprit en sachant que vous avez fait tout ce que vous pouviez pour être en mesure de réagir si quelque chose se produisait.

Tout ça fait donc partie de cette image globale. Et je pense que la question… est-ce qu’on doit dire que c'est la cyber sécurité? Ou simplement que c'est la sécurité? Peut-être que dans les prochaines années, nous finirons par penser les choses un peu différemment et par parler davantage de sécurité dans un monde numérique qui implique un tas de composants différents et qui commence et se termine souvent par les personnes.

Kirk : Plus de tranquillité d'esprit. Achetez-en. Trouvez-en. On en a besoin de plus.

Sara : Alors, qu'est-ce qu'on doit faire?

Kirk : Créer de nouveaux mots de passe pour tous nos appareils...

Sara : Et après avoir fait ça, n'oubliez pas de vous abonner à cette série de balados. On a de nouveaux épisodes chaque mois sur les innovateurs et les innovations dans le secteur agricole et alimentaire.