L’identité numérique et la cybersécurité doivent être intimement liées

L’identité numérique et la cybersécurité doivent être intimement liées

Les entreprises technologiques se penchent de plus en plus sur les enjeux éthiques et opérationnels en matière de cybersécurité et d’identité numérique. Pour en discuter, l’Association québécoise des technologies, lors de Vision PDG, a rassemblé Pierre A. Roberge, du laboratoire d’identité numérique IDLab, Patrick Drolet, de Notarius, et Patrick Bélanger, de Nmédia, dans une discussion animée par Pierre-Étienne Bousquet, de Thirdbridge.

Pierre Roberge a commencé par mettre la table en expliquant ce qu’est l’identité numérique. Il existe plusieurs cas d’utilisation de l’identité numérique, mais aussi plusieurs technologies et fréquences d’utilisation. « L’identité est façonnée par le secteur privé et le secteur public, note le PDG d’IDLab. Et ce, même quand l’identité ne nous appartient pas, ce qui est le cas avec LinkedIn ou Gmail. » On ne peut, en effet, pas partir avec ce genre de compte pour le transférer ailleurs. L’identité numérique s’applique tant aux personnes qu’aux employés, aux fournisseurs et même aux objets connectés. On transfère la relation entre l’émetteur et le demandeur du monde physique de façon électronique. Dans le monde numérique, on a une authentification vérifiable. Le gouvernement du Québec se penche actuellement sur le sujet, alors que l’Ontario et la Colombie-Britannique font office de précurseurs au Canada.

La question est assez simple, note Patrick Drolet. Pourquoi a-t-on des problèmes de cybersécurité ? Parce qu’on se transforme numériquement. « Si on utilisait encore du papier, il n’y aurait pas de problème, avance le PDG de Notarius. Le numérique augmente les risques, alors que la cybersécurité aide les processus et la transformation numérique. La certification garde tout le monde honnête. » L’Union européenne en est déjà à sa deuxième mouture en matière d’identité numérique. Les entreprises québécoises qui veulent faire affaire en Europe doivent s’y intéresser, elles n’auront pas le choix. Patrick Drolet donne en exemple le propriétaire d’un bar. Celui-ci veut vérifier l’identité d’une personne pour savoir son âge, pas pour avoir l’adresse d’un client. Le débosseleur qui demande une copie de votre permis de conduire a tout faux puisque c’est l’assureur qui est responsable du dossier.

« En Colombie-Britannique, le déploiement a commencé en 2008 et compte déjà 3,7 millions d’identités numériques avec puces. Les gens s’identifient avec une identité numérique validée par le gouvernement. »

Après le début de l’année financière 2019, Nmédia a connu une grosse crise.

« C’était une belle petite journée, se souvient Patrick Bélanger, vice-président développement, technologie et innovation de l’entreprise. Quand je suis arrivé au bureau, mon VP TI est venu me voir pour me dire qu’il se passait quelque chose. Puis, Louis-Philippe Baril, mon président, est arrivé avec des questions. Nous avions déjà fait des tests d’intrusion, mais nous n’avions pas testé les mouvements latéraux. L’attaquant a essayé d’encrypter nos actifs, mais comme c’était trop long, il a choisi l’approche “seek and destroy”, ce qui a bien fonctionné. »

Les cyberattaquants ont eu accès à beaucoup trop d’éléments de Nmédia, qui avait fait l’erreur de partager ses périphériques. « Une fois qu’ils sont entrés, on était foutu, raconte Patrick Bélanger. Nous avons téléphoné à la GRC, nous sommes tombés sur une boîte vocale et nous avons reçu un retour d’appel deux mois plus tard. » La Sécurité publique a été plus réactive. Le jour même de l’attaque, Nmédia a acheté à peu près tous les appareils portables de Drummondville et envoyé une partie de ses employés à la maison. En deux jours, elle a réussi à récupérer 80 % de ses actifs productifs.

« Nous avions un bon plan de continuité des affaires, précise-t-il. C’est une des bonnes forces de Nmédia. Nous avions fait du travail en atelier et nous avions fait un drill. Et oui, c’était avant la pandémie et non, on ne croyait pas que ça nous arriverait. Nous sommes allés nous cacher dans le cloud, après avoir tout débranché. »

L’enquête de la SQ n’a rien donné, par contre les enquêteurs privés embauchés par l’entreprise ont fait des suivis à l’interne. Le bureau d’avocats Fasken a été d’une grande aide. Patrick Bélanger conseille d’ailleurs aux PDG de prendre des cyberassurances dès maintenant, avant que leur prix n’augmente. « Après une semaine, 95 % de nos clients et de nos partenaires s’étaient remis, mais, à l’interne, nous avons été ébranlés », souligne-t-il.

Il existe un gros problème de désinformation en matière d’identité numérique, rappelle Pierre A. Roberge. « La confiance numérique est une façon de protéger nos démocraties, dit-il. Or, le manque d’éducation nous ralentit. On voit des efforts concertés à travers le Canada et il va y avoir de plus en plus d’éducation. »

Autres billets

08Fév
Les conseils de Lyne Bouchard aux PDG en cas de cyberattaque

Sophie Bernard, Lien Multimédia

27Oct
Guide des bonnes pratiques en matière de cybersécurité

admin

31Mai
La cybersécurité devient un enjeu incontournable, D-Box en sait quelque chose!

Sophie Bernard, Lien Multimédia

05Nov
Conformité : une assurance de cybersécurité pour gagner la confiance de vos partenaires d’affaires

Fortica - Membre AQT