Cybersécurité

Burcu Bulgurcu
Toronto Metropolitan University

Bâtir la cyberrésilience dans un monde postpandémique

Quelles menaces guettent la cybersécurité lors de la transition vers le travail hybride?

Pour beaucoup d’entreprises, la pandémie de COVID-19 a accéléré l’adoption de nouvelles technologies facilitant le télétravail. Cependant, cette transition fut si rapide que beaucoup d’entre-elles ont oublié la cybersécurité et sont ainsi devenues vulnérables aux cybermenaces. Financée par le CRSH, la chercheure Burcu Bulgurcu de l’Université métropolitaine de Toronto (TMU) s’est penchée sur les bons et les moins bons coups de la transition vers le télétravail pour aider les entreprises à renforcer leurs pratiques de cybersécurité.

La chercheure signale que certaines entreprises – principalement celles du secteur financier où la sécurité des données est cruciale – n’avaient jamais envisagé la possibilité que la totalité de leurs employés se retrouve en télétravail. Lorsque la pandémie a frappé, aucune politique en lien avec l’utilisation d’ordinateurs personnels à des fins professionnelles ou l’accès au réseau au moyen de routeurs personnels potentiellement vulnérables n’était en place au sein de ces entreprises.

Étude sur la cybersécurité

En collaboration avec Atefeh Mashatan, titulaire de la Chaire de recherche du Canada sur le cadre de qualité de la sécurité pour l’Internet des objets et directrice du laboratoire de recherche sur la cybersécurité de la TMU, M^me Bulgurcu préparera des études de cas sur la cybersécurité dans 10 à 15 entreprises canadiennes. Elle évaluera leurs politiques en matière de cybersécurité ainsi que leurs programmes de formation et de sensibilisation destinés aux employées et employés, en examinant comment les entreprises ont d’abord réagi à la crise sanitaire et comment elles ont modifié leur approche au fil du temps (par exemple, en renforçant les processus d’autorisation et d’authentification pour accéder aux données de l’entreprise à partir de la maison). Ces résultats seront le point de départ d’un sondage mené auprès d’environ 1 000 travailleuses et travailleurs du savoir et professionnelles et professionnels de la cybersécurité.

La chercheure espère que ce projet conduira à la rédaction de lignes directrices qui aideront les entreprises à améliorer leur cyberrésilience. Elle croit qu’il est urgent de régler les problèmes, car le télétravail est désormais enraciné, et les attaques deviendront de plus en plus fréquentes.

« La transition numérique est une réalité. La priorité doit absolument être accordée à la gestion de la cybersécurité, à la formation et à la sensibilisation », dit-elle.

Ignacio Cofone
Université McGill

Algorithmes éthiques et intelligence artificielle

Nécessité d’établir des règlements pour prendre de meilleures décisions fondées sur des données probantes

Bien qu’il s’agisse d’une technologie prometteuse, l’intelligence artificielle (IA) repose sur des algorithmes au potentiel discriminatoire. Voilà pourquoi Ignacio Cofone, titulaire de la Chaire de recherche du Canada sur le droit de l’intelligence artificielle et la gouvernance des données de l’Université McGill, désire responsabiliser davantage l’utilisation de l’IA. Il s’intéresse notamment aux raisons qui justifient la réglementation des décisions fondées sur des données issues de l’IA (plutôt que celles fondées sur la technologie) et aux façons d’aider le secteur canadien de l’IA à se développer de façon éthique.

L’un des projets de M. Cofone porte sur l’utilisation de l’IA dans le système correctionnel américain pour prédire le risque de récidive des détenus à la suite de leur libération. Puisque les algorithmes se basent sur les données d’un système où certains groupes racisés sont surreprésentés, les personnes faisant partie de ces groupes sont plus souvent jugées « à risque » par l’IA, ce qui amplifie les inégalités envers elles.

« Presque tous les préjudices associés à l’IA découlent de ce que l’IA déduit à propos des personnes, et non des renseignements réellement recueillis, explique le chercheur. Si nous changions les lois pour faire en sorte que les renseignements obtenus par déduction soient des renseignements personnels protégés, on garantirait alors les droits des personnes sans nuire à l’essor du secteur de l’IA. »

Préjudices associés aux données

La législation occupe une place importante dans les travaux de M. Cofone, notamment la façon d’adapter les lois en fonction des changements technologiques. Quand il y a une fuite de données, les personnes touchées ne peuvent intenter de recours que si la fuite donne lieu à un vol d’identité, à des dommages financiers ou à une atteinte à leur réputation. M. Cofone estime que toutes les personnes qui se font voler leurs renseignements devraient pouvoir obtenir réparation (compensation) puisqu’elles ont subi une atteinte à leur vie privée. Pourtant, les lois actuelles offrent généralement une compensation insuffisante aux victimes, ce qui n’incite pas les entreprises à recueillir et à conserver les renseignements de façon responsable, notamment ceux qui alimentent les logiciels d’IA.

Ignacio Cofone espère que ses travaux provoqueront des changements dans le cadre législatif canadien pour que les tribunaux sévissent à l’égard de la mauvaise utilisation des données, limitant ainsi les préjudices possibles envers l’ensemble de la population.

Benoît Dupont
Université de Montréal

Au-delà de la cybersécurité, la cyberrésilience

Prévoir les risques pour mieux rebondir après une crise

La cybersécurité est comme une forteresse qui protège des envahisseurs. Or, les attaquants deviennent de plus en plus puissants et ingénieux, et emploient des ruses comme un cheval de Troie pour déjouer les défenses. C’est là que la cyberrésilience prend toute son importance, soit la capacité à limiter les répercussions d’une attaque réussie et à assurer la reprise rapide des activités.

Titulaire de la Chaire de recherche du Canada en cybersécurité, professeur titulaire à l’École de criminologie de l’Université de Montréal et directeur scientifique du Human-Centric Cybersecurity Partnership (HC2P), Benoît Dupont s’intéresse à la résilience et à la manière dont les professionnelles et professionnels de la sécurité gèrent l’imprévisible.

« En tant que chercheur en criminologie, ce n’est pas l’aspect technique des cyberattaques qui m’intéresse autant que les aspects organisationnel et humain. D’une part, j’essaie de comprendre le modus operandi des personnes qui lancent les attaques : des pirates, des hackers ou des gouvernements étrangers. D’autre part, je vise à évaluer comment les équipes des organismes publics et privés conçoivent les risques et essaient d’y répondre. »

Le risque 0 n’existe pas

La plupart des systèmes critiques qui gèrent notre société, y compris ceux des domaines de la santé, des transports, de l’énergie, des finances et de l’économie, dépendent de systèmes informatiques vulnérables. « La sécurité nous aide à prédire et à prévenir environ 90 pour cent des risques. Le problème, c’est le 10 pour cent des risques imprévisibles – potentiellement catastrophiques – qui peuvent faire s’effondrer toute l’organisation ou toute l’infrastructure. »

Autrement dit, la sécurité ne suffit plus pour répondre à une panoplie de risques en constante évolution. Les résultats des travaux de recherche de Benoît Dupont doteront les entreprises et les organismes parapublics de paramètres de résilience pour être bien préparés en cas de cyberattaque. Les travaux paveront aussi la voie à l’élaboration de pratiques et de normes – sociales, politiques, environnementales, économiques et juridiques – axées sur la résilience.

« En faisant de la cyberrésilience une obligation légale, les Canadiennes et Canadiens se sentiront rassurés que les entreprises dont ils dépendent pour leurs besoins essentiels seront plus robustes face à des crises, et auront la capacité de déployer des réponses ».