Ottawa doit intervenir de toute urgence pour forcer les entreprises à dévoiler les vols de renseignements personnels, comme celui qui affecte 622 000 utilisateurs canadiens de Facebook, insistent des experts en sécurité.
Les vols de données des clients de Facebook et d’Equifax étaient sur toutes les lèvres jeudi, au Rendez-vous de la sécurité de l’information qui se déroulait à Montréal. Pour plusieurs des experts présents interrogés par le «Journal de Montréal», on a atteint, avec ces deux incidents, le point de rupture.
Le Far West
L’un des principaux problèmes: les entreprises ont peu ou pas d’obligations en matière de divulgation de piratage. Et lorsqu’elles en ont, elles omettent souvent de le faire, volontairement ou parce qu’elles ignorent leur existence.
On pense souvent aux grandes entreprises comme Target ou Walmart, mais le vol de données survient aussi dans les PME, «même celle qui fait votre déneigement», illustre le consultant indépendant et expert en sécurité informatique Yves Desharnais.
«Oui il y a des lois en place en ce moment, mais [...] il y a des secteurs où ce n’est vraiment pas clair. Il y a beaucoup de gens qui ignorent carrément qu’ils ont des obligations de protéger les données.»
Les gouvernements sont «toujours en retard» par rapport à l’évolution des nouvelles technologies, dit-il. «Ceux qui font des attaques informatiques sont toujours en avance. Et au milieu de tout ça, on trouve les consommateurs qui sont affectés», dit-il.
L’autoréglementation est un échec
Chose certaine, il ne faut pas s’attendre à ce que l’industrie se réglemente elle-même, dit Gabriel Tremblay, PDG de Delve Labs, firme spécialisée dans l'évaluation des vulnérabilités informatiques.
«Les pénalités, en cybersécurité, c’est une blague. L’autoréglementation ne fonctionne pas. Ça n’a jamais fonctionné.» Et sans action gouvernementale, «on perd le combat de la cybersécurité», croit-il.
«Une brèche de sécurité peut gruger, quoi, 1 % de votre chiffre d’affaires? Si la loi forçait les grandes entreprises à consacrer 1 % du chiffre d’affaires sous peine d’amendes de plusieurs millions de dollars, là on verrait l’industrie agir», dit M. Tremblay.
Son entreprise compte 10 employés et est forcée d’avoir deux personnes formées en santé et sécurité au travail. Pourtant, rien ne l’oblige à s’assurer que ses systèmes informatiques sont résistants à une cyberattaque simple, déplore-t-il.
