La cyberattaque d'Hamilton représente un signal d'alarme, avance un expert

TORONTO — Une récente attaque de rançongiciels qui a bloqué plusieurs services en ligne dans l'une des plus grandes villes de l'Ontario a mis en évidence la nécessité pour les municipalités d'avoir un plan pour répondre à une menace devenue inévitable et de plus en plus sophistiquée, a déclaré un éminent expert en cybersécurité.

La brèche survenue à Hamilton est le dernier exemple de la gravité de telles cyberattaques, qui ciblent de plus en plus les municipalités ces dernières années, a mis en garde Charles Finlay, directeur général du Rogers Cybersecure Catalyst de l'Université métropolitaine de Toronto.

Bien que les services essentiels d'Hamilton n'aient pas été affectés, les cyberattaques contre les réseaux municipaux peuvent conduire à des situations dangereuses si elles altèrent les systèmes d'urgence, d'eau ou d'égouts, a soulevé M. Finlay lors d'une entrevue.

Les municipalités de toutes tailles sont ciblées, car elles détiennent souvent de grandes quantités de données qui peuvent être exploitées pour extorquer des rançons importantes, a-t-il expliqué. 

Il a ajouté que ceux qui sont à l'origine des attaques savent également que les services municipaux sont importants pour les résidents et que les gouvernements ne peuvent pas se permettre que ceux-ci demeurent inaccessibles pendant une longue durée.

Chaque municipalité doit déterminer comment elle va répondre à ce genre de menace, a déclaré Charles Finlay, soulignant qu'il n'est pas le temps d'improviser lorsque des incidents surviennent. Les gouvernements doivent également améliorer la formation du personnel afin de s'assurer que les meilleures pratiques sont respectées, telles que l'authentification à deux facteurs, les mises à jour régulières des logiciels et des mots de passe et le fait de ne pas cliquer sur les liens contenus dans les courriels provenant d'expéditeurs non fiables, a ajouté le directeur. Selon lui, ces manquements peuvent souvent provenir d'erreurs d'employés.

«Il ne s'agit plus de savoir si une municipalité va être attaquée, mais plutôt de savoir quand elle va être attaquée, a lancé M. Finlay. Je nous exhorte tous à reconnaître que ces attaques contre les municipalités sont un signal d'alarme et que nous devons vraiment faire davantage maintenant, avant que des situations encore plus dangereuses n'apparaissent.»

Dans leurs efforts pour restaurer les systèmes de la ville après l'attaque du 25 février, les responsables d'Hamilton ont déclaré la semaine dernière qu'ils avaient engagé des experts, des assureurs, des avocats et d'autres professionnels, mais aucun calendrier n'a été fixé.

Les systèmes utilisés pour les paiements en ligne ou les demandes de permis ont été affectés, ont-ils indiqué. Le personnel municipal traite les opérations courantes manuellement ou accepte les paiements en espèces dans la mesure du possible pour l'instant. Une enquête est également en cours pour déterminer si des informations personnelles ont été consultées ou compromises.

Au cours du week-end, le site internet d'Hamilton était en panne «en raison de modifications de précaution apportées au système par le personnel en réponse à l'incident de cybersécurité en cours», a indiqué la municipalité sur les réseaux sociaux. Le site principal était de nouveau opérationnel lundi matin, mais deux sites associés étaient toujours inaccessibles.

La directrice municipale d'Hamilton, Marnie Cluckie, a refusé de dire si la ville avait payé une rançon liée à l'attaque, ainsi que d'expliquer ce qu'elle faisait pour renforcer ses défenses numériques.

«Les cybercriminels sont sophistiqués. Nous ne pouvons pas divulguer d'informations qui pourraient leur être utiles. Cela inclut, par exemple, ce que nous faisons pour protéger les données et nos systèmes. Cela implique également de ne pas discuter en public de demandes de rançon spécifiques ni de nos critères de décision pour de telles demandes», a-t-elle déclaré dans un communiqué envoyé par courriel la semaine dernière.

«Une fois que les systèmes seront à nouveau opérationnels, la ville procédera à un examen complet pour identifier les domaines où des changements et des améliorations pourraient être nécessaires et pour éviter qu'un incident similaire ne se reproduise.»

Trois cyberattaques récentes

L'incident à Hamilton fait suite à des attaques similaires contre deux institutions municipales de Toronto: la bibliothèque publique et le zoo, deux incidents qui ont révélé des informations sensibles sur les employés. Le système de la bibliothèque a été affecté pendant des mois.

Les trois récentes cyberattaques ont suscité des sentiments de sympathie chez Dan Mathieson, l'ancien maire de Stratford, en Ontario, qui a été touché par une attaque de rançongiciels il y a près de cinq ans.

Il a fallu environ deux semaines à la ville du sud-ouest pour rétablir le service complet sur ses systèmes après que des pirates ont installé et activé des logiciels malveillants sur plusieurs de ses serveurs en avril 2019. La ville a également payé environ 75 000 $ en rançon et a inclus ces coûts dans sa réclamation de cyberassurance, avait-elle indiqué à l'époque.

La compagnie d'assurance a défini des normes de cybersécurité que la ville devait respecter pour rester couverte, a affirmé Dan Mathieson dans une récente entrevue. La brèche de sécurité a permis à la ville de réfléchir à la procédure à suivre dans le futur, a-t-il ajouté.

«Si je devais regarder cinq ans en arrière et où nous en sommes aujourd'hui, la sensibilisation (aux cybermenaces) est beaucoup plus élevée» parmi les élus, le personnel municipal et le public, a fait remarquer M. Mathieson, qui a choisi de ne pas se représenter aux élections de 2022 après près de 20 ans de carrière. 

«Les municipalités réalisent enfin que nous devons faire beaucoup plus de travail dans ce domaine.»

Le gouvernement provincial a également accordé plus d'attention à cette question, même si l'Ontario et Ottawa devraient faire davantage pour soutenir les municipalités, selon M. Mathieson. L'une des options à considérer serait des normes provinciales, voire fédérales en matière de cybersécurité, ainsi qu'un financement approprié, a-t-il souligné.

«C'est un risque pour la sécurité nationale. Nos systèmes d'approvisionnement en eau, nos systèmes de traitement des eaux usées, notre réseau hydroélectrique – tout cela est géré au niveau local, mais a des implications nationales et internationales en cas de problème», a-t-il soutenu.

Des plans d'«urgence» en informatique

Dans un rapport publié à l'automne 2022, le Comité d'experts pour la cybersécurité de l'Ontario a déclaré que les initiatives de cybersécurité dans le secteur des services publics au sens large avançaient sans stratégie ni modèle coordonné de manière centralisée.

Le panel a suggéré à la province de renforcer «les structures de gouvernance existantes pour permettre une gestion efficace des risques de cybersécurité» dans l'ensemble du secteur des services publics.

L'Association des municipalités de l'Ontario a, quant à elle, publié un ensemble de pratiques exemplaires à l'intention de ses membres, les exhortant à aborder les politiques et les protocoles de cybersécurité comme une «extension de la préparation aux situations d'urgence».

«Tout comme les gouvernements municipaux préparent régulièrement des plans pour la continuité des opérations en cas de catastrophe naturelle, ils doivent également préparer des plans pour restaurer les systèmes et réseaux informatiques critiques le plus rapidement possible en cas de cyberattaque», indique le document.

Les municipalités devraient procéder à une évaluation complète des risques dans tous les départements, puis créer «des solutions concrètes et appropriées pour remédier aux faiblesses de leur système et orienter les ressources vers le renforcement de la sécurité», indique-t-il.

L'association organisera un atelier sur la cybersécurité pour les municipalités, en partenariat avec Rogers Cybersecure Catalyst, plus tard ce mois-ci.

Paola Loriggio, La Presse Canadienne