Les universités canadiennes sont-elles vulnérables aux cyberattaques? Officiellement, non. Hormis lorsque leurs activités sont affectées, rares sont les établissements postsecondaires à rapporter être victimes de délits informatiques. Lors de la faille de sécurité informatique généralisée de décembre dernier, il a par exemple fallu que le gouvernement du Québec exige – par mesure préventive – « de procéder à la fermeture de tous sites, services et systèmes qui ont été exposés » pour que de nombreuses universités québécoises communiquent à ce sujet. Même chose il y a quelques années lorsque l’Université de Montréal a fait face à une cyberattaque mondiale.
Ce relatif silence radio donne l’impression que ces institutions publiques sont à l’abri de ce genre d’actes malveillants. La réalité est probablement toute autre, estiment toutefois divers experts consultés par Affaires universitaires. « Les quelques données dont on dispose proviennent principalement de rapports publiés par des centres de cybersécurité anglo-saxons. Ces derniers soulignent à quel point les universités sont ciblées par ces menaces bien réelles », affirme Benoît Dupont, professeur à l’École de criminologie de l’Université de Montréal et titulaire de la Chaire de recherche du Canada en cybersécurité.
L’organisme britannique Jisc, dont le rôle est de soutenir les efforts numériques des établissements d’enseignement supérieur du Royaume-Uni, sonde chaque année les collèges et universités du pays afin de brosser un état des lieux. Dans la plus récente édition de cette étude, publiée en novembre dernier, environ 60 % des 166 institutions consultées rapportaient avoir été victimes de cyberattaques au cours des 12 derniers mois. On y apprend aussi que la fréquence des attaques par rançongiciel serait en forte hausse dans le secteur.
La pandémie de COVID-19 n’est pas étrangère à ce constat. La crise sanitaire a forcé l’ensemble des universités canadiennes à transposer leurs activités en ligne. Jamais leurs infrastructures informatiques n’ont été aussi vitales à leur existence, ce qui en font des cibles attrayantes.
Réseau d’innovation pour la cybersécurité
Annoncé le 17 février dernier par le gouvernement du Canada, le Réseau d’innovation pour la cybersécurité sera dirigé par le Consortium national pour la cybersécurité, une société à but non lucratif formée en 2020 par des centres d’excellence en cybersécurité de cinq universités canadiennes, soit les universités de Calgary, Concordia, de Waterloo, du Nouveau-Brunswick et Ryerson. Financé à la hauteur de 80 millions de dollars sur quatre ans, le Réseau vise « à améliorer la recherche et le développement, à accroître la commercialisation et à développer des talents qualifiés en matière de cybersécurité dans tout le pays », explique le Consortium dans un communiqué.
Un texte plus détaillé concernant le rôle des universités dans ce Réseau est actuellement en préparation et sera publié au cours des prochaines semaines.
« Le risque de cyberattaques était élevé avant mars 2020; il l’est encore tout autant. Cet épisode a conscientisé la communauté universitaire à sa vulnérabilité et à l’importance de développer un comportement numérique responsable », estime Mohammad Mannan, professeur agrégé à l’Institut d’ingénierie des systèmes d’information de l’Université Concordia.
Qui plus est, ces établissements doivent composer avec leur vocation particulière caractérisée par des pratiques axées sur la liberté universitaire, synonymes de vastes réseaux plus exposés par leur nature. « Cette culture d’ouverture et de transparence est une différence majeure avec les entreprises du secteur privé », souligne Nora Boulahia Cuppens, professeure au Département de génie informatique et de génie logiciel de Polytechnique Montréal. Selon elle, il faut arrêter de voir les pirates informatiques comme des fraudeurs malveillants cachés derrière leur clavier.
« L’abus peut très bien provenir de l’intérieur. »
Des pirates si proches
Les travaux de recherche dépendent plus que jamais de partenariats nationaux et internationaux conclus entre une multitude d’acteurs – chercheurs, entreprises, centres de recherche. Or, sous le masque de collaborateurs se cachent peut-être des attaquants prêts à frapper. C’est justement « pour protéger la recherche et la propriété intellectuelle canadiennes contre l’interférence étrangère, l’espionnage et le vol » que le gouvernement du Canada a instauré en mars dernier des lignes directrices de sécurité nationale pour les partenariats de recherche du Canada.
Désormais, toute demande de financement soumise au titre du programme de subventions Alliance du Conseil de recherches en sciences naturelles et en génie du Canada (CRSNG) pour un partenariat de recherche auquel participent des organismes privés doit être accompagnée d’une évaluation du risque. «Les projets jugés à risque ou ceux pour lesquels les risques ne peuvent être atténués ne seront pas financés», annonçait par voie de communiqué le ministre de l’Innovation, des Sciences et de l’Industrie, François-Philippe Champagne.
Pour l’instant, ces lignes directrices ne concernent qu’un petit nombre de subventions relatives à des domaines de recherche considérés stratégiques, comme l’intelligence artificielle, les nanotechnologies et la biofrabication. Ce n’est toutefois qu’une question de temps avant qu’elles ne s’élargissent à plus de secteurs, prévoit M. Dupont. « Les équipes de recherche vont devoir répondre de leur gestion des risques, notamment en ce qui a trait à la cybersécurité. Les universités n’auront tôt ou tard pas le choix d’embarquer dans le train », anticipe-t-il.
Dans certains le cas, le retard à rattraper sera considérable. « Les moyens utilisés par les universités pour agir en faveur de la protection des données et de la cybersécurité sont limités. Il faut aller au-delà des simples campagnes de sensibilisation », pense celui qui a collaboré à la création du cours en ligne ouvert à tous La cybersécurité en milieu universitaire. Les universités peuvent dès maintenant investir dans des mesures de prévention simples, comme l’authentification multifacteur de tous les usagers de ses infrastructures informatiques et l’emploi systématique de réseaux virtuels privés pour accéder à des données sensibles à partir de l’extérieur.
Et à plus long terme? La sécurité devra être l’affaire de tous les membres de la communauté universitaire, à commencer par ceux qui y sont le plus représentés : les étudiants. « Ce sont des agents de changement. Ce sont eux qui seront aux prises avec les menaces de demain, comme l’informatique quantique et le réseau 5G, qui augmenteront la surface d’attaque potentielle », met en garde Mme Cuppens, qui a d’ailleurs coorganisé la deuxième édition du concours de piratage éthique 24h@CTF, qui a eu lieu au début février. « C’est une manière d’initier nos étudiants aux enjeux de la cybersécurité », conclut-elle.