Un vendredi en fin de journée, une adjointe à l’administration de l’Université Brock reçoit un appel d’un soi-disant représentant du soutien technique chez Microsoft. Il l’avertit d’une activité inhabituelle sur son PC et lui demande de télécharger une application afin qu’il puisse prendre le contrôle de son ordinateur et ainsi régler le problème. Elle remarque par la suite que son curseur se déplace de manière erratique sur son écran, mais sans grand effet. La raison? Cette adjointe ne se servait pas d’un PC, mais d’un iMac. Il est bien évident que son interlocuteur n’était pas un représentant Microsoft, mais un cybercriminel tentant d’accéder illégalement à son ordinateur.
« Heureusement rien ne s’est produit, car l’individu ne savait pas comment se servir de cet ordinateur. Quelqu’un d’autre, qui se trouvait dans le bureau, a intercepté la conversation. Constatant que quelque chose n’allait pas, il a couru vers l’ordinateur et l’a débranché. Les effets auraient pu être épouvantables », raconte David Callum, vice-recteur adjoint aux technologies de l’information à l’Université Brock.
Bien que dérangeant, cet incident n’a rien de nouveau pour l’Université. M. Callum dit que chaque jour l’établissement repousse des milliers de tentatives de cyberattaques – surtout des tentatives d’intrusion dans le réseau informatique, mais de plus en plus d’attaques se font par contact humain, comme celui décrit ci-dessus.
C’est dans cet esprit que, au printemps dernier, l’Université Brock s’est jointe à quatre autres universités de l’Ontario – Queen’s, Wilfrid Laurier, Laurentienne et OCAD – et à trois collèges communautaires afin d’embaucher un chef de la sécurité informatique. Les établissements se sont associés à l’organisation à but non lucratif ORION, qui offre le service de connectivité haute vitesse par fibre optique aux établissements d’enseignement, de recherche et de soins de santé de l’Ontario. Au cours de ce projet pilote de deux ans, le chef de la sécurité informatique aide les établissements d’enseignement à évaluer leurs pratiques de cybersécurité et à mieux défendre leurs réseaux numériques.
« Les établissements n’avaient pas les ressources humaines ni financières pour s’occuper adéquatement du problème de cybersécurité. Ils avaient besoin de leadership sur la question, de quelqu’un qui leur offrirait des conseils et élaborerait une solution globale », explique Farooq Naiyer, un professionnel chevronné de la sécurité et de la conformité en matière de TI, qui a été embauché au nouveau poste de chef de la sécurité informatique. ORION verse la moitié de son salaire, et les huit établissements assument à parts égales l’autre moitié. « La prise de beaucoup de décisions s’est faite en fonction du budget et des ressources, comme c’est souvent le cas, précise M. Callum […] Travailler ensemble nous rend la vie plus facile à tous. »
Les participants comprennent aussi que, pour contrer l’augmentation croissante à la fois du volume et du raffinement des cyberattaques, travailler en vase clos ne fonctionne pas. Grâce à cette démarche collaborative, les meilleurs dirigeants des TI dans chacun des établissements peuvent mettre en commun des stratégies, des tactiques et des outils de cybersécurité efficaces. « Personne n’est une île, nous devons tous composer avec les mêmes enjeux de sécurité, alors pourquoi ne pas apprendre les uns des autres? », estime Nela Petkovic, dirigeante principale de l’information à l’Université Wilfrid Laurier.
M. Naiyer affirme que le milieu de l’enseignement supérieur peut être particulièrement vulnérable aux cyberattaques. Les établissements postsecondaires qui accueillent une forte population possédant des connaissances variées de la sécurité Internet disposent de défenses relativement faibles. La rotation annuelle de la population étudiante, qui apporte à l’école des appareils offrant un accès à Internet et risque de transmettre des virus au réseau WiFi de l’établissement, pose des problèmes particuliers. Aussi, la grande quantité de données de recherche contenues dans leurs réseaux informatiques fait de ces établissements des cibles attirantes pour le vol de propriété intellectuelle. En outre, les politiques de sécurité de l’information sont souvent souples au sujet du partage de données entre chercheurs et collaborateurs, et ces réseaux ouverts sont plus vulnérables aux attaques.
En premier lieu, M. Naiyer a demandé aux établissements d’évaluer leurs forces et leurs faiblesses en matière de sécurité de l’information. À partir des données recueillies, il a créé une feuille de route pour chacun, précisant les principales mesures de sécurité à prendre et les étapes à franchir. Il élabore actuellement un cadre des pratiques exemplaires en matière de cybersécurité que les établissements pourront utiliser pour se doter de politiques et de procédés adaptés à la taille, au budget et aux ressources humaines de l’établissement.
De nombreuses cyberattaques ont été perpétrées contre les universités au cours des deux dernières années, y compris une atteinte à la sécurité à l’Université de l’Alberta vers la fin de 2016, du cyberterrorisme mettant en cause une étudiante de l’Université de Moncton au printemps dernier, des renseignements étudiants piratés à l’Université de la Fraser Valley en octobre dernier et, récemment, un courriel hameçon à l’Université Carleton. L’Université de Calgary a versé une rançon de 20 000 dollars en 2016 pour récupérer de l’information après une cyberattaque et, l’été dernier, l’Université MacEwan a été victime d’une fraude de près de 12 millions de dollars en raison de la cybercriminalité.
« En raison de la fréquence des infractions, la menace à la cybersécurité n’est pas près de s’arrêter, elle risque plutôt de s’intensifier, déplore M. Naiyer. Mon objectif est d’aider les établissements à se doter de l’infrastructure pour contrer les menaces en temps opportun afin d’en minimiser les répercussions. »