Cette publication est tirée de la thèse de doctorat de Pierre-Luc Pomerleau, MBA, Ph.D.
La protection des infrastructures est une responsabilité partagée entre le gouvernement et les entreprises privées qui collaborent pour en améliorer la résilience. En effet, la cybersécurité est un bien public qui doit être défini comme un problème nécessitant une action collective impliquant ces deux groupes d'acteurs. Le secteur privé possède au Canada environ 80% des infrastructures critiques du pays et son rôle est essentiel dans la gestion des menaces qui touchent celles-ci. La sécurité intérieure relève de la responsabilité de divers groupes formés de « noeuds de sécurité » et d'acteurs issus des secteurs publics et privés.
À l'heure actuelle, les professionnels canadiens de la sécurité bancaire ont mis en place une structure partenariale dynamique pour combattre collectivement diverses menaces auxquelles sont confrontées leurs organisations respectives, ce qui implique notamment un partage fluide d’informations. À ce titre, le secteur privé canadien s’adapte en temps quasiréel aux changements rapides qui caractérisent les cybermenaces.
Même si les professionnels de la sécurité bancaire partagent des informations avec leurs homologues du secteur public, les renseignements ou alertes spécifiques qu'ils leurs transmettent demeurent conjoncturels, omettant la majeure partie des données et des renseignements disponibles dans le secteur privé. Cette situation génère une myopie institutionnelle où le gouvernement ne dispose que d’une vision floue de l’état actuel des cybermenaces, ce qui augmente considérablement les risques pour les infrastructures critiques. Il subsiste un clivage fondamental entre les attentes des partenaires privés et publics concernant les rôles, les responsabilités et l'autorité dans la protection des infrastructures critiques face aux cybermenaces.
Énoncé du problème
Ces dernières années, les menaces à l’encontre des institutions financières ont changé. Ces menaces ne comprennent plus seulement des acteurs motivés par le profit, mais incluent également des acteurs étatiques et des groupuscules utilisant le cyberespace pour lancer des attaques contre les institutions financières. Selon Statistique Canada, un cinquième des entreprises canadiennes ont été touchées par un incident de cybersécurité en 2017, et seulement 10% l’ont signalé aux forces de l'ordre.
La probabilité que les entreprises détectent des pirates informatiques est faible et le risque perçu d’arrestation semble minime pour les cybercriminels. En raison de la nature internationale de la cybercriminalité, les forces de l'ordre éprouvent des difficultés à poursuivre les cybercriminels et à aider les banques à prévenir ces incidents. Le secteur bancaire ne dispose pas des prérogatives de collecte du renseignement et des capacités nécessaires pour protéger ses réseaux et son infrastructure. À l’inverse, le gouvernement dispose de ces pouvoirs légaux et des capacités nécessaires, mais il ne dispose pas de l’expertise spécifique sur les cybermenaces affectant l'industrie financière.
Il s’agit donc de comprendre pour quelles raisons les partenariats privé et publics (PPP) ont été inefficaces dans la surveillance, la détection et la réponse aux incidents de cybersécurité.
Énoncé de l'objectif
Dans cette étude qualitative, neuf entretiens avec des professionnels travaillant dans le domaine de la sécurité et de la cybersécurité pour les grandes institutions financières canadiennes ont été menés afin de:
Comprendre les facteurs contribuant à l’inefficacité du système actuel;
Formuler des recommandations pour améliorer les partenariats publics et privés afin de protéger le secteur financier contre diverses cybermenaces;
Déterminer si le cadre de gouvernance des réseaux de sécurité permet de mieux comprendre le phénomène et d'identifier les meilleures pratiques de partage d'informations.
Résultats des entrevues et recommandations
Au total, 12 thèmes principaux sont ressortis de la collecte de données et de l'analyse des entretiens (consulter la fiche synthèse pour le détail des thèmes) et 19 recommandations ont été formulées tout au long de cette étude. Les recommandations concernent:
la modification de la législation pour permettre le partage d'informations;
la création de centres de partage;
la clarification des rôles et des responsabilités des acteurs publics et privés;
le mécanisme de partage des informations et la gouvernance de la sécurité.
Les recommandations pratiques les plus importantes concernent quant à elles:
la modification de la législation afin de clarifier les rôles et les responsabilités, de faciliter;
le partage des informations entre les acteurs privés et publics à des fins de prévention;
le partage des informations en temps opportun;
la création d'un espace de partage sûr où les acteurs de la sécurité des deux secteurs seraient en mesure d’échanger des informations pour prévenir la criminalité, protéger les infrastructures critiques telles que les institutions financières et renforcer la sécurité nationale.
Les recherches futures devraient se pencher sur les approches que les réseaux de sécurité
peuvent adopter pour accroître l'efficacité et l'efficience de la gouvernance de la cybersécurité et de la criminalité financière. Les cadres juridiques en vigueur au Royaume-Uni et aux États-Unis, ainsi que les facteurs de succès de projets de PPP devraient être davantage évalués. Les approches fondées sur le recours aux données probantes dans le contexte des institutions financières et des mesures de cybersécurité devraient également être priorisées afin d’évaluer les outils et les politiques les plus fréquemment utilisés par les réseaux de sécurité pour atteindre leurs objectifs, gérer les incidents de cybersécurité et enquêter sur les cybercrimes contre les institutions financières. Il n'existe en effet pas d’outils universellement acceptées pour mesurer l’efficacité des contrôles et des politiques de sécurité.
Conclusion
Cette étude a abordé le problème central de l’inefficacité des partenariats public-privé. La législation est un défi majeur pour les PPP canadiens. Le cadre de gouvernance des réseaux de sécurité permet de mieux comprendre ce phénomène, ainsi que d'identifier les meilleures pratiques pour les futurs PPP de partage du renseignement.
Pomerleau, P.-L. (2019). Countering the Cyber Threats against Financial Institutions in Canada: A Qualitative Study of a Private and Public Partnership Approach to Critical Infrastructure Protection.
Consultez la thèse complète de Pierre-Luc Pomerleau