Retour

Quels sont les pays les plus vulnérables aux cyberattaques? La réponse en carte

La multiplication des cyberattaques au cours des dernières années met en lumière le risque chaque fois plus élevé de vivre dans une société de plus en plus connectée. Quels pays sont les plus vulnérables?

Un texte de Mélanie Meloche-Holubowski

Pour une deuxième année, l’agence de cybersécurité Rapid7 a publié un index des 183 pays les plus vulnérables aux cyberattaques. Pour produire cet index, l’agence a analysé en pourcentage le nombre de systèmes informatiques qui sont « exposés et vulnérables » à des violations et à des intrusions.

Index des pays les plus vulnérables aux cyberattaques

La Belgique, qui trônait en première position de l’index, l’an dernier, a nettement amélioré son score, notamment en renforçant la sécurité de ses réseaux.

Plusieurs pays développés, comme le Canada (43e), ainsi que de nombreux pays européens figurent parmi les 50 premiers pays de la liste. M. Ghorbani explique que ceux-ci sont particulièrement vulnérables aux attaques à caractère financier. « Les criminels savent que quelqu’un au Canada a plus de chance de pouvoir payer 300 $ en rançon que quelqu’un dans un pays pauvre », explique M. Ghorbani.

Les États-Unis (137e) sont souvent la cible de cyberattaques, mais ils figurent moins haut dans cet index en raison de leur capacité à contrer ces attaques.

De nombreux pays moins riches sont également vulnérables, puisque les fournisseurs et les gouvernements ont généralement moins de ressources pour protéger les systèmes informatiques, indique le rapport.

Des pays où le nombre de personnes qui utilisent Internet croît exponentiellement – comme l’Inde – sont aussi à risque, étant donné que les nouveaux usagers sont souvent moins éduqués sur les besoins de sécuriser leurs réseaux.

La plupart des pays ont encore beaucoup à faire pour améliorer la sécurité de leurs systèmes informatiques, dit Benoit Dupont, titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie de l'Université de Montréal.

« Des attaques de plus en plus sophistiquées »

Pourquoi perpétrer une cyberattaque? Les raisons sont multiples : pour voler de l’argent ou de l’information, ou pour en détruire. Certains le font pour des raisons idéologiques (par exemple les hacktivistes, comme le groupe Anonymous) ou pour espionner un gouvernement ou une entreprise.

Chaque jour, des dizaines de milliers d’attaques sont perpétrées partout dans le monde, rappelle M. Ghorbani. Celles qui font les manchettes sont celles qui sont plus graves.

Jusqu’à présent, les cyberattaques étaient généralement circonscrites, et leur degré de sophistication n’était pas aussi avancé. Mais les récentes cyberattaques (Wannacry et Petrwrap) se sont propagées très rapidement et ont touché des ordinateurs dans plusieurs pays, prenant plusieurs experts par surprise.

« Il est clair que nous entrons dans une nouvelle ère de cybersécurité », dit Ali Ghorbani, directeur de l'Institut canadien sur la cybersécurité.

Un autre élément qui inquiète M. Dupont est le fait que les outils pour mener des cyberattaques sont plus accessibles sur Internet, ce qui facilite le travail des cybercriminels.

Dans le cas de Wannacry et de Petrwrap, les pirates ont utilisé une application conçue par l’Agence nationale de la sécurité des États-Unis (NSA) qui avait été volée et divulguée publiquement sur le web. « Cette application peut maintenant être recyclée par n’importe quel cybercriminel », explique M. Dupont.

Donc, plus besoin d’être un génie en codage pour mener des cyberattaques ou de la cyberfraude.

« Les superespions de la NSA se font voler leurs armes et leurs secrets. La NSA possède le plus de ressources sur la planète et n’arrive pas à protéger ses secrets et informations sensibles. Ce n’est pas surprenant que Monsieur et Madame Tout-le-monde se sentent complètement démunis devant ce type d’attaque », dit M. Dupont.

Les impacts des cyberattaques

Selon une étude menée par l’Institut de recherche Ponemon, les grandes entreprises de six pays (États-Unis, Japon, Allemagne, Grande-Bretagne et Australie) ont défrayé en moyenne 50 millions de dollars pour contrer une cyberattaque. La moyenne en 2013 était de 34 millions de dollars.

Un rapport de Scalar et de l’Institut Ponemon, qui ont recensé plus de 650 entreprises canadiennes, indique qu’en moyenne, les grandes entreprises ont été victimes de 44 cyberattaques au cours de la dernière année. Ces entreprises rapportent qu’environ 35 % de leurs employés ont été victimes d’un rançongiciel (lorsqu’un logiciel malveillant empêche l'utilisateur d'un ordinateur l’accès à ses fichiers et documents; le cybercriminel exige alors une rançon pour rétablir l’accès.) Parmi ces victimes, 35 % d’entre eux ont payé la rançon.

Les infrastructures critiques – comme les réseaux électriques, de santé ou de transport – sont aussi particulièrement vulnérables, croit M. Ghorbani. Des attaques sur ces infrastructures pourraient avoir des répercussions catastrophiques. « Nous sommes dépendants de ces infrastructures. Si un de ces systèmes est attaqué, cela crée une cascade de problèmes. Sans électricité, les hôpitaux ne fonctionneront pas; les gens n’auront plus accès à leur argent; les stations d’essence ne fonctionneront pas. »

Espionnage, coopération et diplomatie

Si la Russie et la Chine sont souvent accusées de commettre des cyberattaques et du cyberespionnage, elles ne sont pas les seules à le faire, affirment MM. Dupont et Ghorbani. Il est par contre difficile d’identifier l’identité des cybercriminels et leur emplacement. « C’est comme le blanchiment d’argent. Souvent, ils passent par des pays tiers, et les pirates brouillent les pistes. »

Selon M. Dupont, il n'y a pas de « guerre numérique » entre pays en ce moment. Plutôt, les gouvernements « testent leurs armes [numériques] et essaient de voir les formes que prendront les futures cyberattaques ».

« Il y a un équilibre fragile; une espèce de tango délicat qui se joue » entre les pays. Par exemple, la Chine et les États-Unis s’espionnent mutuellement en ligne, mais n’osent pas se livrer à un conflit numérique trop intense, puisque leurs deux économies sont reliées.

M. Dupont croit qu’il est nécessaire de mettre sur pied des conventions internationales ou des traités – comme pour l'énergie nucléaire –, qui permettront aux pays de mettre au point leurs armes numériques, tout en limitant les possibilités de conflits.

Par exemple, selon M. Dupont, le Canada et la Chine ont récemment signé une entente selon laquelle la Chine accepterait de ne plus mener d’activités d’espionnage contre des entreprises canadiennes dans le but de voler leur propriété intellectuelle. Par contre, les agences gouvernementales chinoises pourront continuer d’espionner les systèmes gouvernementaux.

L’OTAN a décidé l’an dernier qu’une « cyberattaque peut déclencher l'article 5 » du traité fondateur de l'Alliance, qui prévoit que les pays de l'OTAN peuvent riposter collectivement si un allié est agressé. « Nous sommes en train de définir le cyberespace comme un domaine militaire, ce qui voudra dire que nous aurons comme domaines (d'action) militaires la terre, l'air, la mer et le cyber », a précisé le secrétaire général de l’OTAN, Jens Stoltenberg.

Travail d’éducation et mise au point d'expertise

La cybercriminalité est un « défi complexe qui ne peut pas être surmonté par une seule solution ou partie. Le public, les gouvernements, le secteur privé, les organismes d’application de la loi, le personnel qualifié et les partenaires stratégiques doivent tous jouer un rôle », indique le gouvernement canadien dans sa stratégie de cybersécurité.

Le gouvernement devra aussi se pencher sur les entreprises qui conçoivent de nouvelles technologies tout en étant insouciantes et négligentes quant à la sécurité. « [Elles] ne peuvent pas privilégier la commercialisation ultrarapide de leurs produits. »

Selon M. Dupont, il manquera, d’ici quelques années, 1,5 million d’experts en cybersécurité, dont des dizaines de milliers seulement au Canada.

Malgré la menace grandissante de cyberattaques, M. Dupont ne croit pas que les internautes sont complètement à la merci des cybercriminels. « Il ne faut pas non plus s’alarmer. On n’est pas complètement impuissants. »

C’est pourquoi MM. Dupont et Ghorbani plaident pour une meilleure éducation numérique. Ils souhaitent plus de campagnes de prévention pour convaincre les gens d’adopter de bonnes habitudes numériques (par exemple ne pas cliquer sur les mauvais liens, choisir les bons mots de passe sécuritaires et savoir résister aux manipulations psychologiques des pirates informatiques).

Plus d'articles

Commentaires

Vidéo du jour


Une caméra de sécurité montre quelque chose d'extraordinaire





Rabais de la semaine