Poly mène un projet pilote pour aider les OBNL à renforcer leurs réseaux numériques

MONTRÉAL — Face à la menace de cyberattaques et à des budgets limités, des organismes sans but lucratif du Québec bénéficient de séances de consultation gratuites en cybersécurité grâce à un projet pilote mené par la Polytechnique Montréal.

Nombre d'organismes à but non lucratif se situent souvent en dessous du «seuil de pauvreté en cybersécurité», explique Marc Gervais, directeur général d'IMC2, un institut de cybersécurité qui regroupe plus de 50 professeurs et leurs équipes de recherche, en collaboration avec Polytechnique et d'autres universités québécoises.

«Ils n'ont généralement même pas les moyens de se payer de la formation ou des audits de base», précise-t-il.

En réponse, l'institut a décidé de former des étudiants à identifier les failles de sécurité numérique en leur faisant réaliser des audits gratuits, supervisés par leurs professeurs, auprès de ces organismes.

Au Québec seulement, on compte des dizaines de milliers d'OBNL, dont plusieurs sont aux prises avec les mêmes problèmes de sécurité que les grandes organisations: hameçonnage, violations de données, attaques par rançongiciel, piratage, fraudes liées à l'intelligence artificielle et logiciels malveillants (logiciels conçus pour nuire à un ordinateur ou à un réseau).

Ce qui leur manque, ce sont les ressources financières et l'expertise technique nécessaires pour contrer ces menaces. En 2023, des pirates informatiques pro-russes ont mis hors service certains sites web liés au gouvernement du Québec.

La société d'électricité de la province, Hydro-Québec, a également été victime d'une cyberattaque la même année: des pirates ont paralysé son site web et son application mobile. Cependant, les systèmes critiques n'ont pas été touchés.

Les OBNL peuvent être confrontés à des menaces similaires, a expliqué M. Gervais, mais ils ne possèdent pas l'expertise interne nécessaire pour y faire face. Ce qui rend le projet pilote, baptisé le Réseau d'assistance cybercitoyens, d'autant plus important.

Ce projet pilote est financé grâce à une subvention de 1,3 million $ accordée par Google en janvier 2024. Le premier bénéficiaire a été l'Institut du Nouveau Monde, un organisme montréalais dont la mission est d'accroître la participation citoyenne à la vie démocratique, a indiqué Louis-Philippe Lizotte, son directeur des opérations.

«Notre mission est de promouvoir la participation citoyenne et de défendre la démocratie, a affirmé M. Lizotte. Assurer la cybersécurité n'est pas un réflexe.»

Un ancien employé les a informés du projet pilote et, selon M. Lizotte, ils ont immédiatement adhéré. «On voit tellement de problèmes de cybersécurité dans les médias, a indiqué le directeur. Les grandes entreprises sont exposées, donc nous aussi, évidemment.»

Évaluation et solutions

M. Gervais explique qu'en auditant les organismes sans but lucratif, l'institut identifie souvent des pistes d'amélioration de ce qu'il appelle les bonnes pratiques de cybersécurité, «des détails qui peuvent faire toute la différence».

Les OBNL manquent souvent de personnel technique consacré à la réalisation des audits de cybersécurité réguliers, ce qui les empêche d'élaborer des procédures écrites sur la manière de réagir en cas de cyberattaque, ou de suivre les incidents.

Au sein de l'Institut du Nouveau Monde (INM), M. Lizotte assure de facto l’assistance technique. Il s'est dit soulagé des résultats de l'audit, qui recommandait quelques outils supplémentaires et une meilleure formation pour le personnel.

«Maintenant, nous savons où nous en sommes en matière de cybersécurité et je suis plutôt satisfait, car nous ne sommes pas si mauvais. Nous ne sommes pas loin des meilleures pratiques», a-t-il souligné. Outre le fait de mieux outiller le personnel des OBNL pour faire face aux menaces, le projet pilote les aide également à se conformer à une loi de 2021 qui a profondément remanié la Loi sur la protection des renseignements personnels du Québec. Cette loi impose des règles à tous les organismes, y compris les organismes sans but lucratif, qui traitent des renseignements personnels de Québécois.

Elle exige que les organismes obtiennent un consentement explicite avant de recueillir ou de communiquer des données et qu'ils tiennent un registre des incidents de confidentialité, comme l'accès non autorisé à des renseignements personnels. Les violations doivent être communiquées à la Commission d'accès à l'information du Québec sur demande. Le non-respect de ces règles peut entraîner de lourdes amendes.

L'audit de l'INM a été réalisé en ligne, une méthode qui permettrait d'aider l'OBNL de toute la province, a indiqué Fyscillia Ream, gestionnaire de projet à l'institut de cybersécurité. L'objectif est toutefois de se concentrer sur les régions de Montréal et de Gatineau.

Après l'audit, l'institut de cybersécurité produit un rapport et offre un soutien de suivi, notamment des séances de formation adaptées, dans le but ultime d'aider les OBNL à devenir «autonome en matière de cybersécurité, a-t-elle précisé. Mais nous nous adaptons vraiment aux besoins des organisations, qu’elles souhaitent simplement un audit ou une sensibilisation de leurs employés ou utilisateurs».

M. Gervais a indiqué que, bien que le programme actuel soit conçu pour le Québec, un soutien pancanadien est nécessaire dans le secteur communautaire.

«Je pense que nous devrons collaborer avec d’autres institutions, car il s’agit d’un besoin véritablement canadien», a-t-il ajouté.

Sidhartha Banerjee, La Presse Canadienne