Les technologies de l’information (TI) sont omniprésentes au XXIe siècle. En quelques années à peine, les téléphones intelligents, les tablettes et divers appareils connectés se sont intégrés à notre quotidien. L’innovation technologique connaît une accélération constante et donne lieu à l’émergence d’idées qui paraissent encore « futuristes », comme les véhicules autonomes, mais qui semblent en voie de se concrétiser dans un avenir prochain.
Ce foisonnement de nouvelles technologies procure certes aux populations de la planète de nombreux et importants avantages et des occasions à saisir. Il s’accompagne cependant de nouveaux risques qu’il faut gérer avec beaucoup d’attention. Les virus informatiques, les logiciels de rançon (qu’on appelle aussi, rançongiciels, logiciels rançonneurs et logiciels d’extorsion), l’hameçonnage, le piratage informatique et l’usurpation d’identité (ou vol d’identité) sont des exemples de technologies de l’information exploitées à des fins malveillantes, qui entraînent souvent de désastreuses et coûteuses conséquences. Pratiquement pas un mois ne passe sans que les médias d’information ne fassent état d’un nouvel incident de piratage informatique visant une grande société, qui aura permis à des cyberpirates de s’emparer des données confidentielles de milliers, voire de millions, de personnes. Les auteurs de ces actes peuvent être aussi bien des adolescents à la recherche de sensations fortes, que des cyberactivistes, des membres du crime organisé, des terroristes ou encore des cyberacteurs malveillants.
L’usage malveillant des technologies de l’information peut avoir des conséquences qui transcendent largement le vol de renseignements confidentiels. Les organismes gouvernementaux ou du secteur public ne sont pas à l’abri de ces risques. À titre d’exemples récents, des cyberpirates ont réussi à mettre la main sur plus de 20 millions de dossiers du personnel au Office of Personnel Management (Office de l'administration du personnel) des États-Unis, alors que dans un autre cas, ils ont supprimé toutes les données des systèmes de TI de la société pétrolière nationale d’Arabie saoudite. Au Royaume-Uni, d’autres cyberpirates ont détourné et « pris en otage » les systèmes de TI de plusieurs hôpitaux au moyen d’un logiciel de rançon, obligeant ainsi plusieurs hôpitaux à annuler les rendez-vous non urgents.
Par ailleurs, comme les infrastructures industrielles publiques et les infrastructures de transport en commun sont de plus en plus connectées à des réseaux d’entreprise et à Internet, ces infrastructures sont par le fait même exposées à des cyberattaques qui peuvent entraîner des dommages physiques et perturber des services importants. À titre d’exemples au cours des années récentes, des cyberpirates ont réussi à interrompre temporairement la production d’électricité dans certaines régions de l’Ukraine ou encore à endommager une aciérie en Allemagne et des pièces d’équipement du programme nucléaire en Iran.
À vrai dire, tout dispositif connecté, qu’il s’agisse d’un simple téléphone intelligent, d’un véhicule autonome ou d’un système de contrôle industriel, est exposé, dans une certaine mesure, au risque de subir un acte de piratage informatique, sous une forme ou une autre. À mesure que le temps passe, le nombre et les types de dispositifs connectés connaissent une croissance rapide, tout comme le nombre de pirates informatiques et leur aptitude à déceler et exploiter les faiblesses des systèmes de TI.
Dans un tel contexte, les organismes du secteur public ont un devoir d’extrême vigilance. Ils doivent veiller à mettre en œuvre les bonnes pratiques les plus récentes en matière de gestion des risques associés aux TI, de manière à protéger leurs actifs de technologie de l’information contre un accès non autorisé, et de manière à prévenir l’utilisation, le dévoilement, la perturbation, la modification, l’examen ou la destruction de l’information qui s’y trouve.
Uniquement s’ils gèrent de manière efficace les risques liés à la sécurité des TI les organismes du secteur public seront-ils en mesure de :
- protéger la confidentialité, l’intégrité et l’accessibilité de l’information qu’ils ont en leur possession;
- protéger contre les cyberattaques les infrastructures publiques essentielles, comme les installations de production de l’électricité et les réseaux de transport en commun;
- garantir la continuité des activités et l’accessibilité des services aux citoyens.
Les auditeurs internes et les auditeurs législatifs peuvent les uns et les autres soutenir les organismes du secteur public et les aider à atteindre ces objectifs en leur donnant une assurance indépendante qui leur permettra de déterminer s’ils gèrent adéquatement les risques liés à la sécurité des technologies de l’information et en formulant des recommandations pour améliorer les domaines présentant des faiblesses.
|
Ce numéro contient :
|
LinkedIn
Twitter