Des pirates informatiques pourraient s’attaquer aux maillons les plus faibles de la chaîne d’approvisionnement pour ensuite infiltrer les réseaux informatiques de certaines des plus grandes entreprises de la planète, craint une experte de Polytechnique Montréal. (Photo: 123RF)
Des pirates informatiques pourraient s’attaquer aux maillons les plus faibles de la chaîne d’approvisionnement pour ensuite infiltrer les réseaux informatiques de certaines des plus grandes entreprises de la planète, craint une experte de Polytechnique Montréal.
Si des géants comme Apple ou Airbus ont les moyens de rendre leurs réseaux pratiquement impénétrables, a dit la professeure Nora Cuppens, il n’en va pas nécessairement de même pour les centaines, voire les milliers de fournisseurs avec qui ils transigent régulièrement. Des acteurs malveillants pourraient donc décider de s’en prendre à ces petites entreprises pour ensuite remonter jusqu’à leurs gros clients.
C’est pour contrer cette menace que Polytechnique Montréal a annoncé jeudi le lancement des activités de la chaire CRITiCAL (Cyber-Résilience des Infrastructures des systèmes de Transport et des Chaînes Logistiques), un partenariat scientifique d’une durée de cinq ans avec l’Institut de Recherche Technologique (IRT), SystemX, en France.
«Les pirates se disent, "au lieu de m’attaquer à une voiture bien fermée, bien verrouillée, je vais m’attaquer à une voiture que je peux voler assez rapidement"», a expliqué en exclusivité à La Presse Canadienne la professeure Cuppens, qui chapeautera les activités de cette nouvelle chaire de ce côté-ci de l’Atlantique.
«C’est à travers des petites PME, des sous-traitants qui constituent la chaîne d’approvisionnement, que les pirates vont atteindre les grands groupes. (…) Quand tu fais un système, le pirate va chercher une vulnérabilité dans ce système-là, c’est comme ça qu’il fait. Et après, à partir de cette vulnérabilité, il va atteindre sa cible au niveau d’un système.»
Les pirates, poursuit-elle, savent très bien que les multinationales déploient des ressources immenses et dépensent des sommes colossales pour se protéger des intrusions non autorisées et pour détecter celles qui se produisent. Il est donc plus logique et efficace pour eux de chercher une porte secondaire moins bien verrouillée que de tenter d’entrer par la porte principale.
La professeure Cuppens chapeaute aussi à Polytechnique le nouveau Centre d’excellence en matière de cybersécurité maritime du Canada, qui se consacre à la cybersécurité des navires et des infrastructures maritimes critiques et dont la création a été annoncée en janvier.
Puisque les navires ne sont qu’une composante de la chaîne d’approvisionnement, il devenait logique d’aussi s’intéresser aux autres, a expliqué la professeure Cuppens.
Cyber-résilience
Les travaux de la nouvelle chaire de recherche s’articuleront autour de trois axes principaux.
On analysera dans un premier temps la menace qui cible les systèmes de transport et de logistique, afin de mieux la comprendre.
On étudiera également l’apport des techniques d’intelligence artificielle pour renforcer la cyber-résilience des systèmes de transport et de logistique. Trois sous-projets seront consacrés à cet axe: l’utilisation de l’apprentissage par renforcement pour l’amélioration de la cybersécurité ; la résilience des techniques d’apprentissage automatiques aux attaques adverses ; et les techniques dissuasives de leurre des pirates informatiques.
On s’intéressera enfin au renforcement et à l’évaluation de la résilience des systèmes de transport et de logistique.
Puisque la chaîne d’approvisionnement est composée de dizaines ou de centaines de maillons possiblement répartis à l’échelle de la planète, a dit la professeure Cuppens, il importe de pouvoir évaluer dans quelle mesure cette chaîne pourra résister à la compromission d’une de ces composantes.
«Si on veut résoudre un problème, il faut bien le poser, a-t-elle résumé. Il faut qu’on s’organise pour voir dans quelle mesure notre système est capable de se configurer de telle façon que si (une) composante (…) commence à se comporter de façon malveillante, le système continue quand même. L’idée est d’avoir ce qu’on appelle des métriques de résilience: comment notre système est capable de résister ou pas?»
Les travaux de recherche seront menés avec un co-encadrement par les deux organismes sur la base d’une localisation partagée entre les villes de Montréal et de Saclay, en France. Ainsi, six doctorants, deux postdoctorants et deux étudiants en maîtrise bénéficieront de l’encadrement d’ingénieurs-chercheurs de l’IRT SystemX et d’enseignants-chercheurs de Polytechnique Montréal.
