Contribué par Bob Gagné, président du Comité consultatif sur la cybersécurité
Au moment où je prends la plume pour écrire ceci, mi-décembre 2020, la nouvelle se répand comme la poudre : SolarWinds vient de voir sa sécurité compromise par une attaque d’une envergure apparemment sans précédent. Malgré son importance, à nulle autre égale, l’incident n’est en réalité que la pointe d’un formidable iceberg, un iceberg qui grossit d’année en année et dont l’expansion ne semble pas sur le point de s’arrêter. Les risques associés à la sécurité de l’information sont désormais devenu un des problèmes majeurs (sinon le principal problème) des grands des technologies de l’information, problème qui retient sans cesse l’attention de leurs conseils d’administration.
N’importe quel DPI du milieu de la recherche et de l’éducation sera lui aussi au courant des enjeux structuraux que soulève une gestion efficace des risques posés par la sécurité de l’information : des groupes massifs et disparates d’utilisateurs éphémères; une culture axée sur l’ouverture; une maîtrise et un contrôle limités; un manque persistant, souvent criant, de ressources (humaines ou autres). Et, pour couronner le tout, le sérieux impact qu’un incident en cybersécurité pourrait avoir sur la réussite d’une organisation face à l’importance de plus en plus capitale des technologies de l’information, comme la réponse à la pandémie l’a fait clairement ressortir avec le passage forcé au télétravail et à l’apprentissage en ligne.
Que faire?
Quand je suis entré à l’Université York, en 1999, j’ai vite compris qu’un des atouts les plus précieux du milieu R-E, un atout qui lui appartient en propre, est la nature même de la communauté. Le partage, l’entraide et la collaboration qu’on observe entre les services IT des établissements d’enseignement supérieur font figure d’exception et j’en suis venu à apprécier ces qualités, ainsi qu’à compter sur elles durant les dix-huit années que j’ai passées à l’université.
Bien qu’aucune institution du secteur R-E ne se ressemble, surmonter les risques liés à la cybersécurité est un problème qui paraîtra similaire à chacun : les moyens et les méthodes pour le surmonter, de même que les progrès réalisés, différeront, qu’il s’agisse d’une université de recherche de belle taille ou d’un plus modeste collège régional, mais, fondamentalement, nous sommes tous logés à même enseigne et je crois qu’il est possible de puiser la force dont nous avons besoin au sein même de la communauté.
La mission actuelle de CANARIE prévoit un soutien significatif et plus marqué aux initiatives en cybersécurité que prend le secteur R-E à renfort d’investissements dans les capacités en la matière, encadrés par une vision et une stratégie nationales qui appelle à l’unité, élaborées par la collectivité. J’ai vivement défendu un travail de ce genre durant mon passage à la présidence du conseil d’administration de CANARIE (2014-2020) et les membres du conseil ont convenu l’importance du rôle que l’organisme pourrait jouer en veillant à une harmonisation nationale des initiatives en cybersécurité et en finançant celles-ci. Cependant, ils savent également que CANARIE ne peut que compléter, pas remplacer, le travail rigoureux que poursuivent en permanence les équipes IT dans les différentes institutions du pays.
Les stratégies adoptées par ces institutions et d’autres groupes du milieu R-E ont parfois divergé et elles continueront de le faire. Cependant, on gagnerait beaucoup en s’alliant et en partageant les meilleures pratiques et l’expérience acquise, ainsi qu’en tirant parti des ressources et services communs. Le partenariat canadien qu’est le Réseau national de la recherche et de l’éducation (RNRE) illustre bien comment notre secteur R-E peut faire front commun et accommoder la diversité qui caractérise ce milieu, tant au niveau de la taille que de la situation, afin que tous en bénéficient. Tirer parti des relations et des services du RNRE occupera certes une grande place dans les efforts déployés collectivement en matière de cybersécurité.
Lorsque j’ai quitté le conseil d’administration de CANARIE, on m’a prié d’assumer la première présidence du Comité consultatif sur la cybersécurité. Si j’ai accepté de jouer ce rôle, c’est que je suis persuadé qu’aussi important et marquant qu’il soit en lui-même, le travail de CANARIE aura un effet catalyseur sur la vaste entreprise nationale, axée sur la coopération, qu’est la cybersécurité, une entreprise qui compte sur la diversité et sur les forces de la communauté, mais aussi sur les efforts passés et actuels, pour faire barrage aux dangers que nous courons tous et pour rendre chacune de nos organisations plus sûre. Une somme incroyable de travail a déjà été accompli afin de jeter les bases de cette entreprise et je pense qu’il n’y aura rien d’aussi excitant cette année que voir nos efforts collectifs initiaux prendre racine et découvrir toutes les idées neuves et les possibilités qui émergeront d’une telle collaboration.