EXPERT INVITÉ. Dans un monde de tensions géopolitiques permanentes, la cybersécurité n’est plus seulement une question secondaire. C’est une question de survie opérationnelle. Et la plupart des organisations ne sont pas prêtes.

Certaines intrusions non détectées durent depuis des années. Commençons par les faits. Selon le «New York Times», l’opération Salt Typhoon, attribuée à des acteurs étatiques chinois, a compromis les infrastructures de télécommunications américaines (et canadiennes) pendant des mois. Des communications gouvernementales, des appels commerciaux, des données sur des millions de citoyens ont été écoutés ou enregistrés en temps réel. Le journal titrait sans détour: «Des cyberattaquants chinois ‘sans retenue’ auraient pu voler les données de presque tous les Américains».

Ce n’était pas un groupe de pirates informatiques en capuchon dans un sous-sol. C’était une opération d’État. Patiente. Méthodique. Invisible.

Et le Canada?Selon CBC/Radio-Canada, des pirates informatiques liés à Pékin ont «presque certainement» ciblé le Canada dans le cadre de cette même opération. Pas une probabilité. Une quasi-certitude, selon les propres mots des autorités.

Ajoutez à cela la brèche Cisco révélée en février 2026. Le Centre canadien pour la cybersécurité a émis une alerte sur une vulnérabilité critique touchant les équipements Cisco Catalyst SD-WAN. Verdict: la faille était exploitée depuis 2023. Trois ans. En silence. Dans des réseaux d’organisations qui se croyaient protégées.

Trois ans et personne n’a cherché au bon endroit.  Ce n’est pas une question de compétence. C’est une question de paradigme. On cherche les intrus à la porte d’entrée. Ils sont déjà dans la cave.

La cyberguerre n’est pas une métaphore

Nous sommes entrés dans une ère nouvelle. Les États ne se font plus seulement la guerre avec des bombes et des soldats. Ils se la font avec des paquets IP, des processus dormants et des accès préinstallés.

Regardez ce qui s’est passé au Venezuela. Des années avant toute crise ouverte, des acteurs étatiques avaient déjà pénétré les infrastructures de communication du pays. Quand la crise politique a éclaté, les communications ont été coupées chirurgicalement. Pas une panne. Une décision. L’accès existait depuis des années. Il a simplement été activé.

C’est ça, le positionnement stratégique. Ce n’est pas une attaque. C’est une présence. Une capacité en attente. Il est faux de croire que parce qu’on ne vous a pas demandé une rançon, vous n’êtes pas compromis.

La guerre en Ukraine l’illustre encore plus clairement. Dès les premières heures de l’invasion, des groupes liés au renseignement militaire russe ont frappé les réseaux ukrainiens. Des logiciels de destruction massive ont effacé des systèmes entiers. L’attaque contre le réseau satellite Viasat a déconnecté des dizaines de milliers d’utilisateurs civils et militaires en quelques minutes, au moment exact du début de l’offensive. Les réseaux d’énergie et de chauffage ont été ciblés à répétition.

Ce n’était pas du vandalisme numérique. C’était de la stratégie militaire.

Et ce qui rend cette réalité particulièrement troublante pour les entreprises et les sociétés d’État, c’est la leçon suivante: les mêmes infrastructures qui soutiennent la population (énergie, télécommunications, eau, finances, santé, etc.) sont devenues des cibles militaires de premier ordre.

Couper l’électricité et les communications, c’est aussi paralyser les hôpitaux au moment exact où ils doivent traiter un afflux de blessés. La frontière entre civil et militaire n’existe plus. Ce sont les mêmes systèmes. Les mêmes serveurs. Les mêmes réseaux.

L’illusion du périmètre sécurisé

Revenons à votre organisation. Vous avez un VPN. Une politique sur les clés USB. Un pare-feu à jour. Une équipe qui surveille les alertes.

Bien. Ce n’est plus suffisant. Ces mesures présupposent un adversaire qui frappe à la porte d’entrée. Les acteurs étatiques chinois, russes, iraniens, nord-coréens, et oui, occidentaux aussi, n’entrent pas par la porte. Ils entrent par une vulnérabilité dans un équipement réseau que vous utilisez depuis trois ans. Ils s’installent et ils attendent.

Avec tout ce qui se passe autour de nous, je suis stupéfait de devoir justifier à des «experts» en TI que l’exfiltration de données est très probable et qu’il serait préférable d’avoir un plan.  Et oui, même si tous vos employés sont de bonnes personnes.

Salt Typhoon n’a pas brisé un mot de passe. Il a exploité des accès dans des équipements légitimes. La brèche de Cisco n’a pas été détectée parce que les organisations ne cherchaient pas là.  Le périmètre est une fiction rassurante. La vraie question n’est plus comment empêcher l’entrée. C’est comment détecter, contenir et survivre.

Le piège du fournisseur unique

Confier les données d’une organisation ou d’une population à un seul fournisseur étranger n’est plus un choix éclairé. Cisco, Microsoft, Palo Alto et bien d’autres. Des outils excellents. Des entreprises sérieuses. De superbes innovations.  Mais des entreprises étrangères, soumises à d’autres encadrements, potentiellement ciblées par des adversaires qui savent exactement combien d’organisations dépendent d’elles.

Quand Cisco est compromise, tous ceux qui ont externalisé leur confiance à Cisco sont compromis simultanément. C’est ça, le risque systémique.  Je ne dis pas de ne pas les utiliser, je vous suggère une gestion de risque.

On ne met pas tous ses œufs dans le même panier. Pourquoi met-on toute sa sécurité dans le même équipement?

Le Centre canadien pour la cybersécurité le reconnaît ouvertement. Ses évaluations des menaces et ses lignes directrices à destination des secteurs sensibles (énergie, télécoms, finance, santé, etc.) confirment que des capacités cybernétiques pourraient être utilisées contre les infrastructures critiques canadiennes. Pas dans un scénario hypothétique. Dans un contexte de crise. Ou simplement pour envoyer un signal politique.

Ottawa le sait. Le dit. Publie des lignes directrices. Et la plupart des organisations concernées n’ont toujours pas de plan B testé.

La question que personne ne veut poser

Voici ce que la maturité en cybersécurité exige d’accepter: la plupart des organisations sont probablement déjà compromises à différents degrés.

Pas nécessairement exploitées activement. Mais des accès persistent. Des processus dorment. Des comptes sont surveillés. Des données transitent par des équipements dont la chaîne d’approvisionnement n’a jamais été auditée sérieusement.

C’est inconfortable. C’est pourtant la réalité que les professionnels de la sécurité se disent entre eux, en privé.

La vraie question de maturité n’est plus: «êtes-vous protégés?» C’est: «que faites-vous quand ça tombe?»  Blâmer le fournisseur étranger ou les consultants n’est pas un plan de continuité. C’est une stratégie de communication de crise qui a déjà été utilisé à outrance. Il faudrait être plus créatif.

Parce que pendant que vous cherchez un coupable à blâmer en conférence de presse, vos opérations sont arrêtées. Vos données sont entre de mauvaises mains. Et vos clients ou les citoyens que vous servez payent le prix fort.

Ce que la résilience exige concrètement

Assez de diagnostic. Voici ce que les organisations sérieuses font ou devraient faire.

Tester le plan B avant la crise. Simuler une compromission majeure. Pas un audit sur papier. Un exercice réel, avec les équipes de direction, où les systèmes principaux sont déclarés indisponibles. Qui décide quoi? On fonctionne comment? En combien de temps?

Avoir des procédures hors-ligne. Des processus critiques documentés qui fonctionnent sans accès aux systèmes informatiques. Pas glamour. Absolument essentiel. Les hôpitaux ukrainiens qui ont survécu avaient des protocoles papier.

Diversifier les fournisseurs et les technologies. Aucun fournisseur unique ne devrait contrôler l’ensemble d’un environnement critique. La diversification réduit la surface d’impact systémique. Ce n’est pas de la paranoïa. C’est de la gestion de risque élémentaire.

Isoler les données critiques. Les actifs vraiment sensibles comme les données de patients, des informations financières stratégiques et de la propriété intellectuelle critique méritent des environnements séparés, voire isolés physiquement. Pas tout, mais les données qui, si elles tombaient, changeraient fondamentalement la situation.

Normaliser la question inconfortable. Inscrire au calendrier trimestriel une réunion de direction dont le seul sujet est: «et si nous étions déjà compromis?» Pas pour créer la panique. Pour forcer la réflexion, la planification.

La cybersécurité n’est plus une question informatique. C’est une question de gouvernance. De souveraineté. De préparation aux crises.

Salt Typhoon était là depuis des mois. La faille Cisco depuis trois ans. Les infrastructures du Venezuela depuis des années avant la crise.

Dans votre organisation, ça fait combien de temps?

© Les Affaires