Hydro-Québec: «Le risque numéro 1, c’est la menace interne», indique son chef de la cybersécurité

Une semaine après la cyberattaque russe qui a paralysé ses sites, le chef de la cybersécurité d’Hydro-Québec chargé de surveiller ses infrastructures critiques prévient que la principale menace vient souvent de l’interne.

• À lire aussi: Cyberattaque russe: les services web d'Hydro-Québec finalement rétablis

• À lire aussi: Cyberattaques: une entreprise d’ici croit qu’elle aurait pu protéger Hydro-Québec

• À lire aussi: «Ça fait plusieurs années que la menace existe»: Hydro-Québec attaquée par des cyberpirates

«Le risque numéro 1, c’est la menace interne», a souligné en entrevue au Journal Éric Robin, chef - Produits cybersécurité du domaine énergie, chez Hydro-Québec. 

«On ne prête pas d’intentions malveillantes au monde, mais ils peuvent être utilisés comme un vecteur pour les attaques à leur insu», a poursuivi celui qui a gravi les échelons en technologie chez Hydro-Québec depuis 12 ans.

• Philippe-Vincent Foisy discute de la situation avec Jacques Sauvé, expert en cybersécurité via QUB radio :

Des craintes exprimées

Vendredi dernier, Le Journal rapportait les craintes d’un ancien grand patron du renseignement, qui estimait que les organisations doivent être plus aux aguets.

«Les entreprises ne prennent pas les alertes au sérieux [...]. Ce qu’on voit [avec la multiplication des cyberattaques des derniers jours], c’est le résultat de ce laxisme», avait alerté Artur Wilczynski, ex-directeur général des Opérations de renseignement au Centre de la sécurité des télécommunications (CST).

Plus de 300 experts veillent

Or, hier, après une allocution à la Cyberconférence 2023, un événement qui se déroule présentement à Montréal, un dirigeant clé des infrastructures critiques d’Hydro-Québec a rappelé que 300 experts d’Hydro veillent au grain 24 heures sur 24 à son centre opérationnel de cybersécurité.

Quand Le Journal a voulu savoir quelle était la principale menace selon lui, l’expert a répondu sans la moindre hésitation qu’elle venait de l’interne.

Un employé par exemple qui a des accès privilégiés dans un système parce qu’il en fait la maintenance ou les mises à jour pourrait cliquer sur un lien malveillant.

«L’être humain est imparfait. Il peut potentiellement être corrompu», a illustré Éric Robin. 

Le Québec dans le noir?

D’après lui, le scénario catastrophe d’une cyberattaque qui plongerait le Québec dans le noir est «très très peu probable».

Au Journal, l’expert en cybersécurité, qui refuse d’être alarmiste, pointe plutôt du doigt les risques liés aux fournisseurs d’équipement, qui pourraient en échapper.

«Il faut s’assurer de ne pas faire rentrer d’équipement avec une porte cachée à l’intérieur et s’assurer que le fournisseur lui-même fasse ses propres vérifications», explique-t-il.

«On pourrait se dire : "Tiens, il y a un contrat moins cher avec un équipementier russe ou chinois". Pas sûr. Il y a une mesure de prudence», conclut-il. 

En 2022, un présumé espion chinois a été arrêté chez Hydro-Québec. Il est allégué qu’il «aurait obtenu des secrets industriels avec l’intention d’en faire profiter la République populaire de Chine», selon la GRC.