Les producteurs agroalimentaires et les entrepreneurs du secteur de l’agrotechnologie s’efforcent de faire progresser leurs entreprises, mais négligent souvent l’importance de la cybersécurité. Sushant Katare, professionnel agréé de la sécurité des systèmes d’information et gestionnaire principal en cybersécurité au Centre for Cybersecurity Innovation du Collège Durham, souligne que cette négligence est risquée pour tous
Par Tabitha Caswell pour Bioenterprise
De plus en plus, les entreprises agricoles et agrotechnologiques du Canada adoptent des technologies numériques. Ce virage entraîne des améliorations bénéfiques comme des gains d’efficacité et de productivité. Mais il crée aussi de nouveaux défis en matière de cybersécurité.
Actuellement, le secteur agroalimentaire canadien est vulnérable aux cybermenaces en raison de l’adoption rapide des technologies et de l’absence de mesures de sécurité solides. Les menaces liées à la cybersécurité sont monnaie courante de nos jours, mais malgré une sensibilisation croissante, nombre d’entreprises agricoles n’ont pas encore mis en place de stratégies complètes en matière de cybersécurité. Les données critiques et les systèmes essentiels sont donc menacés, ce qui souligne l’urgence de mettre en place de meilleures mesures de protection.
Sushant Katare est un professionnel agréé de la sécurité des systèmes d’information, gestionnaire principal en cybersécurité du Centre for Cybersecurity Innovation [en anglais seulement] du Collège Durham [en anglais seulement], ainsi que partenaire du savoir et du développement de Bioenterprise.
Expert-conseil et mentor chevronné possédant plus de dix ans d’expérience dans le monde de la cybersécurité, M. Katare a mis au point des solutions innovantes en matière de cybersécurité et a développé des activités commerciales dans plusieurs secteurs. Fort de ses connaissances spécialisées, il prend part à la conversation pour braquer les projecteurs sur les risques et les défis auxquels sont confrontés les entrepreneurs, les jeunes pousses et les entreprises du secteur de l’agrotechnologie au Canada. Il propose également des ressources et une explication simplifiée des solutions à mettre en œuvre.
L’importance de la cybersécurité en agriculture
La cybersécurité désigne la pratique consistant à protéger le matériel, les logiciels et les données contre l’accès non autorisé par des criminels. Elle concerne tout ce qui est connecté à Internet, comme les systèmes informatiques, les appareils, les réseaux et les données stockées. En agriculture, la cybersécurité est nécessaire pour protéger les technologies utilisées aux fins de la gestion des cultures, du bétail et des chaînes d’approvisionnement.
Les cyberattaques peuvent être ciblées ou aléatoires. Dans la guerre entre la Russie et l’Ukraine, M. Katare décrit une attaque ciblée : « Cette guerre n’est pas seulement un conflit de frontières; c’est devenu une cyberguerre, et les agriculteurs ukrainiens sont une cible. Si un pays attaque l’industrie agricole d’un autre pays, c’est toute la chaîne d’approvisionnement alimentaire qui peut être touchée. Cela peut être lié à l’inflation et à l’économie générale du pays. »
Les Canadiens se sentent peut-être en sécurité parce que notre pays n’est pas en guerre. Nous n’avons pas d’ennemis et de nombreux petits producteurs et jeunes entreprises ne sont pas dans la mire des cybercriminels. Mais les choses ne sont pas si simples. « Dans le cas des entreprises agrotechnologiques et des exploitations agricoles canadiennes modernes, les attaques ne sont pas ciblées, explique M. Katare. Elles proviennent probablement d’une base de données contenant des millions d’adresses IP (Internet Protocol) qu’un attaquant a automatisée pour y trouver des vulnérabilités. Et votre adresse IP pourrait figurer sur cette liste. »
L’Internet des objets (IdO) joue un rôle crucial à cet égard en connectant des appareils et des systèmes pour recueillir et partager des données. Les capteurs qui surveillent l’état des sols et la santé du bétail, les drones qui recueillent des données et les systèmes d’irrigation automatisés sont autant d’exemples de dispositifs connectés à l’IdO.
« Plus il y a d’appareils IdO non surveillés dans votre infrastructure, plus la surface d’attaque est grande et exposée à différents types d’attaques », dit M. Katare.
Ces dispositifs et systèmes interconnectés créent des vulnérabilités (faiblesses dans les systèmes, les réseaux et les applications) que les cybercriminels peuvent exploiter. Il est donc essentiel de mettre en place des mesures de cybersécurité solides pour protéger les données sensibles et garantir le bon déroulement des activités agricoles.
Si votre agroentreprise est attaquée, il est fort probable que ces attaques paralysent votre production, effacent vos données et mettent vos systèmes hors service pendant une longue période. Aucun agriculteur ou entrepreneur ne souhaite cela. Compte tenu de ces conséquences indésirables, pourquoi la cybersécurité est-elle si peu prioritaire pour beaucoup?
État actuel de la cybersécurité et raisons expliquant sa lente adoption
M. Katare indique que pour la plupart des propriétaires d’entreprises agricoles, c’est surtout à cause du manque de sensibilisation que la cybersécurité est reléguée au bas de la liste des priorités. « Or, nous devrions nous en préoccuper, car ce manque de sensibilisation nous met dans une situation dangereuse. L’impact d’une petite attaque de cybersécurité est exponentiel : dès qu’une partie d’un système est attaquée, c’est tout le système qui devient vulnérable. »
Certaines entreprises ont peut-être mis en place des mesures de protection de base dès le début de leur développement, mais une fois qu’elles sont passées à l’échelon supérieur, elles ont besoin de solutions plus robustes. S’il peut sembler compliqué d’introduire de nouveaux outils dans un système existant, ce n’est généralement pas le cas.
Par ailleurs, de nombreux dirigeants se méprennent sur l’ampleur du budget nécessaire à la mise en place de ces solutions.
« Les solutions de cybersécurité sont plus abordables qu’on ne le pense, dit M. Katare, et le budget auquel vous pensez est généralement supérieur à ce dont vous avez besoin. Les solutions à mettre en œuvre ne sont pas toujours coûteuses. »
Lorsqu’il est question de budget, M. Katare conseille de travailler avec un professionnel afin de hiérarchiser les besoins uniques de l’organisation et d’utiliser les ressources là où elles ont le plus d’impact.
Le manque de sensibilisation et la perception erronée des obstacles entravent l’adoption et la mise en œuvre d’une bonne hygiène en matière de cybersécurité dans les exploitations agricoles et les entreprises agrotechnologiques canadiennes. C’est précisément ce à quoi M. Katare et son équipe du Collège Durham entendent remédier.
La cybersécurité au Collège Durham
En tant que gestionnaire principal en cybersécurité, M. Katare dirige le Centre for Cybersecurity Innovation. En collaboration avec des experts de l’industrie, lui et son équipe [en anglais seulement] ont mis en place cet écosystème unique en son genre pour la région de Durham [en anglais seulement] et ses environs. Mais pourquoi cette équipe innovante prend-elle racine ici?
La production alimentaire et agricole est le moteur de l’économie de la région de Durham, qui s’étend des rives du lac Ontario jusqu’au lac Simcoe, à l’est de Toronto. Reconnu comme un établissement d’enseignement de premier plan dans les domaines de l’alimentation, de l’agriculture et de la technologie, le Collège Durham propose les programmes Horticulture – Alimentation et agriculture et Technicienne/technicien en horticulture [les deux sites sont en anglais seulement].
Ayant pour mandat de soutenir le développement économique et social local, le Collège Durham est un partenaire idéal. L’équipe s’engage à fournir un accès à des services de recherche appliquée et à l’éducation en matière de cybersécurité aux professionnels actuels et futurs de la cybersécurité ainsi qu’aux organisations des secteurs public et privé.
« Après avoir identifié les lacunes et déterminé les services à fournir, nous nous sommes donné pour priorité de veiller à ce que les solutions demeurent économiques et accessibles, explique M. Katare. Nous mettons l’accent sur la sensibilisation et sur l’éducation en créant divers programmes de formation : sensibilisation générale de base pour amener les employés à prendre des décisions éclairées et à éviter des cyberpièges évidents, formation destinée aux équipes de direction pour contribuer à bâtir une culture de la cyberconscience, programmes spécialisés destinés aux spécialistes des TI afin de les aider à cerner les faiblesses de l’infrastructure et à y remédier de manière proactive, de même qu’un programme de formation très novateur, axé sur l’IdO, qui est conçu pour renseigner les professionnels des TI à propos de la technologie opérationnelle. »
Le collège offre aussi un programme de certificat de cycle supérieur [en anglais seulement] destiné aux aspirants professionnels de la cybersécurité. Ce programme complet de huit mois à temps plein enseigne aux étudiants comment développer, évaluer et soutenir des solutions de sécurité informatique, et vise à leur inculquer les compétences nécessaires pour formuler et mettre en œuvre des politiques et des procédures de sécurité pour protéger les actifs d’information vitaux.
Mesures pour améliorer la cybersécurité en agriculture
Selon M. Katare, c’est avant tout la sensibilisation et l’éducation qui permettent de s’attaquer aux lacunes en matière de cybersécurité dans l’industrie agricole et agroalimentaire canadienne.
« Nous devons faciliter l’accès à des guides rédigés dans un langage simple, qui décrivent clairement les meilleurs moyens dont les agriculteurs et les entrepreneurs peuvent réduire leur exposition aux cybermenaces. Ces guides devraient expliquer comment prévenir les attaques et comment les gérer lorsqu’elles se produisent. »
« En général, lorsque nous travaillons avec un nouveau client, nous commençons par identifier tous les actifs de l’organisation afin de créer une carte des cybermenaces, dit M. Katare. Ces actifs comprennent tous les ordinateurs, les systèmes automatisés, les réseaux et applications, les drones, les systèmes d’alimentation, les capteurs à distance et les robots, ainsi que les systèmes de gestion des données et les systèmes de tenue de registres financiers; il est important de ne rien omettre ou négliger. »
« Ensuite, nous vérifions les vulnérabilités en envisageant le pire des scénarios. Nous demandons, par exemple : Si votre serveur Web est attaqué demain, serez-vous encore en mesure de faire fonctionner votre entreprise? Si votre infrastructure est cryptée par un rançongiciel, êtes-vous prêt à reprendre du service en quelques heures? Nous posons ces questions tout en examinant l’ensemble de l’infrastructure afin de mettre en évidence les lacunes. Nous suggérons ensuite les solutions les mieux adaptées. »
Ces solutions comprennent des contrôles de sauvegarde, des pare-feu, des logiciels et d’autres outils de protection contre les violations de données, les perturbations opérationnelles, les attaques par rançongiciel et le vol. En envisageant des solutions, nous pouvons revenir en arrière pour aborder les obstacles perçus, comme l’accessibilité (ai-je les moyens de mettre en œuvre cette solution?), les options (comment saurai-je ce dont j’ai besoin?) et le soutien (à qui puis-je demander de l’aide?).
Bâtir un secteur agroalimentaire à l’abri des problèmes de cybersécurité
Jusqu’à récemment, il était difficile pour les agriculteurs et les producteurs de répondre à ces questions. Depuis une injection de fonds bienvenue du gouvernement du Canada, en 2021, des progrès ont été réalisés en matière de sensibilisation et d’adoption de la cybersécurité en agriculture.
La collaboration entre les établissements universitaires, le gouvernement et l’industrie devrait se poursuivre et faire avancer ce sujet essentiel dans la bonne direction. Heureusement, des sources fiables comme le Centre for Cybersecurity Innovation du Collège Durham s’unissent avec des partenaires clés pour créer des moyens simples d’encourager l’adoption de la cybersécurité dans l’industrie agricole et agroalimentaire canadienne.
Comme le souligne M. Katare, les répercussions de la moindre attaque de cybersécurité sont exponentielles, et c’est pourquoi l’ensemble du milieu agroalimentaire doit prendre ses responsabilités. En effet, une attaque de faible envergure pourrait déclencher des problèmes graves qui s’étendraient à tout le pays.
Si vous êtes un entrepreneur en agrotechnologie ou le propriétaire d’une entreprise établie, ou encore un agriculteur ou un producteur, il est temps d’accorder la priorité à la cybersécurité – pour votre entreprise et pour la sécurité de notre système alimentaire au profit de l’ensemble des Canadiens.
Consultez le site Web du Centre for Cybersecurity Innovation du Collège Durham pour communiquer avec l’équipe, ou envoyez un courriel directement à M. Katare à l’adresse Sushant.Katare@durhamcollege.ca pour en apprendre davantage.