(Photo: Deloitte)

Derrière une porte protégée par un dispositif de reconnaissance faciale, une dizaine de personnes s'affaire derrière des moniteurs. À l'arrière, une autre porte mène à un centre de crise. La pièce est déserte, signe qu'aucun événement dramatique n'est en cours. Aux murs, des écrans géants affichent différents graphiques. Ces bureaux aux allures de décors de film d'espionnage abritent le Centre de cyberintelligence de Deloitte à Montréal.

Ouvert en avril 2015, ce centre est situé dans la nouvelle tour Deloitte, à un jet de pierre du Centre Bell. Il fonctionne en réseau avec celui de Calgary, ouvert en mai 2015, et celui de Toronto, le plus important, en service depuis septembre 2013, qui accueille quatre fois plus d'employés que son petit frère de Montréal.

Avec une douzaine d'autres centres à travers la planète, Deloitte a ainsi formé à partir de 1999 un réseau de surveillance actif 24 heures par jour, sept jours par semaine, sur lequel le soleil ne se couche jamais, de l’Australie à l’Espagne en passant par le Japon.

Parmi les clients: Avid Life Media, propriétaire et opérateur du site de rencontres extraconjugales Ashley Madison, cible d'une des cyberattaques les plus médiatisées à l'été 2015, a annoncé le 5 juillet dernier avoir confié la sécurité de son réseau à Deloitte.

Imiter les pirates informatiques

Les membres de ce vaste réseau partagent des informations sur les différents types de cyberattaques observés, leurs auteurs et les outils dont ils se servent. «Tout comme les pirates informatiques, nous collectons des renseignements», dit Robert Masse, associé des Services liés aux cyberrisques et leader de l'équipe de Gestion des incidents chez Deloitte. Il affirme recevoir une douzaine de bulletins par jour en provenance des différents centres et chefs de renseignement régionaux. Il se base sur ces rapports pour notamment demander aux membres de son équipe de vérifier si un nouveau logiciel malveillant peut constituer un risque pour des clients.

«Nos analystes se promènent sur le web caché et sur des forums de pirates informatiques. Ils essaient de voir quelles sont les tendances des nouvelles cyberattaques et si nos clients peuvent êtres visés», ajoute Sarantos Tsikinis, consultant senior chez Deloitte.

Deux écrans de la salle tracent une «cyber kill chain», soit un modèle illustrant les étapes charnières dans la construction d'une cyberattaque. «Cela peut représenter la méthodologie d'une attaque, mais aussi d'une défense», dit Robert Masse. Chaque point représente une étape déterminante pour détecter ou neutraliser le pirate informatique. «Si l'on peut briser ou intercepter une étape, on a la possibilité d'arrêter une attaque». C'est en ayant toujours ce modèle en tête, tout en essayant de réfléchir comme un pirate informatique, que les analystes surveillent le «bruit» réalisé dans Internet, comme celui d'un intrus vérifiant les portes d'entrée vers un système.

«C'est extrêmement rare qu'on observe un gros signe comme quoi quelqu'un s'est infiltré. Ce sont toujours de petits indices», constate-t-il. «Séparément, ce sont des choses qui arrivent tous les jours et que les gens ne comprennent pas. Quand on a une vue d'ensemble, on peut réaliser que c'est en fait une cyberattaque contre une organisation».

Les employés du Centre de cyber intelligence ont à traiter chaque jour des cyberattaques pour leur clients. Selon Robert Masse, deux types d'attaques sont répandus par les temps qui courent. L'une d'elle consiste à crypter les données d'une victime, puis de lui demander une rançon en échange de la clé de déchiffrement. Il y a quelques années, les cyberattaques de cet ordre s'en prenaient à des particuliers. Mais les entreprises et grandes organisations en sont désormais devenues la cible, les pirates demandant des rançons beaucoup plus élevées.

L'autre attaque s'effectue par l'envoi de logiciels malveillants par courriel. La recette n'est pas nouvelle, mais elle s'est sophistiquée avec l'usurpation de l'identité d'un collègue dans l'envoi du courriel. Le titre et le texte sont rédigés selon les informations récoltées auparavant par le pirate sur le milieu de travail de la victime afin de rendre l'invitation au téléchargement plus crédible. «Les techniques utilisées par les pirates dans les attaques ciblées sont assez avancées, dit M. Masse. Il y a un peu moins de pirates qui ont ces capacités, mais leur taux de succès est plus élevés».

Dans un sondage de Deloitte mené auprès des responsables des technologies de l'information d'une centaine d'entreprises canadiennes, le tiers des répondants disait posséder un processus officiel de renseignement sur les «cybermenaces». Plus de 60% disent avoir établi des procédures d'interventions en cas d'incident, mais seulement la moitié les avait mises à l'épreuve.