L’agriculture 2.0, angle mort de la cyberdéfense canadienne ?

Par Danny Gagné
Chronique des nouvelles conflictualités | Chaire Raoul-Dandurand en études stratégiques et diplomatiques

Pour lire la version PDF

La protection des infrastructures critiques, comme les centrales énergétiques ou les systèmes de traitement des eaux potables, fait couler beaucoup d’encre depuis quelques années. L’industrie agricole, pourtant vitale pour les États, ne semble pas faire l’objet de la même surveillance. Or, le recours croissant aux technologies numériques dans ce secteur augmente sa vulnérabilité.

En 2018, le département de la sécurité intérieure des États-Unis commandait une étude qui visait à identifier les menaces et scénarios potentiels de cyberattaques contre des producteurs agricoles américains. On y recense par exemple la possibilité que des pirates informatiques étatiques tentent de dérober les données de rendement d’agriculteurs, pour mieux évaluer les récoltes à l’échelle nationale et ainsi approcher de futures négociations commerciales avec de l’information privilégiée. Un autre scénario envisage que les données informatiques d’un producteur agricole soient falsifiées par un groupe cyberterroriste pour faire croire à une infection dans son cheptel, ce qui forcerait l’arrêt complet de ses activités à des fins d’analyses médicales.

Hypothèses farfelues ? Moins qu’on pourrait le croire. Les groupes cybercriminels auteurs d’attaques par rançongiciel visent de plus en plus des entités pour lesquelles la perte de données n’a pas que des retombées financières. Ceci explique en bonne partie la croissance des cyberattaques contre des hôpitaux : des vies pouvant être menacées si les systèmes ne sont pas rapidement rétablis, la pression subie pour payer les rançons est considérable. Suivant cette logique, les attaques contre les producteurs agricoles augmentent également. Selon Ali Dehghantanha de l’Université de Guelph en Ontario, il s’agit du point faible des infrastructures critiques canadiennes.

Depuis quelques années, le secteur de l’agriculture a pris un virage numérique : moniteurs qui mesurent le degré d’humidité des sols, contrôle des machines à traire, thermostats intelligents qui régulent la température des poulaillers, etc. Le marché nord-américain de ces technologies se monte à plus de 10 milliards de dollars par année. Or, les investissements annuels en cybersécurité pour protéger ces outils atteignent, eux, à peine 1 milliard. Comme le prouvent plusieurs  cyberincidents récents, le développement des technologies et celui des mesures de sécurité pour les encadrer ne progressent pas au même rythme. C’est souvent le cas avec l’internet des objets.

Quels modus operandi ?

L’essor de l’agriculture 2.0 fait planer de nouvelles menaces, dont le public ne soupçonne pas nécessairement l’existence. Des acteurs malveillants pourraient par exemple trafiquer des thermostats intelligents pour exterminer des élevages de volaille ou encore s’attaquer à des systèmes d’irrigation dans le but de détruire des récoltes. Selon Ali Dehghantanha, les attaques contre les infrastructures du secteur agricole peuvent prendre trois formes.

Premièrement, des groupes cybercriminels mènent des attaques au rançongiciel et demandent une compensation pécuniaire en échange de la restitution des données cryptées. Par exemple, l’année dernière, la multinationale de l’alimentaire Empire Company Limited, qui possède les chaînes Sobeys, Safeway et IGA, a été victime d’un rançongicielqui a perturbé les systèmes de paiement de certaines filiales sans toutefois causer d’importants dégâts aux chaînes d’approvisionnements. Néanmoins, on estime les pertes liées à cet incident à environ 50 millions de dollars canadiens.

Deuxièmement, on retrouve des opérations où des informations sensibles dérobées pourraient être divulguées en ligne, voire vendues à des compétiteurs. Cela pourrait donc avoir d’importantes répercussions économiques sur la compétitivité des entreprises agricoles à travers le monde.

L’approvisionnement mondial sous pression ?

Finalement, des cyberattaques visant les chaînes d’approvisionnement et affectant la sécurité alimentaire pourraient être menées par certains États. À l’extrême limite, et dépendamment des capacités politiques et institutionnelles des pays affectés, ces cyberattaques pourraient déclencher des quasi-famines dans des régions déjà sous forte pression alimentaire. Une vision pour le moins inquiétante.

Ce dernier scénario est loin d’être surréaliste. Toujours selon Ali Dehghantanha, des preuves récentes montrent que la Russie, la Chine, la Corée du Nord et l’Iran se sont déjà introduits dans les systèmes informatiques d’exploitations agricoles étrangères. Depuis le début de la guerre en Ukraine, la Russie n’a pas hésité à s’attaquer aux infrastructures ukrainiennes qui permettent le stockage et le transport de différentes céréales. En contexte de guerre, on peut s’attendre à ce que toutes les industries critiques rivales, dont l’agriculture, soient ciblées, une crainte qui est partagée par la firme de cybersécurité Cisco Talos. En raison du poids de la Russie et de l’Ukraine sur le marché mondial du blé, les pays importateurs de cette graminée se sont retrouvés sous pression depuis le début du conflit.

Une nonchalance inquiétante

Du point de vue législatif, le Canada, un des cinq plus importants exportateurs de grain au monde, paraît en retard en ce qui a trait à la défense de ces infrastructures. Sur le papier, le Canada semble avoir conscience de la menace : Ottawa a en effet identifié le secteur agricole comme faisant partie du top 10 des infrastructures critiques à protéger. Pour autant, différents aspects pratiques laissent encore à désirer. En effet, ce secteur, contrairement aux institutions bancaires, au domaine des télécommunications ou encore de l’énergie nucléaire, n’est pas répertorié dans le projet de loi C-26 visant à obliger les entreprises canadiennes responsables d’infrastructures critiques à rapporter tout cyberincident aux autorités compétentes. En fait, Ottawa, plutôt inquiet quant aux actions de groupes de cybercriminels, semble négliger la potentielle dimension géopolitique du secteur agricole.

Le Cyber Security Capacity in Canadian Agriculture, un projet financé en partie par le gouvernement fédéral, a récemment mené une enquête afin d’établir l’ampleur de la menace. Selon Janos Botschner, qui est à la tête de l’entité, entre 4 % et 11 % des fermes canadiennes auraient été victimes de cyberattaques. Or, il souligne que le projet en est seulement à la phase exploratoire et que les chiffres réels sont probablement plus élevés. Néanmoins, l’attention portée sur les producteurs au niveau micro ne permet pas pour l’instant une vue d’ensemble de la sécurité du domaine agricole.

Semer les bonnes pratiques

Selon l’Institut alimentaire Arrell de l’Université de Guelph, il est impératif que le gouvernement canadien établisse des lignes directrices encadrant la vente d’équipements agricoles connectés à l’internet des objets et s’assure qu’ils répondent à un certain nombre de critères de sécurité. Par ailleurs, comme c’est le cas de l’écrasante majorité des cyberattaques, nombre d’intrusions dans les systèmes des producteurs agricoles sont rendues possibles par des campagnes d’hameçonnage. Au minimum, le Canada doit sensibiliser cette industrie en insistant sur des pratiques de cybersécurité relativement simples, telle l’identification multifactorielle.

Alors que le Canada joue dans la cour des grands en ce qui a trait, par exemple, à la production et l’exportation de céréales, il faut garder en tête les risques inhérents à une industrie en concurrence avec certaines puissances commerciales, comme la Russie ou la Chine. L’espionnage économique est déjà monnaie courante au Canada, et les cyberattaques contre le secteur agricole pourraient prochainement rejoindre la boîte à outils d’États cherchant à défendre agressivement leur compétitivité commerciale. L’agriculture étant autant une source d’approvisionnement vitale qu’un pourvoyeur d’emplois important, le Canada ne peut donc plus se permettre d’être insouciant en la matière.

Pour lire la version PDF

4 avril 2023
En savoir plus