Deux grandes entreprises alimentaires canadiennes continuent de se taire les problèmes de technologie de l’information qui ont miné leurs opérations pendant des jours et alors que le silence se prolonge, certains experts disent qu’une attaque de ransomware pourrait être à l’origine des problèmes.

Empire Company, qui possède 1 500 magasins à travers le Canada, dont Sobeys, Lawtons, IGA, Safeway, Foodland, Needs et d’autres épiceries, a déclaré lundi qu’un “problème de systèmes informatiques” empêchait certaines de ses pharmacies d’éprouver des difficultés à exécuter les ordonnances. Des panneaux affichés dans certains magasins indiquaient également que les systèmes de cartes-cadeaux et de points Scene étaient en panne.

La société n’a publié aucune autre information sur les problèmes affectant la chaîne et n’a pas répondu aux questions posées par CBC News mardi.

Pendant ce temps, Maple Leaf Foods dit qu’il continue de lutter contre les effets d’un incident de cybersécurité qui a commencé à avoir des répercussions sur ses opérations au cours de la fin de semaine.

La société affirme qu’elle travaille avec des experts en cybersécurité pour résoudre le problème et enquêter sur la cause profonde de l’incident.

“Notre équipe a travaillé sans relâche pour créer des solutions de contournement pour les systèmes et processus concernés, et tous nos sites ont fonctionné hier”, indique un communiqué de la société mardi matin.

“Cependant, la panne continue de créer des perturbations opérationnelles et de service qui varient selon l’unité commerciale, l’usine et le site.”

La société n’a pas expliqué la nature exacte de l’incident de cybersécurité, ni détaillé comment il a affecté les opérations.

Le silence peut être révélateur

Ritesh Kotak, conseiller en cybersécurité et analyste technologique, a déclaré à la CBC Matinée d’information Nouvelle-Écosse mardi, il soupçonne qu’une violation a eu lieu dans les deux sociétés.

« Parfois, ce n’est pas l’information qu’ils nous donnent, c’est ce qu’ils ne nous donnent pas. Et lorsque vous utilisez un langage aussi vague comme un « incident informatique », puis que les Aliments Maple Leaf sortent et disent non, c’est un incident de cybersécurité et nous J’ai embauché des experts en récupération, me fait penser qu’il s’agit probablement d’un système tiers utilisé par les chaînes d’épicerie qui contenait une sorte de vulnérabilité qui a été exploitée par des pirates et frappée par des ransomwares.”

Kotak a déclaré que parfois, il ne faut pas grand-chose pour mettre tout un système en danger.

L’expert en cybersécurité Ritesh Kotak dit qu’il soupçonne qu’une violation a eu lieu dans les deux sociétés. (soumis par Ritesh Kotak)

“Je dirais que la chose la plus dangereuse que vous allez probablement faire aujourd’hui est d’ouvrir un e-mail.… Parfois, c’est littéralement aussi simple que de cliquer sur un lien, de télécharger quelque chose, et avant que vous ne vous en rendiez compte, votre système est infecté. Mais ensuite, il a un effet d’entraînement où il va littéralement et saute d’ordinateur en ordinateur, de serveur en serveur, verrouillant et infectant ainsi des infrastructures entières.”

Si les rançongiciels – des logiciels malveillants qui verrouillent les données d’un système jusqu’au paiement de la rançon – sont effectivement le problème auquel sont confrontés Maple Leaf ou Empire, Kotak a déclaré qu’il pensait que les entreprises devraient résister au paiement de la rançon car il n’y a aucune garantie que les pirates abandonneront le contrôle du système, ils peuvent exiger encore plus de paiements, et l’argent est souvent utilisé pour financer le crime organisé ou des activités terroristes.

“Cet argent, il ne va pas à quelqu’un dans son sous-sol. C’est organisé, c’est sophistiqué, il y a des réseaux entiers et ça continue à financer des activités néfastes.”

“Personne ne veut l’admettre”

La plupart des entreprises hésitent à admettre qu’elles ont été piratées, explique Carmi Levy, une analyste technologique indépendante basée à London, en Ontario.

“Si vous admettez que vous avez été touché par une attaque de ransomware, alors vous admettez que vous n’avez pas suffisamment investi dans la cybersécurité et que vous n’avez pas pris suffisamment au sérieux les données de vos clients et parties prenantes. Et personne ne veut l’admettre – c’est comme l’équivalent moderne de la lettre écarlate.”

Selon l’analyste Carmi Levy, les entreprises sont souvent réticentes à parler de cyberattaques. (Radio-Canada)

Robert Hudema, de la Ted Rogers School of Management de la Toronto Metropolitan University, est d’accord.

“C’est totalement embarrassant pour une entreprise de dire que j’ai été pris en otage et que j’ai dû payer une amende”, a déclaré Hudema. “Beaucoup d’entreprises hésitent à dépenser de l’argent pour des choses qui équivalent à des extincteurs ou des alarmes ou des choses comme ça pour empêcher que de mauvaises choses ne se produisent, et par conséquent, de mauvaises choses se produisent.”

Mais Levy a déclaré qu’il pensait que c’était une bonne chose lorsque les entreprises parlaient de cyberattaques, car cela normalisait le problème.

“C’est une question de quand, pas si chaque entreprise avec laquelle nous traitons sera probablement affectée par une sorte d’incident de cybersécurité. Alors n’écartons pas les entreprises qui sont ciblées. Reconnaissons qu’il s’agit d’une réalité courante dans le l’ère numérique moderne et nous pourrions être victimes aussi facilement que n’importe qui d’autre.”

Manque de transparence

L’expert en cybersécurité David Shipley de Beauceron Security a déclaré qu’il avait beaucoup d’empathie pour les équipes informatiques et les cadres supérieurs qui doivent faire face aux problèmes de cybersécurité.

“C’est probablement la pire semaine de leur vie”, a-t-il déclaré Matinée d’information Fredericton.

Il a déclaré que les entreprises avaient tendance à se taire parce qu’elles subissaient la pression de leurs compagnies d’assurance, de leurs avocats et de leurs régulateurs et que les inquiétudes concernant le cours des actions pouvaient également planer au-dessus de leurs têtes.

David Shipley de Beauceron Security affirme que les régulateurs de l’industrie alimentaire devraient être plus transparents sur les cyberattaques. (Jennifer Sweet/CBC)

Shipley a déclaré qu’il existe également une tendance à “blâmer les victimes” des entreprises ciblées par des cybercriminels bien financés.

“La réalité est que s’il s’agit d’une attaque de ransomware, ces groupes sont gérés comme des entreprises internationales et ils sont sacrément bons dans ce qu’ils font et il est presque impossible de protéger une organisation à 100 % du temps.”

Shipley a félicité Maple Leaf pour sa transparence sur son problème de cybersécurité, et a déclaré que des sociétés telles qu’Empire, qui sont cotées en bourse, pourraient devoir divulguer toute perte financière découlant de son problème informatique dans ses déclarations trimestrielles ou annuelles.

Mais il a déclaré qu’il devrait y avoir plus de divulgation et de responsabilité de la part des régulateurs, à l’instar de l’industrie du transport aérien qui doit signaler les incidents qui affectent la sûreté et la sécurité.

“La réalité est qu’il n’y a pas une seule loi dans les livres qui dit que les Canadiens méritent de savoir ce qui se passe avec cela”, a-t-il déclaré.

“Mais nous dépendons de la livraison de nourriture encore plus que nous ne dépendons de l’industrie du transport aérien et cela a un impact sur les Canadiens chaque jour. Mais nous n’avons aucune responsabilité à cet égard.”