Les autres partenaires du consortium piloté par l’UdeM sont l’entreprise montréalaise de cybersécurité Flare Systems, l’Institut Max-Planck pour l’étude de la criminalité, de la sécurité et du droit de Fribourg-en-Brisgau, le Cyberintelligence Institute de Francfort-sur-le-Main et l’Université libre de Berlin.
«Notre objectif est de concevoir un modèle qui saisira de manière systématique, reproductible et vérifiable les dommages matériels et immatériels causés par la cybercriminalité à court, moyen et long terme», explique Nicole Hartlapp, responsable de l’unité Société cybervigilante de la Cyberagentur.
Elle rappelle qu’il existe aussi une série d’effets en cascade, souvent négligés, pour lesquels l’Allemagne ne dispose actuellement ni de mesures ni de méthodologies permettant de les cartographier.
Les pertes financières directes ne représentent qu’une partie du phénomène. La perte de confiance, le stress psychologique, les atteintes à la réputation, les interruptions d’activités, la pression exercée sur les ressources lors du rétablissement des installations informatiques et les coûts de suivi à long terme ont aussi des effets profonds.
Jusqu’à maintenant, ces éléments ont été largement absents des analyses du problème, indique Nicole Hartlapp.
«Sans données fiables, il y a un risque de surestimer ou de sous-estimer les cybermenaces, ce qui peut mener à des priorités mal définies et à une utilisation inefficace des ressources», mentionne-t-elle.
Le projet ARCH permettra de cartographier les préjudices dans une matrice tenant compte de leur gravité, de leur durée et de leur portée sociétale. Grâce à une triple échelle d’analyse, les incidents cybernétiques se verront attribuer à la fois une valeur pécuniaire et un indice qualitatif mesurant les dommages immatériels, comme le stress ou la perte de confiance.
L’équipe de recherche estime que les résultats du projet seront particulièrement utiles aux services policiers et autres organisations qui souhaitent non seulement en apprendre davantage sur la cybercriminalité, mais aussi mieux l’anticiper et y répondre efficacement.
Au-delà du vol des données
Les résultats du projet pourraient également aider les décideurs à mieux analyser la répartition des préjudices, à établir de nouvelles priorités et à orienter les ressources en prévention à partir de simulations.
Sur le plan scientifique, le projet ARCH marque aussi un changement de perspective.
«La cybercriminalité ne se résume plus au vol de données: c’est désormais la confiance qui est volée», affirme David Décary-Hétu.
Il poursuit: «Chaque attaque érode la confiance envers nos organisations, affaiblit la résilience sociale et laisse des cicatrices psychologiques et économiques qui vont bien au-delà des pertes immédiates. Avec le projet ARCH, nous mesurons enfin ce qui compte vraiment: l’ensemble des dommages que les cyberattaques infligent aux individus, aux organisations et à la société.»
Pourquoi l’Allemagne?
L’intérêt de David Décary-Hétu pour l’Allemagne est né d’une série de rencontres fortuites. À des conférences auxquelles il participait comme spécialiste de la cybercriminalité, le professeur de l’UdeM s’est retrouvé à échanger avec des représentants de la Cyberagentur.
«L’un des plus grands défis liés à la cybercriminalité est l’absence de mesures fiables des préjudices qu’elle cause: parfois ils sont financiers, d’autres fois psychologiques ou réputationnels, et ils peuvent se succéder en cascade», se rappelle-t-il leur avoir expliqué.
«La cybercriminalité est donc très difficile à quantifier et à communiquer de manière utile, et résoudre ce problème exigera une véritable capacité d’innovation. En discutant avec les représentants allemands à ces conférences, j'ai constaté qu’ils avaient la volonté de s’attaquer à cet enjeu, ajoute-t-il. Nous allons maintenant pouvoir le faire ensemble.»
David Décary-Hétu étudie depuis longtemps les effets des technologies sur la criminalité: la façon dont les délinquants utilisent les technologies, mais aussi la manière dont les forces de l’ordre s’en servent pour les surveiller et les appréhender.
«Le projet ARCH de la Cyberagentur correspond parfaitement à mon champ de recherche, conclut-il. C’est une excellente occasion de collaborer avec une organisation aussi respectée et j’espère que ce partenariat ouvrira la porte à de nouvelles possibilités au cours des prochaines années.»
