Le géant québécois de l’agroalimentaire Agropur a été la cible d’une cyberattaque dans les derniers jours. Des informations d’employés et de partenaires d’affaires, aussi bien canadiens qu’américains, ont été touchées, confirme la coopérative.

« On a observé un incident informatique au cours des derniers jours », confirme le directeur des communications stratégiques d’Agropur, Guillaume Bérubé. « C’est assez récent et ça s’est limité à une partie de nos répertoires en ligne. »

Des données et des informations liées à des employés et à des partenaires d’affaires de la coopérative ont été ciblées. Propriétaire d’une trentaine de sites de transformation et de distribution en Amérique du Nord, Agropur emploie environ 7500 personnes.

« Nos systèmes transactionnels n’ont pas été affectés et nos opérations n’ont pas été affectées », précise-t-il.

La nouvelle a tout d’abord été rapportée par le média spécialisé en informatique Bleeping Computer. Guillaume Bérubé indique que cela ne signifie pas pour autant que l’attaque ait été perpétrée aux États-Unis.

Agropur a contacté les organisations et les employés dont les informations ont été exposées. Tous ceux dont les données auraient été touchées par l’incident ont été avisés.

Guillaume Bérubé, directeur des communications stratégiques d’Agropur

M. Bérubé n’a par ailleurs pas détaillé l’ampleur de l’attaque, indiquant qu’une enquête interne est justement en cours « pour évaluer la portée et la nature de l’incident ». Des spécialistes externes en cybersécurité y participent. « On a évidemment avisé les autorités policières. »

« Pour le moment, il n’y a pas eu de tentatives d’utilisation mal avisée des informations qui ont été recueillies par les pirates », indique M. Bérubé.

Y a-t-il eu demande de rançon ? « Je ne suis pas en mesure de répondre à cette question-là pour ne pas nuire à l’enquête. »

Une certaine transparence d’Agropur

Le spécialiste en cybersécurité et chargé de cours à l’Université de Sherbrooke Steve Waterhouse souligne que la coopérative a rapidement répondu aux questions des médias au sujet de la cyberattaque : « Contrairement à ce qu’on observe en Europe, c’est rare que les entreprises nord-américaines en parlent publiquement et l’amènent à l’avant-scène. »

Le fait de détailler une cyberattaque démontre qu’une organisation est préoccupée par la conséquence d’un évènement malencontreux qu’elle n’a évidemment pas créé volontairement, dit-il. « Les gens ne sont pas fous ; ils savent que ça peut arriver. Ils comprennent mieux lorsque l’entreprise se dévoile, fait son mea culpa en expliquant ce qu’elle a fait et ce qu’elle fera. »