Small nick 01

Jérôme BENBIHI

Cyberguerre : jusqu'où sommes-nous en danger ?

 cyberguere

Nous vivons dans une époque où le numérique est partout. Mais la transformation est beaucoup trop rapide et trop peu sécurisée, les attaques ne cessent de s'accroitre en nombre, en efficacité et en complexité. Il y a quelques mois seulement, WannaCry et NotPetya ont montré que tout le monde peut être touché, aussi bien les entreprises que les États.

Quel futur ces deux attaques majeures nous permettent-elles d’entrevoir ? Peut-on identifier les menaces qui pèseront dans les années à venir, et comment les contrer ?

Guillaume Poupard, directeur de l’agence nationale de la sécurité des systèmes d’information (Anssi) a ouvert la 17e édition des Assises de la Sécurité à Monaco, en faisant passer de nombreux messages. « Transformation numérique et sécurité numérique vont de pair et doivent monter au plus haut niveau de la gouvernance des entreprises ». Lors de la conférence d’ouverture, le 11 octobre, il a insisté sur l’importance de la sensibilisation, il a rappelé le rôle que tous, industriels en tête, doivent tenir dans la prévention et la lutte contre les menaces.

Un événement incontournable sur le thème de la sécurité de l’information, les Assises rassemble des acteurs, des utilisateurs finaux et décideurs de la Sécurité des Systèmes d’Information (RSSI, DSI, DI, Risk managers, CIL) et traite des problématiques sécuritaires nationales et internationales afin d’anticiper les tendances et les innovations. Cette année, les Assises ont accueilli 3 000 participants, tous échaudés par les cyberattaques mondiales (WannaCry et NotPetya).

Si avant nous étions préoccupés par des attaques d’espionnage industriel, aujourd’hui nous sommes de plus en plus confrontés à des actes de sabotage. La menace s’amplifie sur tous les secteurs que l’on appelle "d’importance vitale", a annoncé le directeur de l'ANSSI. Il s’agit d’opérateurs d’importance vitale (OIV) tels qu’Areva et EDF, identifiés dans le cadre de la Loi de Programmation Militaire (LPM) du 2013. Ils sont obligés de respecter des mesures de cybersécurité spécifiques, du fait de leurs activités sensibles. « On ne classe pas les OIV, a poursuivi Guillaume Poupard, mais entre nous, le secteur de l’énergie est un secteur qu’on suit très particulièrement (...) L’autre secteur qui m’inquiète énormément, c’est celui des transports. Une attaque menée à des fins terroristes peut avoir des effets absolument dramatiques. On est particulièrement vigilants sur ces deux domaines, mais on n’oublie pas tous les autres : télécom, industrie, produits de santé… On peut, à chaque fois, faire des scénarios très graves. Il faut couvrir tous les secteurs. D’autant qu’à l’époque j’avais pensé que celui des médias prendrait plus de temps, et on a eu l'affaire TV5 Monde ! (…) Il y a eu jusqu’ici, heureusement, peu d’attaques en sabotage, mais il y en aura à l'avenir de plus en plus, avec des effets immédiats d’autant plus graves », a pronostiqué Guillaume Poupard lors de sa conférence des Assises.

En mai 2017, on a vu le plus gros piratage informatique à rançon de l’histoire d’internet. WannaCry a infecté plus de 300 000 ordinateurs dispersés dans plus de 150 pays, principalement aux États-Unis, en Russie, et en Inde. Parmi les entreprises touchées par cette attaque sans précédent, on retrouve Fedex, Renault, le National Health Service d’Angleterre, le ministère de l’intérieur russe, etc.

Par contre, NotPetya en juin 2017 était une attaque en sabotage. S’il a été déguisé en ransomware, le logiciel malveillant était en réalité conçu pour saboter ses victimes. Il se faisait passer pour un ransomware déjà connu, Petya, mais il a été modifié. S'appuyant sur la même vulnérabilité que WannaCry, présente dans les anciens systèmes d'exploitation Windows, le malware a infecté les systèmes dès leur connexion à l'Internet, via le protocole SMB. Pire encore, NotPetya avait la puissance de se répandre sur le réseau interne de l'entreprise. Et le déchiffrement des machines impactées était impossible. L'objectif principal de NotPetya n’était pas le gain financier, mais plutôt de créer une panique, de saboter les infrastructures de façon massive, par effet domino. Parmi les entreprises touchés on peut citer le géant du transport maritime Maersk, le laboratoire pharmaceutique américain Merck, Mondelez, Nivea, Saint Gobain, des hôpitaux aux Etats-Unis, les organes gouvernementaux en Ukraine, ses banques et de nombreux opérateurs d'importance vitale (notamment dans l'énergie)…

Guillaume Poupard a conclu sa conférence d’ouverture avec un avertissement concernant la question du droit à la cyber-riposte, appelé « hack back », en discussion très avancée aux Etats-Unis. Le problème est que ce droit de riposte concerne non plus les Etats au niveau militaire, mais les acteurs privés. La situation est très inquiétante. Si les entreprises se mettent à attaquer plus ou moins fort en réponse à leurs attaques, on risque de tomber dans une déstabilisation totale du monde cyber.

En même temps, n’oublions pas le risque que représentent les objets connectés. Peu, ou pas du tout protégés, les millions d’appareils connectés de l’IoT sont autant de victimes potentielles de cyberattaques. Tous ces appareils (20 milliards d’ici 2020), du babyphone connecté à la voiture connectée, créent un nouveau point d’entrée sur notre réseau avec un risque élevé pour la sécurité et la confidentialité.

Selon les experts, la première responsable de ces vulnérabilités est la course marketing pour créer des IoT. Les objets mis sur le marché ont des failles de sécurité très faciles à exploiter.  Il faudra donc contraindre les industriels à intégrer la sécurité dès la conception d'un système d'information, d'une base de données, d'une application. C’est le privacy by design, défini dans l’article 25 du Règlement général sur la protection des données (RGPD).

En somme, l’approche privacy by design consiste pour une entreprise à développer des produits et des services en prenant en compte, dès leur conception et tout au long de leur cycle de vie, les aspects liés à la protection de la vie privée et des données à caractère personnel. Dès l’entrée en vigueur du RGPD, en mai 2018, les sanctions pour le non-respect des règles de privacy by design / by default, peuvent atteindre les 20 millions d’euros, ou jusqu’à 4 % du chiffre d’affaires annuel mondial. 

A l’avenir, les attaquants seront de plus en plus des machines, estiment les experts. Il faudra donc miser sur la technologie pour mieux se défendre, car les machines seront capables de reconnaître un comportement anormal, et de bloquer les attaques mêmes inconnues.

Laissez un commentaire