Lapsus$ :  Les génies précoces et le sous-investissement des entreprises dans la cybersécurité

Lapsus$, un groupe de hackers âgés de 16 à 21 ans a récemment réussi à s’introduire dans les systèmes informatiques de Microsoft. Les codes sources de certains produits de la firme ont été volé. Les hackers se seraient également emparés de divers documents ainsi que des échanges de mails des ingénieurs de Microsoft. Avant la firme de Richmond, Nvidia, Samsung ou Ubisoft auraient été piraté par Lapus$. Pour expliquer ces violations répétées de données, on peut recourir à l’image du jeune geek génial et malintentionné. On peut également questionner les investissements des entreprises dans la cybersécurité. 

Notre existence numérique s’accompagne d’un flux toujours plus important d’informations et de données numériques. Le Forum Economique Mondial estime que, d’ici 2025, 463 exaoctets de données seront créés chaque jour. Il n’est donc pas étonnant que la protection des données occupe une place aussi importante dans les discours des entreprises. Il est également légitime que les médias soulignent les failles constatées des systèmes de cybersécurité des grandes firmes. Quand celles-ci comptent parmi les géants de l’industrie informatique le questionnement devient prégnant. Lorsque que l’on apprend que les hackers sont encore des adolescents, le malaise est palpable. L’image du génie précoce et malintentionné permet un temps de faire illusion : les surdoués sont rares, les génies malfaisants le sont plus encore. 

Pourtant, le nombre des piratages informatiques ne cesse de croître. La complexité de ces attaques et l’ampleur de leurs conséquences augmentent également très rapidement. Selon, l’étude menée par IBM, le coût social moyen des violations de données s’élève à 8.64 millions de $ aux Etats-Unis. C’est beaucoup mais ce chiffre doit être rapproché du coût direct supporté par l’entreprise victime de hackers : 169 000 € selon l’agence de l’Union Européenne pour la cybersécurité (ENISA). Ainsi, les entreprises piratées ne supportent qu’une très faible part des coûts sociaux induits par les vols de données numériques. Et la valeur de leurs investissements en cybersécurité doit être comparé au montant du risque qu’elles encourent.

Les faibles incitations aux investissements dans la cybersécurité 

Le questionnaire administré par l’ENISA auprès de 947 organisations identifiées comme des opérateurs de services essentiels (santé, transport, énergie…) et des fournisseurs de services numériques met en lumière la nature des coûts supportés par les entreprises après une attaque informatique. Les répondants au questionnaire de l’ENISA indiquent qu’ils ont enregistré une baisse temporaire de leurs recettes. Les dépenses engendrées par la restauration des systèmes et des données sont également soulignées. Aucune des entreprises et organisations interrogées n’a émis l’idée de compenser les dommages subis par leurs clients et partenaires commerciaux. En d’autres termes, des hackers peuvent récupérer les dossiers de santé, les coordonnées bancaires ou toute autre information confidentielle concernant des clients ou des usagers, l’entreprise piratée ne dédommagera pas ces derniers. De la même façon, les partenaires commerciaux d’une entreprise piratée peuvent constater la divulgation des conditions commerciales offertes à cette entreprise, les problèmes générés par ces révélations ne seront pas compensés. 

Très peu d’entreprises communiquent leurs efforts de cybersécurité et les montants des investissements dans ce domaine sont introuvables dans la quasi-totalité des rapports des grandes entreprises cotées. Du point de vue des entreprises ce choix est rationnel. En effet, compte tenu, de la faiblesse des coûts directs induits par une violation des données, une augmentation des investissements dans la cybersécurité devrait être sanctionnée par les investisseurs. De plus, les rares études disponibles soulignent que les entreprises cotées ne subissent qu’une perte à court terme de 0,3 % des rendements anormaux cumulés après une violation de données – sauf dans le cas de quelques incidents catastrophiques comme le piratage de Solarwinds. 

Par ailleurs, les clients sous-estiment souvent de façon significative la valeur de leurs propres données. Le vol de données personnelles engendre peu de réaction de la part des particuliers qui semblent ne pas en vouloir trop longtemps à l’entreprise piratée. bien qu’ils affirment que leur vie privée est très importante, les consommateurs montrent souvent des comportements qui contredisent ces affirmations. Ainsi, une étude menée auprès des utilisateurs d’un site de rencontre piraté, montre que ceux-ci ont espacé leurs visites sur le site durant quelques semaines. Après cette bouderie passagère, le trafic est redevenu normal et les clients ont repris leurs habitudes.   

Des cadres juridiques et réglementaires lacunaires 

A notre connaissance, de trop rares actions collectives ont été intentées en Amérique du Nord par des particuliers contre des entreprises piratées. Pourtant, la multiplication de celles-ci pourrait encourager les entreprises à rendre compte des moyens mis en œuvre pour protéger la vie privée et les données personnelles de leurs clients. La volonté des Etats de faire respecter les directives relatives à la protection des données est également susceptibles d’augmenter l’engagement des entreprises en matière de cybersécurité. Dans l’Union Européenne, le règlement général sur la protection des données (RGDP) édicte les obligations des entreprises concernant la protection des personnes physiques à l’égard du traitement des données à caractère personnel. Ce règlement énonce également les principes de la sécurisation des données.

Les entreprises qui ne se soumettent pas à ces règles encourent une sanction pouvant représenter 4% de leurs chiffres d’affaires annuel mondial. Si le RGDP est uniformément appliqué dans les pays de l’Union Européenne, nous devrions bénéficier d’une excellente protection de nos données personnelles. De fait, 114 millions d’euros de sanctions ont été comptabilisées en 2020. Toutefois, ce premier constat doit être immédiatement amendé. L’Italie a constaté 34 infractions et sanctionnée les fautifs à hauteur de 58 millions d’euros, soit plus de la moitié des montants comptabilisés dans l’UE. La République d’Irlande accueille les sièges européens de Google, Apple, Facebook et de bon nombre de fournisseurs de services numériques. Pourtant, ce pays n’a infligé que 630 000 € d’amendes en 2020 pour non-respect du RGDP.

C’est 12 fois moins que l’Espagne, 22 fois moins que la Suède. Il est possible que le moins disant fiscal proposé par la République d’Irlande s’accompagne d’une politique laxiste en matière de protection des données. La stratégie irlandaise est d’autant plus préjudiciable que la DPC, l’équivalent irlandais de la CNIL a été désignée comme étant le « guichet unique » de l’UE pour gérer l’ensemble des contentieux relatifs à la protection des données personnelles.

Conclusion

L’évocation de jeunes hackers talentueux ne peut suffire à expliquer la multiplication des actes de piratages informatiques. Cette narration facile et trop souvent répétée masque de plus en plus mal le sous-investissement des grandes entreprises dans la cybersécurité. Les études citées dans cet article montrent que ce choix est délibéré et parfaitement rationnel. Les fournisseurs de services numériques et les opérateurs de services essentiels sont faiblement incités à augmenter leurs dépenses dans la protection des données. En effet, ces entreprises supportent une part réduite des coûts sociaux engendrés par ces vols. De plus, les clients ne sanctionnent pas durablement les entreprises qui se sont montrées incapables de protéger leurs données personnelles. Ensuite, les investisseurs constatent l’absence de réactions négatives des marchés aux violation de données et peuvent donc s’opposer à une augmentation des investissements en cybersécurité. Enfin, le cadre réglementaire présente des failles importantes et une harmonisation effective des pratiques de contrôle et de sanctions semble à ce jour inatteignable. La cyber criminalité devrait donc continuer de prospérer. 

Article rédigé par :

Pascal MONTAGNON – Directeur de la Chaire de Recherche Digital, Data Science et Intelligence Artificielle – OMNES EDUCATION

Eric BRAUNE – Professeur associé – INSEEC Bachelor 

<<< À lire également : Data Science et métaverse : donner du sens aux données pour mieux exploiter les opportunités business>>>