Cyberguerre : La Cyber-Résilience N’Est Pas Le Vaccin Mais Un Bon Contrepoison

La cyber-résilience, d’apparence contre-nature, et pourtant…

« La cyber-résilience fait référence à la capacité d’une entité à fournir en permanence le résultat souhaité malgré les cyber-événements indésirables. La cyber-résilience est une perspective en évolution qui est de plus en plus reconnue« . La cyber-résilience se donne pour objectif de permettre à des organisations d’être les plus réactives possible face à une cyber attaque. Cela passe par une approche qui peut apparaître – au niveau des entreprises comme des États – contre nature dans une cyberguerre puisqu’il est alors question – pour les cibles potentielles – de développer et de partager des outils et des informations afin de mutualiser les moyens défense ! L’union fait la force ! Aussi, que les grandes entreprises, les PME, les TPE, et toutes infrastructures critiques nationales en soient prévenues : devant la menace, le proverbe « à la guerre comme à la guerre » a vécu, celui qui prévaut désormais c’est : « à la cyberguerre comme à la cyberguerre !»

 

Le coût d’un arrêt d’activité !

Le 15 janvier 2019, l’AGCS (Allianz Global Corporate & Specialty SE) publiait le « baromètre des risques 2019 d’Allianz .»  Comme le pointe cette 8^e enquête annuelle sur les principaux risques d’entreprise qui a réuni pas moins de 2 415 experts dans 86 pays, « La cybersécurité est devenue la première préoccupation des entreprises en France. ». Dans le top dix des préoccupations, les incidents cyber arrivent en première place (41% des sondés), talonnés par les interruptions d’activités (40%). Et ce à l’inverse des entreprises américaines, allemandes et chinoises qui, elles, placent l’interruption d’activité en tête de leurs classements devant la cybersécurité. Si, en France une baisse de sept points est constatée par rapport au baromètre 2018 pour ce qui est de l’arrêt d’activité, il est à noter, et il n’en demeure pas moins :

1 – que cyber-incident et interruption d’activité ont souvent un lien de cause à effet dans des entreprises de plus en plus tributaires du numérique.

2 – que les pourcentages sont aussi proches que conséquents.

Pour Corinne Cipière CEO d’AGCS  cette inquiétude sur la cybersécurité, est liée au fait que « Les entreprises françaises sont de plus en plus préoccupées par la fréquence et la gravité croissante des incidents cyber, les plaçant ainsi pour la première fois en tête du classement des risques en France ». On peut pour le moins comprendre cette inquiétude au regard des chiffres : « La délinquance cybernétique aurait coûté 600 milliards de dollars en 2018, contre 445 milliards de dollars en 2014. C’est trois fois plus que la moyenne des pertes économiques liées aux catastrophes naturelles sur dix ans, qui s’élève à 208 milliards de dollars ».

Pour ce qui est de l’arrêt d’activité, comme je le soulignais, cyber-incident et interruption d’activité sont intimement liés. Ainsi dans ce rapport, il est également notable que «  L’interruption d’activité et les cyber-incidents arrivent en tête du classement avec 37% des réponses. Toutefois l’interruption d’activité a reçu plus de réponses en nombre : 1078 contre 1052 ».

Devant la montée en puissance des coûts inhérents à ces problématiques, la cyber-résilience que j’ai pu évoquer en introduction apparaît comme un enjeu majeur, en capacité d’infléchir ces coûts démesurés qui demeurent en forte croissance. Il est indéniable que la poursuite de l’informatisation au travers – entre-autres – de la multiplication des objets connectés ne peuvent, sans les précautions ( Privacy by Design…), les mesures ( RGPD…) et les approches adéquates (Partenariats servant la cyber-résilience…),  qu’ouvrir de nouvelles portes et soutenir cette croissance qu’il appartient à tous et à toutes d’endiguer.

NDLA. Vous pouvez consulter un résumé du rapport d’Allianz en français ici 

 

L’exemple d’Orange et Europol…

Pour faire face à ces risques, les entreprises s’organisent et entreprennent des démarches cyber-résilientes.  En juillet 2018, à titre d’exemple, et pour illustrer la démarche – même s’il s’agit là d’un rapprochement entre une entreprise de type infrastructure critique et une agence européenne de police criminelle – Jean-Luc Moliner, Directeur de la Sécurité du Groupe Orange, et Steven Wilson, Directeur du Centre Européen de Lutte contre la Criminalité d’Europol (EC3), ont signé un accord, au service de cette cyber-résilience. Ce partenariat porte sur le principe de partage de connaissances sur les cyber-menaces pouvant peser au niveau européen. « L’accord fixe un cadre à Orange et à Europol afin d’échanger des informations sur l’état de la menace sur les réseaux et les tendances en matière de cybercriminalité. Orange participera au renforcement et à l’enrichissement des données à travers des échanges de savoir-faire technique et le partage d’indicateurs que l’opérateur peut voir passer sur ses réseaux : spams, attaques DDoS, fraude, cyberattaques mobiles ou encore les cyberattaques bancaires par exemple. » 

Cela va dans le sens d’une meilleure connaissance de la typologie de la cybercriminalité… Dans le même temps, la formation à la cyber-résilience devient de plus en plus performante au service des entreprises : par exemple un accord de partenariat a été signé en octobre 2018 lors de la Cybersecurity-Week Luxembourg entre l’EBRC (European Business Reliance Centre  ) et le C3 (Cybersecurity Competence Center  ) – ce rapprochement « permettra aux entreprises, à partir d’une analyse d’impacts, de définir un scénario de crise sur-mesure et de le tester dans la Room#42  du C3 ».  (La Room42 est un simulateur qui offre un ensemble d’outils très complet qui met en situation le management d’une entreprise lors d’une gestion de crise.) Naturellement, de nombreuses autres offres de formations existent et sont proposées par des cabinets spécialisés… Si la demande ne manque pas d’être au rendez-vous, c’est que les entreprises ont bien conscience d’être au cœur d’un écosystème où il ne suffit pas, comme nous allons le voir, d’être protégé soi-même pour être à l’abri d’une attaque, et devenir la victime de cyber-dégâts collatéraux…

Altran a ainsi subi le 24 janvier 2019 une attaque au rançongiciel d’importance qu’elle a confirmée par un communiqué de presse «  Information sur une cyber attaque » en date du 28 janvier 2019 , ce dernier met en avant sa capacité à réagir :

(…) « Pour protéger nos clients, employés et partenaires, nous avons immédiatement déconnecté notre réseau informatique et toutes nos applications. La sécurité de nos clients et des données est et sera toujours notre priorité absolue. Nous avons mobilisé des experts techniques et d’investigation indépendants mondialement reconnus, et l’enquête que nous avons menée avec eux n’a révélé aucun vol de données ni aucun cas de propagation de l’incident à nos clients. Notre plan de rétablissement se déroule comme prévu et nos équipes techniques sont pleinement mobilisées. Tout au long du processus, Altran a été en contact avec ses clients, les autorités gouvernementales et les régulateurs compétents. » (…)

Comme l’indique Emmanuel Paquette journaliste à L’Express Expansion, « l’offensive s’avère si importante qu’ Altran a saisi la brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti) et le parquet de Paris. Le cyber-pompier de l’État, l’Anssi, a également été sollicité en soutien ». Si la société Altran ne peut être qualifiée « d’opérateur d’importance vitale » (OIV), sa capacité à réagir et à mobiliser les acteurs internes et externes (investigations), le respect des exigences de transparence totale prévues par le Règlement Général sur la Protection des Données (RGPD), ont été des éléments déterminants pour contenir la crise et la régler sans occasionner de potentiels dégâts collatéraux. Rappelons qu’Altran compte en effet parmi ses clients des organisations identifiées par l’État comme ayant des activités indispensables ou dangereuses pour la population telle qu’ Orange, EDF, Engie…

 

Cyber-résilience et principe de réalité…

Si l’approche est raisonnable, « tout n’est pas pour autant pour le mieux dans le meilleur des cyberespaces possibles »; la cyber-résilience est un incontournable qui doit tenir compte d’un principe de réalité : on ne peut pas dire que les États soient des parangons de vertu en matière de renoncement à des cyber-attaques, qui par ailleurs sont des attaques qui peuvent s’inscrire dans la durée et sont difficilement détectables. Le mot cyber-résilience sonne bien, cependant, partager certaines informations n’est pas une sinécure, nul n’est à l’abri de l’attaque d’un pays a priori identifié cyber-ami…  Pour ceux qui en doutent,  ils suffit de se rappeler de l’affaire des 35 chefs d’État mis sur écoute en 2013 par les services de renseignement des États-Unis et des conséquences sur la confiance des intéressés envers ce pays ami. C’est ce qui a été rappelé tant aux entreprises qu’aux infrastructures critiques nationales, lors du 11e FIC (Forum International de la Cybersécurité), qui s’est tenu à Lille les 22 et 23 janvier 2019, autour des thématiques RGPD et résilience : Au-delà du respect des données privées sur lesquelles l’Europe a souhaité progresser avec le RGPD, Guillaume Poupard, le directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) a rappelé que « les attaques récentes sont des prépositionnements pour les conflits de demain, avec des groupes très organisés et probablement soutenus par des États. Ils mettent des charges dans les systèmes d’information en prévision d’un conflit. Un peu comme si on mettait de la dynamite sur les piliers des ponts en attendant la guerre ».

Il ne s’agit pas de baisser les bras, mais d’accepter cet état de fait. La cybercriminalité est protéiforme, elle ne disparaîtra pas, elle peut seulement se combattre de façon plus efficiente. Il s’agit donc d’intégrer que la cyber-résilience est l’affaire de tous et de toutes. C’est notamment celle des TPE/PME – souvent moins armées et plus vulnérables – qui peuvent, sans être la cible finale , constituer des points d’entrée privilégiés vers de grandes entreprises, au même titre que l’est tout salarié peu au fait ou mal informé des principes de précautions les plus élémentaires lorsqu’il est connecté aux réseaux de son entreprise.

Pour conclure

La cyber-résilience est un contrepoison, cela ne sera vraisemblablement jamais un vaccin, à moins naturellement d’un changement généralisé de la nature humaine qui m’apparaît à l’heure où j’écris relativement improbable. Mais à la cyberguerre comme à la cyberguerre. Une cyberguerre complexe de type « asymétrique atypique », puis qu’elle oppose les forces cyber-armées d’un État, d’une entreprise… à des combattants matériellement insignifiants (Black Hat Hacker isolé), ou à contrario extrêmement conséquents  (autre État, groupe criminel organisé…) qui attaquent sans ultimatum et se servent des points faibles de la cible pour parvenir à leur but souvent politique ou financier. 

 

 Chacun est responsable de tous. Chacun est seul responsable. Chacun est seul responsable de tous.

Antoine de Saint-Exupéry