Êtes-vous bien cyber-protégé ?

Avec la guerre entre la Russie et l’Ukraine, de nouvelles menaces pèsent sur les entreprises et les organisations françaises. Au-delà des conséquences économiques et commerciales importantes dans certains secteurs comme l’énergie et l’agro-alimentaire, les dangers numériques se sont multipliés. En effet, la Russie est experte de la guerre cybernétique, du cyberespionnage et de la désinformation. Toutes les nations, les organisations et les personnes considérées comme hostiles à son égard peuvent donc être prises pour cibles et faire l’objet d’attaques dévastatrices.

En 2020, 91% des organisations françaises auraient été la cible d’au moins une cyberattaque. Près des deux tiers ont fait l’objet d’une demande de rançon. Des centaines de milliers de virus sont détectés chaque jour, rendant impuissantes les protections numériques périmétriques comme les firewalls. La cybercriminalité coûterait déjà un milliard d’euros par an aux entreprises françaises. Alors que tous les organismes de cyber-vigilance nationaux et internationaux sonnent l’alerte, ce chiffre pourrait être bien plus important si la France devenait une cible privilégiée. Comment se défendre dans une période aussi critique ? Comment gérer des attaques systématiques, plus élaborées, plus puissantes et plus difficiles à détecter ?

Identifier les menaces potentielles

Une économie numérique parallèle existe avec des donneurs d’ordres qui emploient des cybercriminels pour accomplir certaines missions de sabotage ou d’espionnage. En plus de leurs compétences techniques, ce sont des maîtres en tromperie et en persuasion qui font preuve d’une détermination sans faille. Par l’élicitation, ils soutirent des informations exploitables à leurs cibles sans que celles-ci ne se doutent de leurs intentions malveillantes. Ils sont capables d’élaborer des attaques très sophistiquées pour atteindre leur objectif principal en passant par des fournisseurs, des prestataires de services, des institutions ou des contacts d’employés. Les pirates informatiques deviennent des pirates du cerveau en s’appuyant sur les neurosciences, la psychologie et les émotions. La plupart du temps, les hackers ne forcent pas la porte de l’entreprise : ils s’arrangent pour qu’on leur ouvre, et pour entrer et sortir sans être repérés.

Pour sensibiliser les entreprises aux menaces potentielles, la Direction du Renseignement et de la Sécurité de la Défense (DRSD) du ministère des Armées a développé une plateforme de simulation d’attaques informatiques appelée Centaure. Usurpation d’identité, rançongiciels, faux profils sur les réseaux sociaux, fichier, message, SMS ou clé USB piégés : différents scénarios permettent de prendre conscience de la diversité des cyberattaques et de comprendre à quel point elles peuvent être imprévisibles et néfastes.

Ne faites jamais confiance à une clé USB inconnue

Il existe des communautés de cybercriminels qui partagent les mêmes valeurs ou défendent les mêmes intérêts. Ils forment des Groupes de Menace Persistante Avancée (Groupes MPA, Advanced Persistent Threat Groups, APT Groups). Ces entités sont particulièrement puissantes dans certaines nations comme les Etats-Unis, la Chine, la Russie, le Brésil, la Pologne, l’Iran, l’Inde, Israël, le Nigéria, ou le Vietnam. Les groupes MPA patriotes infiltrent la sécurité informatique des institutions, des organisations et des entreprises de pays considérés comme ennemis pour voler des données ou en introduire de fausses sans laisser de trace. Ils s’efforcent de maquiller leurs intrusions afin qu’elles n’apparaissent pas comme des anomalies mais comme la norme, les rendant indétectables et leur assurant un accès permanent.

Afin de se prémunir de ce type d’attaque, les outils classiques sont dérisoires. Toute entreprise doit procéder à des audits réguliers des points d’entrée possibles dans son système d’information. Des changements organisationnels, matériels et logiciels peuvent créer des brèches par lesquelles les cybercriminels pourront exploiter les données. C’est le cas de la mise en place du télétravail, des migrations vers le cloud ou des changements de système de gestion. Le système d’information est un organisme vivant qui évolue en permanence et dont les points faibles peuvent soudainement se multiplier avant d’être renforcés, laissant une fenêtre d’action suffisante pour que des dommages importants et durables puissent être causés, sans même être perçus.

Impliquer les ressources humaines

Bien que la plupart des employés pensent que la cybersécurité est un problème de technologies qui ne les concerne pas, ils sont tous coresponsables de la protection de leur entreprise. Si les collaborateurs sont le point faible des systèmes d’information, c’est encore plus vrai depuis qu’ils travaillent massivement à distance, avec des équipements personnels et des connections moins sécurisées. Les attaques de phishing de plus en plus élaborées font croire à un message interne avec un lien pour confirmer sa présence à une réunion ou une pièce jointe qui semble authentique. Il est aussi très courant de donner ses identifiants à d’autres personnes, d’avoir des droits d’accès mal définis et trop larges, de laisser des accès à d’anciens collaborateurs parfois en conflit avec l’entreprise, et de ne pas déconnecter son ordinateur pendant son absence.

Sensibiliser les collaborateurs à la cybersécurité

La mise en place d’une gouvernance des identités et d’une politique du « zero trust » permettent de garantir que chacun n’a accès par granularité qu’à ce dont il a besoin en termes de données et d’applications pour remplir ses fonctions dans l’entreprise. En plus de pratiques risquées, les ressources humaines, matérielles et financières allouées à la cybersécurité sont généralement insuffisantes pour garantir une bonne cyberdéfense. Les formations, la diffusion de bonnes pratiques et la sensibilisation continue aux dangers de la cybersécurité sont essentielles. La collaboration entre les Directions des Systèmes d’Information et des Ressources Humaines est fondamentale.

Comprendre les enjeux de la cyberguerre

Depuis 2019, la Russie s’est donné les moyens de déconnecter son réseau Internet national du reste du monde et de contrôler toutes les données entrantes et sortantes. Cette volonté de souveraineté numérique vise à protéger le pays non seulement des cyberattaques et de la surveillance des autres pays, mais aussi de contrer l’hégémonie américaine et les atteintes aux valeurs morales et à l’idéologie politique. Le Runet souverain dote l’Internet Russe de frontières avec des barrières numériques qui permettent à l’Etat de contrôler des points d’entrée et sortie limités. Il dissimule également des cyber-armes utilisées pour attaquer les institutions et les infrastructures ukrainiennes et que la Russie menace d’utiliser contre l’OTAN en réponse aux sanctions qu’elle subit.

Parmi les armes cybernétiques Russe, des rançongiciels qui bloquent les accès aux applications et aux données, des wipers qui effacent les disques durs, et des technologies classiques d’attaque par déni de service qui saturent les serveurs jusqu’à ce qu’ils défaillent, comme ce fût le cas des organisations gouvernementales et des banques ukrainiennes. L’hameçonnage destiné à récupérer les identifiants de messageries d’officiels et de personnalités. La création de faux comptes, pages et groupes sur les réseaux sociaux permet aussi de faire de la propagande et de mener des campagnes de désinformation contre des nations, des entreprises ou des individus. Grâce à des identités fictives générées par l’intelligence artificielle, des profils qui paraissent authentiques ont infiltré Facebook, Instagram, WhatsApp, Twitter, Youtube, RuTube, Telegram, LiveJournal, VKontakte (VK) et Odnoklasskini (OK).

Des hackers au service du gouvernement russe

La Russie est devenue une des trois nations les plus performantes en termes de cyberguerre. Le 24 février, elle aurait mené une attaque sur un réseau de satellites américains qui aurait privé d’Internet des dizaines de milliers d’utilisateurs en Ukraine, en France, et dans toute l’Europe. Depuis le 8 mars, des perturbations techniques sont constatées par Amazon, Google, YouTube, Netflix, Spotify, TikTok, Canal+, Whatsapp, Wikipedia, Uber Eats et Discord, ces plateformes ayant imposé des restrictions à la Russie ou ayant relayé des critiques à l’égard du pays. Aujourd’hui, la Russie menace de couper l’électricité et Internet en Europe.

Adopter des outils performants

Le meilleur moyen de ne pas craindre les cyberattaques est de s’y préparer. Il faut donc s’attendre au pire et prévoir non seulement des outils de protection des données, des applications, des matériels et des réseaux, mais surtout des outils de récupération et de restauration des systèmes. Parmi tous les outils disponibles on trouve entre autres : la détection des virus et des intrusions, l’analyse des protocoles réseau, l’audit des mots de passe, les tests d’intrusion, l’identification des vulnérabilités des systèmes, la surveillance et l’enregistrement du trafic TCP/IP grâce à des robots renifleurs de paquets, le chiffrement à la volée pour créer des disques cryptés, et les réseaux privés virtuels. Ces outils peuvent être combinés et centralisés au sein d’un SOC (Security Operation Center, Centre des Opérations de Sécurité) qui va procéder à une surveillance et à une protection en temps réel d’une entreprise.

La cybersécurité dans le cloud doit impliquer à la fois le prestataire de services et le client. Si l’hébergeur des données et des applications doit fournir des garanties concernant leur protection afin d’avoir la confiance de ses clients, ce dernier est responsable de la gestion des accès, de la sécurisation de son propre réseau et de la formation des salariés. Contrairement à ce que l’on pourrait croire, utiliser le cloud n’est donc pas du tout un moyen de confier sa propre cybersécurité à quelqu’un d’autre. Il est toujours essentiel de s’assurer que les données soient récupérables, que les données sensibles soient chiffrées et illisibles sans clé numérique, que les utilisateurs ne soient pas instrumentalisés pour créer des portes dérobées dans les systèmes, que les vulnérabilités soient les plus limitées possible grâce aux mises à jour et aux protections digitales.

En 2020, le logiciel d’administration de systèmes informatiques Orion de l’éditeur texan SolarWinds a été piraté par Nobelium, un groupe de hackers russes, qui y a implanté deux portes dérobées : Sunburst et Supernova. SolarWinds a donc envoyé des mises à jour à 18.000 clients et grands groupes américains avec ces importantes failles de sécurité. Selon Microsoft, Nobelium aurait tenté de compromettre au moins 140 autres prestataires informatiques essentiellement américains, faisant de cette attaque la plus importante et sophistiquée jamais menée d’une nation contre une autre. L’objectif de voler des propriétés intellectuelles et des données stratégiques correspond ici à d’immenses enjeux géopolitiques. Pour faire face à des attaques d’une telle ampleur, il est nécessaire de disposer d’outils qui permettent d’analyser les TTPs (Tactiques, Techniques et Procédures) qui correspondent aux modes opératoires et activités spécifiques à un groupe de menace. Cette analyse est la base d’une riposte par la catégorisation rapide de l’attaque, l’identification et la protection de l’objectif, la suppression des éléments suspects, et la mise en place d’une politique de contre-espionnage.

SolarWinds, l’un des plus grands cyberespionnage de l’histoire

L’intelligence artificielle va aider les prestataires à analyser des millions de menaces par jour. La plupart de ces menaces correspond à des modèles connus et faciles à identifier, à anticiper et à écarter car aux technologies de Cyber Threat Intelligence. Selon le type d’organisation, il restera alors 1 à 5% de menaces plus élaborées et dangereuses à étudier pour les équipes d’ingénieurs en cyber-protection. Il sera aussi possible de détecter les signaux faibles d’une attaque et de les neutraliser avant qu’elle ne se produise. L’IA permet aussi de détecter les comportements anormaux et de bloquer les comptes suspects en temps réel. Un cyber-IA analyste peut enquêter sur les menaces détectées et générer des rapports de manière autonome, faisant gagner un temps considérable aux analystes humains.

Choisir le bon partenaire

En France, l’ANSSI est l’Autorité Nationale en matière de Sécurité et de défense des Systèmes d’Information. En 2021, dans le cadre du plan France Relance, l’ANSSI a lancé un appel pour recenser les prestataires de service en cybersécurité. L’ANSSI met en contact ces prestataires avec des organisations qui souhaitent bénéficier d’un parcours de cybersécurité avec un diagnostic et la mise en place de mesure adaptées pour sécuriser ses outils informatiques. L’ANSSI a créé différents labels de Prestataire d’Audit de la Sécurité des Systèmes d’Information (PASSI) ou de Prestataire de Détection des Incidents de Sécurité (PDIS), et le référentiel SecNumCloud pour qualifier les prestataires d’informatique en nuage. Cette démarche permet aux entreprises de choisir des partenaires de confiance pour les aider à lutter contre la cybercriminalité.

Beaucoup de managers sont perdus face aux enjeux de la cybersécurité et soit tentent de se débrouiller avec leurs moyens internes, soit multiplient les initiatives dans toutes les directions. 78% des entreprises utiliseraient plus de 50 solutions de cybersécurité selon une étude de KPMG/Oracle de 2020, alors que l’idéal serait d’en avoir moins d’une dizaine. Il apparaît donc nécessaire de rationaliser et consolider la défense contre les cyberattaques. Si des acteurs majeurs ont déjà une réputation solide dans le secteur, comme IBM Security, Thales, Airbus CyberSecurity, Capgemini, Sopra Steria, et Orange Cyberdefense, de nombreux nouveaux acteurs sont apparus avec 150 start-ups recensées par le radar 2021 de la cybersécurité. Parmi elles, 13 scales-ups paraissent les plus prometteuses : Ubble, Gatewatcher, CybelAngel, DataDome, iTrust, Vade, Mailinblack, GitGuardian, ReachFive, SEKOIA.IO, EfficientIP, Tehtris, YesWeHack.

Projet initié par Emmanuel Macron en 2019 et inauguré en sa présence par Bruno Lemaire le 15 février 2022, le Campus Cyber réuni plus de 1600 personnes à la Défense pour créer une communauté de pratique collaborative dédiée à la cybersécurité. Il réunit dans un même lieu, la tour Eria, des prestataires du secteur, l’ANSSI, la CNIL, des centres de formation, des associations, des laboratoires de recherche comme l’INRIA, ainsi que des services publics comme la police, la gendarmerie et la DGSI. Le Campus Cyber a pour vocation de créer des synergies entre les acteurs et de mener des projets ambitieux pour affronter la concurrence américaines et chinoises. Ce lieu sera donc dédié à l’accueil des entreprises, à l’innovation, à l’entrepreneuriat, et à la formation pour faire face à la pénurie de compétences.

<<< À lire également : Comment la digitalisation sert le travail temporaire ?   >>>