Le marché de la cybersécurité est en pleine ébullition. 172 milliards de dollars par an, c’est le coût mondial annuel de la cybercriminalité ciblant les consommateurs ! Au rang des victimes, on compte aussi les entreprises mais aussi les Etats. Ce chiffre ne vous parle pas ? Cela représente à peu près le CA annuel d’Amazon !
Mais au fait, la cybersécurité, c’est quoi exactement ? Quels sont les risques ? Quelles sont les menaces ? Comment (essayer de) s’en sortir ? Grâce à quoi ? Grâce à qui ? Essayons d’y voir plus clair ensemble !
Quand on parle de cybersécurité, de quoi parle-t-on ?
Depuis la mise en place de la transformation numérique, notre environnement physique dispose d’un double virtuel : le cyberespace. Cet espace est constitué par les infrastructures interconnectées, notamment l’internet, et par les données qui y sont traitées. Et celui-ci est clairement en expansion ! Des champs de données toujours plus nombreux basculent dans la numérisation : données bancaires, commerce, secteur médical, données gouvernementales, etc.
Les bénéfices de la numérisation des données, de leur accès en réseau et de l’interactivité avec ces données sont tels que tous les acteurs (Entreprises, Etats, Organisations, Particuliers) cèdent aux sirènes du cyberespace.
Mais pour que ces données soient utilisables, encore faut-il assurer leur cybersécurité ? C’est-à-dire assurer :
Leur confidentialité : tout le monde ne doit pas pouvoir y accéder !
Leur intégrité : l’ensemble des informations déposées est bien accessible, sans altération aucune.
Leur disponibilité : si elles sont dans le cyberespace mais ne sont pas accessibles au moment où l’on en a besoin, de quelle utilité sont-elles ?
Toutes ces données dans le cyberespace représentent une valeur inestimable et… excitent la convoitise de pirates des temps modernes, les Hackers informatiques.
Quels sont les risques en matière de cybersécurité ?
Quelques exemples, qui ont défrayé la chronique, vont permettre d’illustrer le fait qu’aucun acteur qui dépose ses données dans le cyberespace n’est à l’abri de ces pirates digitaux.
Les Etats se livrent à une véritable cyberguerre
Une des premières cyberattaque touchant un Etat eut lieu au printemps 2007. Le réseau Internet de l’Estonie, Etat balte fraichement alors sorti du joug soviétique et en conflit ouvert avec son successeur, l’Etat russe, est paralysée pendant plusieurs jours. La Géorgie subira le même sort quelques mois après.
Plus récemment, les élections américaines qui ont permis à Donald Trump de devenir le 45ème Président des Etats-Unis, semblent avoir été « perturbées » par une puissance étrangère ; la Russie est encore soupçonnée. La saison 4 du Bureau des Légendes semble à peine une fiction !
Pour faire bonne mesure, on peut aussi se rappeler de l’opération Stuxnet, conjointe des mêmes Etats-Unis avec Israël à l’encontre de l’Iran. Il s’agissait de répandre un virus capable de mettre à bas les centrifugeuses d’uranium iraniennes.
Les Pirates au grand cœur menacent aussi la cybersécurité
Le fameux groupe des Anonymous a régulièrement fait parler de lui au travers d’exploits retentissants contre toute organisation lui semblant contraire à sa vision du monde : on y trouve pêle-mêle, le Pentagone, Daech, l’Eglise de scientologie ou encore le groupe bancaire MasterCard !
Un nouvel espace pour le banditisme
L’occasion était trop belle pour les malfaiteurs. De nombreuses sociétés ont déjà fait les frais de cyberattaques : Home Depot, JP Morgan Chase, Anthem, etc. Ces attaques coûtent cher. 2,4 millions de dollars selon l’enquête publiée par Ponemon et Accenture en 2017 pour une attaque par un rançongiciel (malware). 23 jours, toujours selon la même enquête, sont également nécessaires pour venir à bout d’une demande de rançon informatique. …. sans parler des sanctions financières introduites par le RGPD. Ou encore de l’impact sur l’image de l’entreprise victime d’une cyberattaque. Bilan catastrophique donc !
Pas étonnant alors de voir les conséquences sur les top managers qui ont regardé ces sujets d’un peu trop loin. Demandez donc à Gregg Steinhafel, feu Président de Target en 2014, société qui fut la cible – si j’ose dire – d’une cyberattaque. Elle s’est traduite par le vol de 40 millions de données bancaires et de 70 millions de données personnelles volées.
http://www.mbadmb.com/wp-content/uploads/2019/03/plemagueresse-cybersecurite-Attack-in-the-world-in-Real-Time-ConvertImage.jpg
Pour aider à se représenter l’intensité de cette bataille bien réelle dans un espace virtuel, voici la capture d’une carte mise à jour en temps réel sur ce site. La carte en temps réel en cliquant sur l’image !
Quelles sont les principales menaces sur la cybersécurité ?
Les méthodes utilisées par les pirates informatiques sont diverses et variées. Les grands classiques ? Les attaques par déni de service (DDoS) dont le principe est de rendre inopérant un service en le saturant de demandes. Un autre classique, l’exploitation des informations laissées par les utilisateurs sur Internet pour faire des attaques ciblées de type Phishing.
Les méthodes se renouvellent régulièrement. Les experts du cabinet SANS Institute ont exposé les 5 menaces principales à l’heure actuelle lors d’une conférence RSA à San Francisco en 2018. Pas toujours simple de résumer en quelques mots ces techniques, en quelque sorte de haut vol.
- Le piratage de données stockées dans le Cloud
Le succès ses dernières années des infrastructures du Cloud pour l’hébergement d’applications stratégiques et le stockage de données sensibles ouvre la voie à de nouveaux types de piratages. La menace se déplace désormais du piratage matériel au piratage logiciel. Les attaques portent en particulier sur la recherche de faille logicielles permettant de dérober des entrepôts de données complets.
- Désanonymisation des utilisateurs
Le piratage des machines semble supplanté par le piratage des données. Les criminels cherchent à collecter des données de diverses sources, parfois anodines prises isolément, mais qui peuvent se révéler très dommageables, une fois consolidées.
- Monétisation de systèmes compromis à l’aide de mineurs de crypto-monnaie
Les pirates tirent profit des capacités machine des internautes se rendant sur des sites web pour produire de la cryptomonnaie…à l’insu et des sites et des visiteurs du site. Selon une équipe de recherche, pirater l’équivalent de 1 000 utilisateurs en continu sur un mois permet de générer 2 400 $ de revenus au criminel… (pour en savoir plus sur la blockchain et les cryptomonnaies – https://tinyurl.com/y2z2xhvb ).
- Exploitation des failles matérielles
Le développement du matériel, comme celui des logiciels, n’est pas exempt de défauts qui sont autant de brèches pour les pirates, sans parler des « back door » que la NSA utiliserait. Mais il est malaisé de « corriger » le matériel comme on peut le faire avec un logiciel. Il faut alors prévoir des logiciels qui chiffrent les données; non seulement quand elles sont sur des réseaux non sécurisés, mais aussi lorsqu’elles circulent à l’intérieur même de la machine.
- Perturbation des systèmes de contrôle industriel et des services essentiels
Ces attaques, non motivées par l’appât du gain, visent l’effondrement de système de sûreté ou de sécurité… Elles ne sont pas toujours connues du grand public.
- Les menaces ne cessent d’évoluer et ce, dans un environnement porteur.
L’industrie du Software continue en effet de « manger le monde » selon la fameuse expression de Marc Andreeseen en 2011. Ils sont chaque jour plus nombreux, ouvrant de nouveaux risques de piratage. Le recours croissant au tiers pour le développement des softs nourrit aussi le risque de faille.
On peut citer aussi l’arrivée des objets connectés qui présentent souvent des voies d’entrée idéales pour des pirates peu scrupuleux. On se souvient du piratage du thermomètre d’un aquarium présent dans un casino…qui a permis aux casseurs de remonter jusqu’à la liste des plus gros flambeurs du casino !
Le principe du maillon faible prévaut en cybercriminalité comme dans la criminalité classique : Pourquoi défoncer la porte d’entrée blindée plutôt que de passer par la porte donnant sur le jardin, protégé par un cadenas ayant coûté 3 euros ?
Comment se protéger de toutes ces cyberattaques ?
Quelles parades sont opposables aux Hackers ?
Pourquoi ne pas remonter à la source principale et faire en sorte que, par construction, les systèmes d’exploitation ne permettent pas d’être piratés ? Imaginer que les ingénieurs travaillant sur ces systèmes puissent boucher tous les trous est un vœu pieux ! Qu’on en juge par le nombre impressionnant de patches informatiques régulièrement publiées par les majors du secteur !
Les acteurs ont alors recours à plusieurs moyens pour réduire leur exposition aux risques d’une cyberattaque, dont on a vu à quel point elle peut se révéler désastreuse.
A l’époque de la grande piraterie en Occident, le Roi de France avait créé, pour son propre compte, des pirates agissant au nom du roi : les Corsaires. C’est la même chose aujourd’hui, les grandes sociétés emploient des « pirates » pour repérer les failles dans leur système et faire en sorte de colmater les brèches dans la coque du navire.
L’analyse des attaques passées peut se révéler également une source d’informations précieuses pour identifier les failles qui ont alors été mises à profit par les contrevenants. Sans oublier que cette investigation peut permettre aussi de documenter un dossier juridique…
L’Intelligence Artificielle peut également être mise à contribution pour améliorer la cybersécurité de son organisation. Les systèmes traditionnels ont tendance en effet à s’essouffler pour au moins trois raisons. La multiplication des types d’attaques peut handicaper la performance globale du SI qui doit repérer dans un répertoire sans cesse élargie, les signatures de ces attaques. Ces signatures justement ne sont d’ailleurs pas toujours reconnues par les systèmes traditionnels. Seconde difficulté. Enfin, les cyberattaques contournent de plus en plus les firewall, qui deviennent alors de véritables lignes Maginot digitales !
Le facteur humain, facteur clé à prendre en compte !
Les voies d’entrée sont nombreuses, mais le facteur de risque le plus élevé…reste le facteur humain.
Et toute la chaîne est concernée, depuis le Top Management jusqu’aux utilisateurs lambda. Quelques exemples :
Les développeurs d’application peuvent mettre en danger la sécurité des systèmes informatiques par des négligences. Et même si les développeurs d’API comme Google qui font en sorte que toutes les connexions à Internet soient désormais cryptées par défaut, tout ne sera pas, à nouveau, sans risque.
Les administrateurs réseaux ont aussi leur rôle à jouer, en mettant en place des VPN limitant l’accès aux données les plus sensibles, en retenant les bons hébergeurs Web ou encore en pilotant qui accède aux données.
Les utilisateurs profanes en entreprise enfin, ont également une part de responsabilité en respectant les consignes de sécurité qui leur sont communiquées : choix de mot de passe robuste, en recourant aux authentifications à double-facteur, en utilisant des softwares sécurisés, en effectuant les mises à jour de sécurité, etc.
Comment alors sensibiliser, former l’ensemble des personnels pour la sécurité informatique devienne le souci de tous les collaborateurs d’une organisation ? Comment faire en sorte de présenter un profil de HRO (Organisation Hautement Fiable en français) ?
L’US Army a entrepris une vaste réorganisation technique de son système d’information au début des années 2010. A ce moment-là, 15 000 réseaux coexistent, 100 000 personnes administrent cette pléthore de réseaux. Autant dire que cette organisation n’était pas sans offrir de nombreux points d’accès à des entreprises malveillantes…
Les efforts consentis ont alors permis de construire un réseau unifié. Certes pas sans risques supplémentaires, mais offrant des bénéfices dépassant de loin les risques pris : mises à jour simplifiées, reconfigurations instantanées, standardisation des défenses, etc.
Mais la solution technologique dans le digital n’est jamais suffisante…et peut même donner le sentiment, fallacieux, que l’on est en sécurité ! Car là-aussi, les failles constatées depuis proviennent essentiellement du facteur humain. Que l’on se souvienne de Saint-Gobain avec le rançongiciel NotPetya : les patchs de sécurité étaient disponibles depuis plusieurs mois ! Bilan : 220 millions de perte !
L’Armée américaine s’est alors rappelé ce que l’Amiral Hyman Rickover, en charge alors du programme de propulsion nucléaire des sous-marins américains, avait mis en place. Il s’agissait d’un protocole en six points qui vise à instaurer une culture de l’excellence au sein de tout le personnel impliqué dans la sûreté des bâtiments marins.
L’intégrité : toutes les personnes, du simple matelot à l’amiral, sont extrêmement sensibilisées au risque lié au non-respect volontaire d’un protocole. Par ailleurs, tout écart, si jamais il en advient, doit être signalé dans les plus brefs délais pour éviter toute dérive.
La maîtrise du sujet : Les personnes en charge doivent connaitre, via des formations robustes, les tenants et les aboutissants des sujets auxquels ils sont confrontés. Cela leur facilite le repérage d’anomalies.
Le respect des procédures : Il doit être total, en toute circonstance. Il peut faire l’objet de test à tout moment de la part de l’autorité de tutelle.
Le travail en binôme : Pour toute opération sensible, deux personnes doivent être présentes…et un matelot peut stopper un amiral en cas de problème !
L’attitude de questionnement : Au moindre détail qui cloche, avoir la capacité de s’interroger sur la raison et investiguer.
Les règles de communication : Elles sont très claires et sans exception. Énonciation limpide du supérieur, répétition orale du subalterne.
Cette grille de lecture appliquée à la cybersécurité permet d’identifier les raisons qui ont permis une brèche dans le système de défense américain. Exemple concret : Un nouvel administrateur réseau installe une mise à jour sans lire le guide d’installation et sans supervision. Il enfreint ainsi trois principes sur les six : maîtrise du sujet, respect des procédures et travail en binôme.
A mesure que le cyberespace s’étend, les risques de cybersécurité croissent. Au point de constituer désormais un enjeu vital pour les organisations. Ces dernières doivent investir dans la technologie ; une course poursuite est engagée avec les pirates que les ordinateurs quantiques, qui permettront de craquer les protocoles RSA actuels, ne vont sûrement pas arrêter.
Mais comme pour tout sujet digital, les organisations doivent également miser sur l’humain pour déjouer les intentions des pirates, en impliquant les collaborateurs, à tous les niveaux.
J’aurai plaisir à vous retrouver le 7 avril prochain.
Je vous invite d’ici là à consulter un article précédent hébergé sur ce blog dédié à la question de la 5G, « Innovation incrémentale ou de rupture » : https://wp.me/p7gTO8-bk8
Je vous invite également à lire les nombreux articles dédiés à la transformation digitale publiés sur le blog du MBA DMB ! http://www.mbadmb.com/
Philippe Le Magueresse
12/03/2019
Références / Sources :
https://medium.com/s/story/cybersecurity-isnt-just-about-hacks-f11c7ad07660
https://www.digitemis.com/2017/02/20/la-cybersecurite-pour-les-nuls/
https://www.silicon.fr/cyberattaque-quelles-sont-les-5-techniques-les-plus-dangereuses-207453.html
https://www.lalsace.fr/actualite/2017/05/13/depuis-10-ans-les-cyberattaques-se-multiplient
http://www.globalsecuritymag.fr/3-raisons-pour-lesquelles-l,20190222,84758.html
https://webcreatid.com/mineurs-crypto-monnaie-exploitent-sites-web/
https://www.techrepublic.com/article/forresters-top-6-cybersecurity-predictions-for-2018/
https://www2.deloitte.com/fr/fr/pages/risque-compliance-et-controle-interne/articles/cyberattaques-chiffrer-les-impacts.html