Attaques répétées visant les grands groupes comme les ETI et PME. Vols massifs de données de particuliers. Professionnalisation du cybercrime. Escalade de la cyberguerre…La cybersécurité est devenue un enjeu incontournable à tous les niveaux. Mais entre manque d’intérêt et image de science froide, il peine à émerger dans le débat public. Cours de rattrapage avec Sabrina Feddal, ingénieure et consultante spécialiste en cybersécurité.

Les chiffres ont de quoi donner le tournis. 9 français sur 10 ont déjà été victimes de cybermalveillance. En 2020, près de la moitié des entreprises françaises ont subi une cyberattaque. Parmi celles ayant versé une rançon, un quart appartient au secteur Technologies, Médias et Communication. Et le montant médian des rançons versées s’élève à 10 818 euros, d’après le rapport annuel de l’assureur Hiscox. Pourtant entre mauvais réflexes, manque d’intérêt et d’éducation aux enjeux, la cybersécurité continue de pâtir de son image de science froide, réservée aux geeks et aux cadres de l’informatique. Une dynamique que déplore Sabrina Feddal (@Probe_IT), ingénieure et consultante indépendante en cybersécurité. Elle décrypte pour nous les évolutions et les grandes tendances cybersécurité pour 2022 et donne des pistes pour intégrer l’hygiène numérique à notre vie quotidienne.

La crise du COVID19 a placé la cybersécurité sur le devant la scène. Quelles vulnérabilités ont été exploitées ?

SABRINA FEDDAL : La pandémie a effectivement amplifié la cybercriminalité. Le recours précipité au télétravail a conduit à une augmentation de la surface d’exposition aux menaces. De nouvelles portes ont été ouvertes sur les systèmes d’information. Les cybercriminels ont pu détecter et exploiter ces failles à des fins malveillantes, par exemple pour voler massivement des données. Les campagnes de phishing ont également explosé. Avec par exemple des vagues d’emails frauduleux qui ont surfé sur le contexte d’urgence sanitaire en proposant des contrefaçons de produits (masque, gel) ou en liant vers des sites malveillants. Ces campagnes reposent sur le phénomène d’ingénierie sociale, c’est-à-dire des opérations de leurre via email ou sms. Il s’agit de piéger la vigilance et d’exploiter des failles humaines plutôt que techniques.

En septembre dernier, l’AP-HP a été victime d’un vol massif de données de santé qui concerne 1,4 millions de français. Quelles sont les conséquences possibles dans la vie des personnes concernées ?

S. F. : Le premier élément à avoir en tête est que toute donnée peut être monnayée. Dans le cas de l’AP-HP, il s’agit principalement de données à caractère personnel qui permettent d’identifier un individu : nom, prénom, date et lieu de naissance, genre et, plus grave, numéro de sécurité sociale. Il s’agit là d’une donnée très sensible. En effet, ce type de vols peut avoir une myriade de conséquences en cascade. Et chacune a une probabilité d’advenir et un impact sur la vie privée plus ou moins forts. Obtenir le numéro de sécurité sociale d’un individu, ainsi que diverses informations permettant de l’identifier, facilite considérablement le travail d’un cyberattaquant. Il possède une partie du puzzle, et peut recouper avec d’autres données disponibles sur des places de marché en ligne. Il devient alors possible d’usurper une identité, par exemple sur un service public en ligne. Ou encore, au pire des cas, ouvrir un compte en banque à la place de l’individu concerné.

Quelles sont les leçons à tirer de cette période à haut risque ?

S. F. : Cette période illustre le manque de maturité générale vis-à-vis du risque cyber. Il y a donc un gros travail d’information et d’acculturation à mener. Il faudrait généraliser la prise de conscience des méthodes des attaquants, notamment celles qui s’appuient sur les vulnérabilités humaines. Faire comprendre que l’on ne doit jamais cliquer sur un lien si l’expéditeur est inconnu. Ou bien sauvegarder régulièrement son poste de travail. Cette acculturation à l’hygiène numérique doit concerner les entreprises comme les citoyens. Et s’appuyer sur deux piliers : maîtriser les risques et augmenter les niveaux de résilience.

Quel panorama dressez-vous des enjeux cyber pour 2022 ?

S. F. : Sur le plan des technologies, l’un des gros enjeu cyber est de perfectionner les outils de machine-learning qui servent à détecter et anticiper les attaques en temps réel. Cette technologie a le potentiel d’augmenter le niveau de protection technique des entreprises. Je vois aussi un enjeu de sécurité très important lié à l’augmentation du recours aux clouds. Ces services de stockage de données en ligne ne sont pas tous domiciliés en Europe, ils peuvent constituer des portes d’entrées pour les cyber-attaquants.

Le déploiement de la 5G constitue également un facteur de risque important. Cette technologie va permettre une explosion des usages numériques grâce à l’augmentation sans précédent des capacités des réseaux. Le nombre d’équipements connectés va exploser, par exemple pour les nouveaux usages envisagés au cœur des Smart Cities. Cette interconnexion accrue augmente de fait la surface d’exposition et les vulnérabilités exploitables par les cyberattaquants.

La filière du cybercrime s’est largement professionnalisée. Les groupes d’attaquants ont, en quelque sorte, organisé et divisé le travail.

Sabrina Feddal

Y a-t-il des types de rançongiciels et d’attaquants qui émergent aujourd’hui ?

S. F. : Le secteur des rançongiciels est devenu très lucratif ! Il n’y a pas d’innovation en matière de procédé, toutefois la filière du cybercrime s’est largement professionnalisée. Les groupes d’attaquants ont, en quelque sorte, organisé et divisé le travail. Certains créent le cœur du logiciel malveillant quand d’autres perpétuent les attaques en tant qu’affiliés. D’autres se chargent de gérer l’hébergement du site où seront publiées les données volées si la rançon n’est pas payée, d’autres encore blanchissent l’argent payé en cryptomonnaie (bitcoin). La rançon est ensuite partagée, selon un ratio 30-70% par exemple.

Le groupe REvil/Sodinoki, affilié à la Russie, fonctionne sur ce principe et a perpétré 230 attaques en 2020. Très actif, ce gang a demandé jusqu’à 70 millions de dollars pour que les victimes puissent déchiffrer leurs données rendues illisibles. Leur dernier fait d’arme remonte à juillet 2021. Depuis, le gang de ransomware fait face à une pression croissante de la part des forces de l’ordre et de la Maison Blanche qui ont averti que les États-Unis prendraient eux-mêmes des mesures si la Russie n’agissait pas contre les acteurs menaçants à leurs frontières. Les serveurs de ce groupe présents dans le darknet ont été subitement fermés, mais ils se sont soudainement rallumés début septembre après une absence de près de deux mois.

De plus en plus d’institutions, ministères ont recours à des hackers éthiques ou simulent des cyberattaques pour protéger leurs systèmes. Devrait-on généraliser ces pratiques à toutes les entreprises ?

S. F. : Effectivement, on parle de bug bounty lorsqu’une société ouvre ses systèmes d’information à des hackers qui sont recrutés pour découvrir des vulnérabilités potentielles. Les sociétés peuvent également avoir recours à des sociétés spécialisées pour réaliser des tests d’intrusion ou pen-test. Cela leur permet de disposer d’éléments factuels pour renforcer la sécurité de leurs solutions et de leurs produits. Toutefois, ces pratiques posent la question de l’éthique : les hackers sont engagés sur la base de contrats incluant des clauses strictes de confidentialité, il faut s’assurer que les vulnérabilités découvertes ne fassent pas l’objet d’une revente.
Les simulations de cyberattaques peuvent également rentrer dans le cadre de la préparation à la gestion de crise, des plans de reprises et de continuation de l’activité. Cela concerne surtout des grosses structures qui ont des objectifs stratégiques et qui doivent rétablir la situation le plus rapidement possible. Idéalement, il faudrait généraliser ce type d’exercice, toutefois leur coût matériel et de mise en œuvre doivent être adaptés aux budgets des entreprises pour trouver le succès.

Sur le plan géopolitique international, quels sont les enjeux cyber pour 2022 ?

S. F. : Le spectre de la guerre s’est déporté dans le cyberespace. Chaque pays est doté d’une arme offensive et défensive, qu’il utilise pour défendre ses intérêts en fonction de la géopolitique du monde réel. Les attaquants affiliés à des groupes nationaux cherchent à déstabiliser les capacités régaliennes des états. Ils visent leurs intérêts vitaux : santé, transport, énergie…En 2007, l’Estonie a subi une attaque qui a paralysé son système bancaire. Elle a été attribuée à la Russie. En 2019, c’est le système électrique vénézuélien qui a été touché. Le président Maduro a dénoncé des attaques venant du Chili et de la Colombie, ainsi que l’aide du gouvernement américain. On se souvient aussi du virus Stuxnet qui visait les infrastructures nucléaires iraniennes. La conception de ce logiciel malware a été attribuée à Israël et aux États-Unis. Plus récemment, le Colonial Pipeline qui court le long de certains états de l’est américain a été touché par une cyberattaque. Je pense aussi à l’affaire récente d’espionnage de haut niveau des laboratoires de recherche français par des étudiants venus de Chine.

Globalement, les affrontements géopolitiques dans le cyberespace sont la prolongation des affrontements dans le monde réel. Toutes ces affaires créent un climat général de tension et les états renforcent le recrutement de cyber combattants – la France en annonce 1900 recrutements d’ici fin 2025. Tout ceci donne l’impression d’assister à une forme d’escalade dans le cyberespace. Toutefois des tentatives de désescalade commencent à voir le jour tel qu’on a vu en juin dernier : Alexander Bortnikov, le directeur de la FSB, l’agence de sécurité nationale russe, a annoncé, lors d’une conférence de presse à Moscou, que ses services collaboreraient avec les autorités américaines pour identifier les cybercriminels et les arrêter.

Comment réagir face aux attaques répétées de pays plus ou moins hostiles ?

S. F. : On doit, avant tout, viser un objectif de résilience collective des systèmes essentiels : hôpitaux, infrastructures industrielles et énergétiques. Car, s’ils venaient à être défaillants, cela aurait un impact majeur sur l’activité réelle des pays. Les systèmes sont tous très interdépendants sur le plan des systèmes d’information, alors que l’organisation, à l’échelle européenne, demeure en silo.

Toutefois, on voit se développer à l’échelle européenne un renforcement de la politique en matière de cyberdéfense. Mais il est impossible d’assurer une vraie cyber-résilience sans une réelle souveraineté numérique. La maitrise des technologies et de leur sécurité est un fondement permettant d’assurer que les produits commercialisés sur le marché européen soient livrés avec un niveau standard de sécurité. Cela implique que la conception et la fabrication des produits tiennent compte des objectifs de sécurité fixé par l’Europe. La présidente de la Commission européenne a récemment annoncé les travaux sur un futur European Cyber Act visant à créer des normes et standards sur les produits afin de soutenir cet objectif de résilience.

Enfin une amélioration de la collaboration entre les différents acteurs de l’écosystème – entreprises, états, citoyens, agences de régulation – permettra de renforcer les réactions coordonnées et efficientes face à l’augmentation des attaques.