Actualités, Espace, défense et cyber quelle souveraineté ? (N°41), N°41

Cybersécurité : enjeux, protagonistes et résilience, Bruno Charrat*

Les systèmes d’information sont désormais des cibles de choix. Cybersécurité et cyberrésilience deviennent des enjeux cruciaux face aux nouvelles menaces dans l’espace numérique et à la professionnalisation des attaquants.

*Bruno Charrat est responsable du programme Sécurité au CEA.

La cybersécurité, terme encore peu connu il y a une dizaine d’années, est désormais un enjeu partout dans le monde. La France a présenté une stratégie nationale pour la cybersécurité en 2021 avec un grand programme de recherche (PEPR) visant à répondre à dix défis de recherche fondamentale au service de la filière. Celle des États-Unis a été présentée en mars 2023[i], et en avril dernier la Commission européenne a présenté de nouvelles initiatives, dont celle de créer un bouclier cyber[ii]. Selon Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) de 2014 à 2022, intervenant lors du lancement du Grenoble Alpes Cybersecurity Institute en novembre 2018 : « La transition numérique est un eldorado pour tous les malfaisants de la Terre », l’enjeu est donc partout le même, protéger la société numérique de ses attaquants, qui « poursuivent l’amélioration de leurs capacités, […] avec une convergence accrue de l’outillage des attaquants, […] le ciblage d’équipements périphériques ». Fin 2022, Interpol indiquait même que la criminalité financière et la cyber criminalité seraient désormais les principales menaces dans le monde. L’ANSSI (l’autorité nationale en France, créée en 2009, après avoir été annoncée dans le Livre blanc de la défense et de la sécurité nationale de 2008) décrit la cybersécurité comme « l’état recherché pour un système d’information lui permettant de résister à des événements issus du cyberespace susceptibles de compromettre la disponibilité, l’intégrité ou la confidentialité des données stockées, traitées ou transmises et des services connexes que ces systèmes offrent ou qu’ils rendent accessibles ». Un système d’information est un ensemble organisé de ressources qui permet de collecter, stocker, traiter et distribuer de l’information. Ce système sociotechnique comprend un sous-système social (structure organisationnelle, données, personnels) et un sous-système technique, composé des technologies (matériels, logiciels). Le terme « systèmes d’information » peut donc aussi bien s’appliquer aux objets connectés de la vie quotidienne qu’aux infrastructures critiques (qui permettent de produire les biens et d’assurer les services essentiels à la nation) ou encore aux nouveaux services numériques qui assurent le fonctionnement et la résilience de notre société (services financiers, logistique…).

Face à l’enjeu de cybersécurité, préparation et anticipation sont nécessaires

Le conflit entre la Russie et Ukraine, démarré en 2022, souligne combien ces systèmes d’information sont désormais une cible de choix en temps de guerre. Avant même le démarrage du conflit, la Russie a « pilonné » l’Ukraine de frappes numériques; la plus visible de près de quatre cents cyberattaques lancées par, selon Microsoft, six groupes de pirates informatiques parrainés par la Russie, a paralysé le réseau de communications satellitaires Ka-Sat. Même en l’absence de conflits, ces systèmes d’information sont la cible d’une grande variété d’attaquants, généralement pour des motivations financières. Le temps des attaques ludiques, effectuées par des adolescents désœuvrés (script-kiddies), comme dans le film War Games de 1983, est révolu.

LES ATTAQUANTS N’ONT PAS TOUS LES MÊMES MOTIVATIONS

L’ANSSI essaie de distinguer des types attaquants en fonction de leurs motivations. Au-delà des script-kiddies mentionnés, elle souligne le risque créé par des employés mécontents et souhaitant se venger. La Maison-Blanche en a été victime en 2022[iii] lorsqu’un de ses anciens employés avait détourné un serveur. Et c’est sur des employés mécontents que le groupe Lapsus$ (groupe de cyberpirates) semble s’être appuyé pour efficacement voler des données de multinationales comme Nvidia, Samsung, Microsoft et Okta.

Un troisième groupe recouvre les personnes attaquant les systèmes d’information par conviction idéologique. Ces « hacktivistes » peuvent alors être désignés de cyberpatriotes ou de cyberterroristes, selon le camp pour lequel ils agissent. Dès le début du conflit Russo-Ukrainien, le vice-Premier ministre ukrainien a fait appel aux informaticiens du monde entier pour constituer une IT Army, une armée informatique, en charge de contrer les cyberattaques russes. Certains experts en France ont prévenu les autorités ukrainiennes sur la facilité à pirater les caméras de la police de Kiev. Même démarche du côté des Russes, dont plusieurs groupes d’hacktivistes comme Killnet[iv] sont recrutés et renforcés pour bloquer les sites internet de soutiens de l’Ukraine.

Les systèmes d’information essentiels au fonctionnement d’infrastructures critiques sont désormais une cible de choix en temps de guerre.

Mais pour beaucoup de pirates la motivation est lucrative : cybermercenaires, officines en charge d’actions de déstabilisation, groupes cybercriminels, ainsi que des experts, qui leur développent des outils pour lesquels ils cèdent ensuite des licences à des affiliés. Ces groupes cybercriminels sont structurés comme de véritables entreprises, parfois ironiquement appelées licornes. En cela, il est temps de changer le regard sur cette cybercriminalité et de remiser l’image du pirate informatique, solitaire et vêtu d’un sweat à capuche, comme on continue de la représenter quasi systématiquement dans les médias. La cybercriminalité est devenue un secteur économique qui causerait à la société des dommages qui se chiffrent en milliers de milliards de dollars. Un véritable écosystème criminel existe, avec des acteurs globaux et une chaîne de valeurs.

Ces groupes cybercriminels franchisent constamment de nouveaux niveaux de professionnalisation et d’innovation. Certains ont même la surface financière pour acheter des vulnérabilités dans les logiciels, connues sous la désignation de zero day. Comme le soulignait l’expert Gérôme Billois lors du Panocrim 2022 du Clusif, certains de ces groupes sont même soumis – comme leurs cibles – à un vrai problème d’accès aux ressources et aux compétences, les conduisant à faire du marketing, à donner des cours pour expliquer comment gagner de l’argent avec des botnets, utilisent de faux centres d’appels pour inciter les victimes à télécharger des logiciels malveillants ou même, dans un cas extrême, à créer une entreprise légitime de test de pénétration pour recruter des spécialistes en cybersécurité[v].

Même en l’absence de conflits, les systèmes d’information sont la cible d’une grande variété d’attaquants, généralement pour des motivations financières.

Le dernier groupe, enfin, rassemble les acteurs étatiques. Le cyberespace est en effet devenu un champ de conflictualité entre nations, où se conduisent des actions d’espionnage et de déstabilisation. En 2010, la destruction de plusieurs centaines de centrifugeuses par le ver informatique Stuxnet a sévèrement perturbé le programme nucléaire iranien[vi]. La déstabilisation du logiciel SolarWinds par altération de son code source, attribuée à la Russie par les États-Unis, a permis la conduite d’actions d’espionnage aux États-Unis et dans vingt-quatre pays. Face à un cyber espace devenu un lieu de conflictualités, la France a lancé en 2018, lors du Forum de Paris sur la paix, l’Appel de Paris pour la confiance et la sécurité dans le cyberespace. Cet appel est devenu le cadre multiacteurs de référence pour promouvoir les principes fondamentaux de sécurisation du cyberespace. Il est désormais soutenu par plus de 1200 acteurs, dont 80 États, plus de 700 entreprises et plus de 380 organisations de la société civile.

LA DÉFENSE S’ORGANISE

Pour se défendre face à ces cybermenaces, les institutions, les entreprises et les citoyens doivent structurer leur cyberrésilience autour de trois composantes essentielles :

  • Des personnels correctement formés et outillés, capables d’appréhender les situations et d’agir en cas de cyber attaques;
  • Des processus opérationnels, comme celui proposé par le NIST (National Institute of Standards Tecnology), permettant de structurer la résilience des systèmes d’information dans le temps;
  • Des technologies destinées à protéger les systèmes d’information des attaques connues et à détecter les événements malveillants issus du cyberespace.

Les salons internationaux offrent l’occasion de découvrir les dernières innovations des industriels du secteur en réponse aux nouveaux risques et menaces. Lors de l’édition 2023 de la conférence RSA, ChatGPT a été mentionné dans pratiquement chaque intervention. Ce nouvel outil à base d’intelligence artificielle inspire aux industriels à la fois des craintes et de grands espoirs sur la possibilité de faire émerger de nouveaux outils de cyberdéfense. Pour s’introduire dans un système d’information, les pirates informatiques peuvent essayer de casser avec l’aide d’employés mécontents ou d’outils technologiques la sécurité en place. L’autre solution est d’exploiter les vulnérabilités des sous-système techniques (matériels, logiciels) ou sociaux (données, processus, personnel). Les vulnérabilités créés par les utilisateurs sont exploitées dans de nombreuses attaques, comme le phishing, ou hameçonnage, ou encore l’« arnaque au président » (le fraudeur contacte le service comptable d’une entreprise cible en se faisant passer pour le président de la société mère ou du groupe).

La cybercriminalité est devenue un secteur économique qui causerait à la société des dommages qui se chiffrent en milliers de milliards de dollars.

Les nouvelles technologies (à base d’IA) permettent de mener des attaques plus dures à détecter; par exemple des messages de phishing mieux ciblés par l’analyse des réseaux sociaux de la cible. Face à ce nouveau risque, la NSA et la CIA ont rendu obligatoires sur les postes de travail

Ce système sociotechnique comprend un sous-système social (structure organisationnelle, données, personnels) et un sous-système technique, composé des technologies (matériels, logiciels).

Les applications de blocage de publicité[vii]. D’autres technologies permettent des attaques plus abusives, par exemple par l’utilisation de fausses voix ou de fausses vidéos générées par IA. Les attaquants comprennent la potentielle valeur des nouvelles technologies, conduisant certains à lancer des concours pour stimuler l’innovation.

TOUT EST-IL PERDU?

Lorsqu’on parle des capacités et de la créativité des attaquants, le discours peut rapidement devenir anxiogène. Pourtant le conflit Russo-Ukrainien redonne de l’espoir. Le cyber Armageddon tant craint n’a finalement pas eu lieu, conduisant les belligérants à bombarder certaines cibles stratégiques plutôt que les bloquer informatiquement. La bonne prise en compte du risque cyber et la collaboration public-privé ont en effet permis de réduire l’impact des attaques. Face à l’enjeu de cybersécurité, préparation et anticipation sont nécessaires. Le système d’information va être attaqué et probablement il tombera, mais on s’organise du mieux possible pour pouvoir se relever. Cette nouvelle culture de la cyberrésilience est désormais un des grands enjeux, selon le World Economic Forum.

Pour se défendre face aux cybermenaces, les institutions, les entreprises et les citoyens doivent structurer leur cyberrésilience.

Et cette cyberrésilience doit s’organiser par de la créativité et de l’innovation, comme l’a souligné le chef du Commandement de la cyberdéfense (Comcyber), le général Ayméric Bonnemaison[viii]. La directive de la Commission européenne sur la résilience des entités critiques (REC), avec un champ qui va bien au-delà de la stricte cybermenace, devrait aider à cette évolution des pensées et faire émerger de nombreux défis scientifiques et technologiques. Des perspectives stimulantes pour la communauté de recherche en cybersécurité, qui, chaque jour, s’implique aux côtés des acteurs industriels et étatiques pour contribuer à l’essor d’une société numérique avec des risques réduits pour les institutions, les entreprises et les citoyens.

[i] https://www.whitehouse.gov/briefing-room/statements-releases/2023/03/02/fact-sheet-biden-harris-administration-announces-national-cybersecurity-strategy/

[ii] https://www.consilium.europa.eu/fr/policies/cybersecurity/

[iii] https://www.zataz.com/la-maison-blanche-piratee-par-un-ancien-informaticien/#respond

[iv] https://www.zataz.com/legion-la-cyber-armee-russe-recrute/#respond

[v] https://www.wsj.com/articles/ransomware-gang-masquerades-as-real-company-to-recruit-tech-talent-11634819400

[vi] https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html?_r=1%27amp;pagewanted=all

[vii] https://www.vice.com/en/article/93ypke/the-nsa-and-cia-use-ad-blockers-because-online-advertising-is-so-dangerous

[viii] « J’arrive à contenir, j’arrive à me réorganiser, j’arrive à utiliser d’autres systèmes pour rebondir, le tout avec une créativité et une innovation importantes » (https://www.defense.gouv.fr/actualites/larme-cyber-ukraine-trois-enseignements-a-retenir).

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur la façon dont les données de vos commentaires sont traitées.