Attaques cyber, où est le problème ?

14/10/2020 - 7 min. de lecture

Attaques cyber, où est le problème ? - Cercle K2

Cercle K2 neither approves or disapproves of the opinions expressed in the articles. Their authors are exclusively responsible for their content.

Le Général (2s) Jean-François Bacherot est conseil en management de la Sûreté en entreprise.

---

Pour être efficace, la cyber sécurité doit intégrer le domaine de la sûreté qui, elle-même, ne peut être que globale et pluridisciplinaire, tout particulièrement dans nos entreprises.

Depuis maintenant plusieurs décennies, les attaques cyber constituent un véritable fléau qui n’épargne personne. Il n’y a pas si longtemps, il ne visait que notre patrimoine informationnel. Aujourd’hui, au fur et à mesure que notre civilisation se numérise, il atteint nos objets, nos infrastructures et, plus récemment, nos démocraties au travers de nos votes gérés par l’électronique. Demain, sans doute, notre santé sera aussi exposée. Il est donc temps de traiter ce risque à la hauteur de l’enjeu. Or, à ce jour, force est de constater que la menace parvient encore trop souvent à nous surprendre. Il apparaît donc nécessaire de changer de paradigme et, à tout le moins, de sortir enfin de la logique exclusivement technologique.

Au-delà de l’émotion que suscite leur impact désastreux, sachons relever les caractéristiques déterminantes des attaques cyber. En premier lieu, les intrusions sont détectées tardivement. Aujourd’hui, le délai de détection d’une attaque se mesure encore en mois[1]. Par ailleurs, la sophistication des attaques ne cesse de croître car la créativité qui les conçoit est intarissable. Ainsi, de nos jours, la découverte de programmes installés furtivement et dont on ne sait trop quel dessein ils vont servir suscite l’inquiétude. En outre, lorsqu’elle est détectée, l’intrusion reste difficilement traçable. Bien sûr, les soupçons sont parfois lourds[2] mais la preuve formelle et irréfutable, indispensable pour pointer du doigt l’agresseur devant la communauté internationale, reste quasiment impossible à produire. Le malveillant bénéficie donc trop souvent de l’impunité. Notons enfin que les virus échappent parfois au contrôle de leurs détenteurs ou utilisateurs[3] avec, à l’échelle planétaire, des conséquences dramatiques qui dépassent les intentions des pirates eux-mêmes.

Mais c’est surtout la dimension humaine qui constitue la caractéristique principale et pourtant la plus négligée de l’attaque cyber. La malveillance reste le propre de la nature humaine et les profils apparaissent très diversifiés : individus ou groupes de hackers, organisations criminelles ou terroristes et, ne soyons pas naïfs, États disposant de moyens extrêmement puissants. Notons d’ailleurs que ces acteurs peuvent se combiner ou s’allier lorsque leurs intérêts convergent. Ainsi, aujourd’hui, des États mandatent des groupes de hackers pour servir leurs objectifs politiques ou géostratégiques. Notons aussi que les mobiles malveillants couvrent tout le spectre de ce que le côté obscur de la nature humaine est capable de produire : ego, cupidité, frustration, idéologie, etc. Enfin, au final, l’ampleur des dommages occasionnés peut être exorbitante et parfois rédhibitoire pour l’intégrité d’une organisation. À ce jour, selon des évaluations convergentes, le coût total du virus Wannacry en 2017 aurait dépassé le milliard de dollars. En France, le coût moyen d’une attaque cyber serait de 8.6 millions d’Euros, en augmentation d’année en année[4].

À l’autre extrémité de l’attaque cyber se trouve un autre humain et c’est sa vulnérabilité qui est visée. Ainsi, le virus Stuxnet, qui compte encore parmi les plus sophistiqués à ce jour, n’aurait probablement jamais pu atteindre le programme nucléaire iranien sans la négligence d’un technicien curieux qui aurait introduit dans son système d’information la clé USB mise opportunément à sa portée. De même, lorsque des administrateurs de systèmes d’information, professionnels censés montrer l’exemple, s’obstinent par paresse à n’utiliser que "admin comme mot de passe, le problème n’est pas celui du "mur de feu" mais celui du management. Enfin, lorsqu’un responsable politique met un point d’honneur à ne pas utiliser le téléphone sécurisé mis à sa disposition, le problème n’est pas cryptographique mais culturel.

Face à de telles caractéristiques et de tels enjeux, la prévention la plus large s’impose donc, bien au-delà de la simple réaction. Il est d’ailleurs à noter que les prestataires de Sécurité de systèmes d’information (SSI) finissent par se ranger à une approche élargie. Ainsi, le renseignement cyber s’est tardivement mais sûrement intégré dans leurs propositions de services. De même, l’élargissement de la cyber sécurité aux systèmes industriels a fini par répondre, là aussi tardivement, à une numérisation croissante de la production industrielle. Or, une prévention efficace ne peut être basée que sur l’anticipation, en l’occurrence sur le facteur humain et sur son contexte. Ainsi, l’impact des attaques cyber suite à la pandémie Covid 19 était parfaitement prévisible compte tenu du recours massif au télétravail et aux équipements personnels[5] mal protégés, voire pas du tout. Aussi, une initiation précoce à la sécurité informatique devient inévitable, non seulement dans le cadre de toute formation professionnelle, mais aussi dès l’école car les futurs citoyens seront tous, tôt ou tard mais sans aucun doute, exposés au risque[6]. En outre, parce que tous nos processus essentiels reposent désormais sur le numérique, il est aujourd’hui inconcevable que le risque cyber ne soit pas systématiquement examiné dès la conception de tout système, à la hauteur des enjeux et du degré de numérisation. Or, de nos jours encore, certains systèmes, pourtant totalement numériques, sont conçus sans aucune considération du risque cyber qu’ils vont devoir assurément affronter. Enfin, face à la créativité de la malveillance, la sûreté doit emprunter une approche globale et "connaître son ennemi[7]". Pour cela, il est nécessaire d’adopter du recul et de recourir à des experts variés et à des méthodes innovantes[8].

Mais c’est sans doute dans nos entreprises que des révolutions s’imposent. La première d’entre elles concerne indéniablement la SSI qui doit se doter du pouvoir dont elle a besoin pour être efficace. Parce que nul ne peut être à la fois juge et partie, la SSI qui contrôle, arbitre et parfois censure, ne peut plus rester rattachée à la Direction des systèmes d’information (DSI) pour laquelle la seule production est la priorité logique et légitime. Un tel rattachement constitue d’ailleurs une hérésie en matière de qualité, de management et, tout simplement, de bon sens. De plus, les enjeux de la cyber sécurité, d’une part, et sa transversalité, d’autre part, justifient désormais de rapprocher la SSI du sommet de l’organigramme. Ainsi, la SSI rejoint naturellement le domaine de la sûreté dont l’objet unique est la prévention sinon la réduction des effets de la malveillance, interne comme externe, contre les intérêts et le patrimoine de l’entreprise. Opérant de la façon la plus transverse avec toutes les branches de son entreprise (IE, gestion de crise, DRH, R&D, marketing, production, etc.), le (ou la[9]) responsable de la sûreté s’impose donc, non pas comme un technicien mais comme un généraliste "honnête ayant des clartés de tout" et, bien entendu, de SSI. Il doit être capable d’intégrer les enjeux afin d’adapter une sûreté à la mesure de l’entreprise dans un souci d’efficience. Or, quels que soient la taille, le chiffre d’affaires ou le type d’activité, toutes les entreprises sont susceptibles d’être visées, parfois par simple opportunité. Le responsable sûreté doit donc se positionner au plus près du dirigeant et, au moins, assister aux instances de gouvernance. Quant au dirigeant de toute entreprise, il doit s’emparer aujourd’hui de la sûreté s’il ne veut plus subir. Et s’il en est dissuadé par son coût, qu’il considère alors celui d’une attaque cyber.

L’efficacité contre une menace repose avant tout sur la prévention. En l’occurrence, la lutte contre le fléau des attaques cyber doit englober, dans son organisation et son action, les mobiles, les objectifs et les modes d’action de l’adversaire dans une approche stratégique et pluridisciplinaire et non plus exclusivement technique. Ainsi, aujourd’hui, dissocier fraude et malveillance, sûreté physique et sécurité informatique est insensé et surtout dangereux. L’attaque cyber n’est que le mode d’action "4.0" de la malveillance, aussi vieille que le genre humain, et non l’avènement du règne de la machine. Ce constat n’enlève rien à sa dangerosité, mais mal nommer une menace, n’est-ce pas ajouter aux malheurs de ce monde, de plus en plus numérisé[10] ?

Général (2s) Jean-François Bacherot

---

[1] Derniers rapports annuels M-Trends de Fire Eye/Mandiant.

[2] Les hackers sont parfois trahis par leur propre arrogance.

[3] C’est sans doute le cas pour le virus Wannacry qui a envahi la planète en quelques heures, exploitant une faille de sécurité (EternalBlue) utilisée par la NSA mais dérobée par un groupe de hackers "Shadow Brokers".

[4] Étude Accenture 2019.

[5] Ou "shadow IT".

[6] Si le facteur humain constitue une vulnérabilité, il peut aussi, s'il est sensibilisé, se révéler un atout : récemment, un salarié de Tesla, sollicité par un hacker, aurait décliné une offre d’un million de dollars.

[7] Conformément aux préceptes de "L'art de la guerre" de Sun Tzu qui retrouvent ici toute leur pertinence.

[8] Criminologie, géostratégie, intelligence économique, renseignement militaire et policier, pour ce qui concerne les expertises, recherche systématique et imaginative de la faille ("Red team"), pour ce qui concerne les méthodes.

[9] Car le métier gagnerait grandement à se féminiser pour les raisons évoquées plus haut.

[10] Pour paraphraser Brice Parrain cité par Albert Camus: "Mal nommer un objet, c’est ajouter au malheur de ce monde".

14/10/2020

Last publications