Pi­rates à l’abor­dage

La nou­velle me­nace du XXIe siècle

Le Nouvel Economiste - - La Une - PA­TRICK ARNOUX

On peut y perdre des mil­lions, et sa ré­pu­ta­tion. Une cy­be­rat­taque peut faire des dé­gâts consi­dé­rables grâce à un ar­se­nal au coût mo­dique et très ré­pan­du. Par de mul­tiples moyens : mails mal­veillants, phi­shing, ran­som­ware, blo­cage des ser­vices grâce à la sa­tu­ra­tion des or­di­na­teurs. Toutes ces armes me­nacent un ac­tif de plus en plus stra­té­gique, les don­nées. Or les portes d’en­trée pour les at­teindre se sont mul­ti­pliées : ob­jets connec­tés, mo­biles, ré­seaux, cloud, wifi, etc. Et les pi­rates s’en­gouffrent avec vir­tuo­si­té et fra­cas dans ces brèches quand les pare-feu clas­siques font fi­gure de ligne Ma­gi­not. Ce qui im­pose une sin­gu­lière et nou­velle culture de la pré­ven­tion. Et de la ré­si­lience, pour pré­pa­rer la conti­nui­té de l’ac­ti­vi­té.

De­puis quelques an­nées, les en­tre­prises sont de­ve­nues deux fois plus vul­né­rables aux cy­be­rat­taques tan­dis que les ha­ckers de­ve­naient si­mul­ta­né­ment dix fois plus dan­ge­reux

PC no­mades,, ta­blettes,, smart­phones… Épa­tant ins­tru­ments, ils per­mettent aux di­ri­geants, ma­na­gers et cadre de tra­vailler en tout lieu en ayant ac­cès en per­ma­nence au sys­tème d’in­for­ma­tion de leur en­tre­prise. Belles op­por­tu­ni­tés pour ces res­pon­sables, elles le sont aus­si pour les cy­ber­pi­rates, tant ces “portes d’en­trée” sur les don­nées sen­sibles mul­ti­plient risques et me­naces. Qui au­rait pu ima­gi­ner que ce vi­déo­pro­jec­teur es­pion­nait pour un concur­rent ! So­phis­ti­qué, connec­té, il avait été trans­for­mé en com­mode auxi­liaire de pi­ra­tage pour re­trans­mettre les réunions stra­té­giques. Elles au­raient pu por­ter par exemple sur la tra­gique igno­rance de l’ex­po­si­tion aux risques des en­tre­prises, les dom­mages fi­nan­ciers, la ré­pu­ta­tion ter­nie. Ils se sont al­lé­gre­ment mul­ti­pliés avec la com­mu­ni­ca­tion sans fil, le cloud (sto­ckage out­sour­cé des don­nées et lo­gi­ciels), les ob­jets connec­tés. S’ajou­tant aux plus clas­siques – mail, ap­pli­ca­tion web, ré­seaux etc. Pas éton­nant que la cy­ber­sé­cu­ri­té s’im­pose vio­lem­ment sur l’agen­da des di­ri­geants. De­puis quelques an­nées, les en­tre­prises sont de­ve­nues deux fois plus vul­né­rables aux cy­be­rat­taques tan­dis que les ha­ckers de­ve­naient si­mul­ta­né­ment dix fois plus dan­ge­reux. Or­ga­ni­sa­tions de­ve­nues si fra­giles.

Les don­nées, ac­tif cru­cial

L’Internet des ob­jets ouvre de­puis peu de vé­ri­tables bou­le­vards aux as­saillants. Ces cen­taines d’ob­jets connec­tés (ca­mé­ras, im­pri­mantes, scan­ners, rou­teurs, écrans vi­déo, ther­mo­stats, box Wifi) ac­ces­sibles à dis­tance, par­fois sans mots de passe, rendent les or­ga­ni­sa­tions plus vul­né­rables que ja­mais. Les vec­teurs de me­nace s’ad­di­tionnent, comme au­tant d’angles morts des sys­tèmes d’in­for­ma­tion. Im­passes sur la sé­cu­ri­té. Or dans le même temps, la dé­ma­té­ria­li­sa­tion des in­for­ma­tions trans­forme les don­nées vi­tales – ces fa­meuses big da­ta dont les vo­lumes ont ex­plo­sé en pé­ta­oc­tets – en res­sources stra­té­giques. Les don­nées nu­mé­riques sont de­ve­nues l’ac­tif cru­cial de l’en­tre­prise car elles vé­hi­culent des in­for­ma­tions de grande va­leur, dont cer­taines hau­te­ment confi­den­tielles. Bref leur sto­ckage, leur pro­tec­tion et leur va­lo­ri­sa­tion se sont his­sés au rang d’en­jeux stra­té­giques s’in­vi­tant au Co­mex. Elles mé­ri­te­raient de for­mi­dables cof­fres­forts, elles sont abri­tées dans des struc­tures aux mille portes ! Les clas­siques pare-feu font par­fois fi­gure de lignes Ma­gi­not. Car pen­dant que se mul­ti­plient à l’en­vi les pos­si­bi­li­tés d’in­tru­sion, la va­rié­té et le nombre des at­ta­quants, for­mi­da­ble­ment im­pres­sion­nants, foi­son­ne­ment. L’en­ne­mi de­vient mul­ti­forme, du bri­gand ama­teur qui s’est pro­cu­ré sur le “dark web” en lo­gi­ciel libre, un kit de ran­som­ware qui fe­ra au­tant de dé­gâts qu’un gang struc­tu­ré, à des bandes très or­ga­ni­sées, guère éloi­gnées des ma­fias. L’in­gé­nio­si­té de ces cy­ber­gang­sters, par­fois or­ga­ni­sés en vé­ri­table in­ter­na­tio­nale, comme Car­ba­nak, est aus­si créa­tive que ré­ac­tive. Quand du cô­té de la dé­fense, une cer­taine vis­co­si­té fait traî­ner les dé­ci­sions.

Les at­taques

Tous ont bien com­pris cet adage d’ai­rain que n’ont pas par­fai­te­ment in­té­gré les pa­trons de PME et autres dé­ci­deurs : “plus on est connec­té, plus on est vul­né­rable”. En ef­fet, un nombre im­por­tant d’in­tru­sions est dû à des at­taques vi­sant des ap­pli­ca­tions web, du fait de vul­né­ra­bi­li­tés entre l’in­ter­face uti­li­sa­teur et les bases de don­nées cri­tiques. Les at­taques prennent trois formes es­sen­tielles : les “phi­shings” ou ha­me­çon­nage, le ran­çon­nage (via des ran­som­wares ou ran­çon­gi­ciel) et le DNS, ou dé­ni de ser­vice, blo­cage-chan­tage par la sa­tu­ra­tion des ser­veurs d’un ser­vice contre ran­çon, comme l’ont vé­cu les Net­clic, Twit­ter ou TV5 Monde. L’ha­me­çon­nage prend les ap­pa­rences d’un mail ba­nal à ex­pé­di­teur of­fi­ciel (banque, opé­ra­teur té­lé­com, EDF, etc.) où le cy­ber­cri­mi­nel se “dé­gui­sant” en un tiers de confiance de­mande quelques in­for­ma­tions confi­den­tielles, comme le nu­mé­ro de carte de cré­dit. Dans 90 % des cas, il suf­fit d’un e-mail de phi­shing avec une pièce jointe pié­gée ou un lien mal­veillant pour faire in­tru­sion dans le sys­tème d’in­for­ma­tion. Exemple, le ran­som­ware Lo­cky qui s’est at­ta­qué à l’Agence France Presse (AFP) comme à de nom­breux clients Free Mo­bile, leur adres­sant par e-mail des fac­tures en pièce jointe cor­rom­pues. C’est ac­tuel­le­ment, se­lon les ex­perts, l’une des formes d’at­taques qui connaît la plus forte

crois­sance. D’après Sy­man­tec, les ar­naques au lo­gi­ciel de ran­çon ont aug­men­té de 260 % en 2015. Avec le ran­çon­gi­ciel, la pièce jointe d’un mail réus­si à conta­mi­ner et cryp­ter des fi­chiers de l’or­di­na­teur, qui de­viennent in­uti­li­sables sauf à payer une ran­çon en bit­coins pour les ré­cu­pé­rer. L’épi­dé­mie se trans­forme en en­dé­mie. “Per­sonne n’est à l’abri. L’an pas­sé, les at­taques contre les en­tre­prises ont tri­plé, pas­sant d’une toutes les deux mi­nutes à une

toutes les 40 se­condes” ob­serve un ex­pert de Kas­pers­ky Lab. Mé­thode certes dif­fé­rente du blo­cage des ser­vices par sa­tu­ra­tion des or­di­na­teurs, mais la fi­na­li­té des mal­fai­sants est iden­tique : on bloque puis on passe à la caisse pour ex­tor­quer des sommes par­fois consi­dé­rables aux vic­times. Sur le “dark net” – cette face cachée du web, pa­ra­dis des pi­rates, en­fer des hon­nêtes gens – on trouve de tout : des lo­gi­ciels pour ex­tor­quer des ran­çons et pour pi­ra­ter des sys­tèmes d’in­for­ma­tion d’en­tre­prise, des listes de codes se­crets à vendre et des nu­mé­ros de carte ban­caire, ac­ces­soi­re­ment des armes à feu et des sub­stances illi­cites. Vé­ri­table ar­se­nal pour de mas­sives des­truc­tions. Les armes lo­gi­cielles sont uti­li­sées pour cinq vec­teurs d’at­taque, les e-mails, le pé­ri­mètre ré­seau, les ter­mi­naux, les ap­pli­ca­tions web et les uti­li­sa­teurs dis­tants. “Nous sommes dé­mu­nis face au dark web. La qua­si-to­ta­li­té de nos ac­tions se concentrent sur le web ou­vert, qui est dé­jà très large” dé­plore Mi­reille Bal­les­traz­zi pré­si­dente d’In­ter­pol, tout en ex­pli­quant : “La cy­ber­cri­mi­na­li­té est clai­re­ment la nou­velle me­nace du XXIe siècle”.

À qui le tour ?

Un mil­lion de comptes Ya­hoo pi­ra­tés, tout comme les banques cen­trales de Rus­sie et du Ban­gla­desh, So­ny Pic­tures en 2014, comme 40 000 clients de Tes­co Bank, mais aus­si TV5 Monde, Are­va, Air­bus, Sch­nei­der Elec­tric, JP Mor­gan, la Banque cen­trale eu­ro­péenne ou le New York Times, furent vic­times de cy­be­rat­taques,yq, au même titre qque le mi­nis­tère de l’Éco­no­mie fran­çais ou même le cham­pion de la cy­ber­sé­cu­ri­té Thales. Ce qui fait dire à

Laurent Hes­nault, di­rec­teur des stra­té­gies de sé­cu­ri­té de Sy­man­tec Cor­po­ra­tion : “la ques­tion n’est plus ‘est-ce que je vais être at­ta­qué’, mais ‘quand ?’ ”. Mais il n’est pas ai­sé de dres­ser un état des lieux fiable. Comme la ré­pu­ta­tion est en jeu, sur­tout au­près des clients, au-de­là des dom­mages fi­nan­ciers, mieux vaut se faire dis­cret. D’où une sous-dé­cla­ra­tion chro­nique de ce genre de dom­mages par les en­tre­prises. 85 % des en­tre­prises re­fusent de dé­voi­ler la quan­ti­té de don­nées per­dues. “En dis­si­mu­lant l’im­pact réel d’une at­taque, il est dif­fi­cile d’éva­luer les risques en­cou­rus et de ren­for­cer sa pro­tec­tion contre les

at­taques fu­tures”, re­grette Laurent Hes­lault. Tan­dis qu’un rap­port par­ti­cu­liè­re­ment alar­miste de sa so­cié­té dé­diée à la sé­cu­ri­té lo­gi­cielle sur les me­naces de sé­cu­ri­té in­dique que la France, par­ti­cu­liè­re­ment ex­po­sée en ma­tière de cy­ber­cri­mi­na­li­té, n’est pas prête à faire face à ce genre d’agres­sions. Et inu­tile de cher­cher la so­lu­tion du cô­té de la dis­sua­sion par les sanc­tions pour ces mau­vaises ac­tions : un cy­ber­cri­mi­nel risque au maxi­mum une amende 375 000 eu­ros et 5 ans de pri­son… en France, alors qu’il peut in­ter­ve­nir d’Odes­sa, Dji­bou­ti ou Shenz­hen.

L’au­truche

En France, se­lon les ex­perts de Nor­ton, 13,7 mil­lions de per­sonnes ont été confron­tées à la cy­ber­cri­mi­na­li­té au cours de l’an­née écou­lée, avec un coût fi­nan­cier éva­lué à 1,8 mil­liard. Plus glo­ba­le­ment, dans le monde en 2015, un de­mi-mil­liard d’in­for­ma­tions per­son­nelles ont été per­dues ou vo­lées. Pour en si­tuer l’im­por­tance, Ber­nard Spitz, pré­sident de la Fé­dé­ra­tion fran­çaise de l’as­su­rance, rap­proche ces

deux chiffres : “Le cy­ber­crime coûte 445 mil­liards de dol­lars par an alors que les ca­tas­trophes na­tu­relles n’ont re­pré­sen­té ‘que’ 160 mil­liards de dol­lars de dom­mages en moyenne au cours des dix der­nières an­nées dans le monde. Notre pays est loin en­core d’ap­pré­cier le risque à sa juste me­sure : à cô­té d’un mar­ché de 2,2 mil­liards d’eu­ros de pprimes d’as­su­rances spé­ci­fipques ‘cy­ber’ aux États-Unis en 2015, nous n’en sommes en­core qu’à 30 mil­lions d’eu­ros la même an­née”. Or en France, une en­tre­prise sur 3 au­rait per­du des don­nées en failles de sé­cu­ri­té, et l’Anssi (Agence na­tio­nale de sé­cu­ri­té des sys­tèmes d’in­for­ma­tion) pré­cise même qu’en 2015, le nombre des cy­be­rat­taques a aug­men­té de 50 % ! Alors que dans le même temps, se­lon les ex­perts de Den­jean & As­so­ciés, 77 % des dé­ci­deurs pensent que les cy­ber­fraudes n’ont aug­men­té “qque” de 10 % ou de 25 % en 2015. “À l’ex­cep­tion des grands groupes, toutes les en­tre­prises sous-es­timent les risques de cy­be­rat­taque.” En ef­fet, 38 % seule­ment des dé­ci­deurs consi­dèrent comme “im­por­tant” ou “très im­por­tant”, le risque que leur so­cié­té su­bisse une cy­be­rat­taque ces pro­chaines an­nées, alors que 52 % des en­tre­prises ont dé­jà été pi­ra­tées ! Er­reur d’ap­pré­cia­tion due à une mé­con­nais­sance de l’am­pleur et des cibles de la cy­ber­fraude en France. Plus l’en­tre­prise est mo­deste, plus la me­nace est grande… et igno­rée.

“Les di­ri­geants de TPE et de PME sous-es­timent for­te­ment les risques liés à la cy­ber­sé­cu­ri­té”, ob­serve Thier­ry Den­jean, pré­sident de la so­cié­té épo­nyme. Or se­lon le Syn­tec, les PME concentrent près de 80 % des cy­be­rat­taques. Les en­tre­prises sous-es­timent donc les risques de cy­be­rat­taque, sur­tout celles qui viennent de l’in­té­rieur, comme 20 % d’entre elles. D’ailleurs, une étude com­man­dée par IBM à l’ins­ti­tut Po­né­mon ré­vèle pour sa part que la ma­jo­ri­té des en­tre­prises n’ont pas connais­sance de toutes les ap­pli­ca­tions ac­tives au sein de leur en­tre­prise. Près de la moi­tié des per­sonnes in­ter­ro­gées (48 %) dé­clarent que leur en­tre­prise ne prend au­cune me­sure pour ré­duire les risques as­so­ciés aux ap­pli­ca­tions vul­né­rables.

L’hu­main, maillon faible Plus les nou­velles tech­no­lo­gies en­va­hissent le quo­ti­dien, plus les me­naces se mul­ti­plient. Mais ce n’est le plus sou­vent pas le maillon high-tech qui est le plus faible, mais le maillon hu­main. Com­por­te­ment peu adap­té, in­sou­ciance, né­gli­gence. Le DSI d’une banque éva­lue ain­si la plus grande me­nace pour la sé­cu­ri­té : “ces em­ployés qui font des choses alors qu’ils savent qu’ils ne de­vraient pas les faire, et com­pro­mettent ain­si leur PC”. C’est toute une édu­ca­tion, for­ma­li­sant une culture de pré­ven­tion, qu’il va fal­loir in­té­grer. En dé­mar­rant par une sa­crée prise de conscience. En se frot­tant au dan­ger. Ain­si de­puis peu quelques ma­na­gers pré­cau­tion­neux se rendent-ils au 75 Bin­ney Street, à Cam­bridge, afin de plon­ger en im­mer­sion to­tale dans des si­mu­la­tions de cy­be­rat­taques par des lo­gi­ciels mal­veillants, des ran­som­wares et autres ou­tils de pi­ra­tage. Ce centre de com­mande IBM X-Force leur per­met de vivre des ex­pé­riences de cy­be­rat­taques réa­listes. D’ailleurs Big Blue va consa­crer 200 mil­lions à ces pro­blé­ma­tiques bel­li­queuses. Quand les pro­fes­sion­nels du sec­teur s’alarment du dé­fi­cit de com­pé­tences des jeunes, “une vé­ri­table bombe à re­tar­de­ment”. Pour­tant, en cas de si­nistre, il en faut des ta­lents in­for­ma­tiques, ju­ri­diques et tech­niques pour im­mé­dia­te­ment mo­bi­li­ser une cel­lule de crise, or­ga­ni­ser le plan de re­prise d’ac­ti­vi­té. Dans ce do­maine, la ré­si­lience se pré­voit et s’or­ga­nise. Le sa­lut vien­dra-t-il de l’Eu­rope? En 2018, les en­tre­prises se­ront as­su­jet­ties au rè­gle­ment eu­ro­péen sur les don­nées. Ce texte ju­ri­dique, mis en oeuvre en France par la Cnil, de­vrait res­pon­sa­bi­li­serp les ac­teurs trai­tant les don­nées. À suivre.

“Le cy­ber­crime coûte 445 mil­liards de dol­lars par an alors que les

ca­tas­trophes na­tu­relles n’ont re­pré­sen­té ‘que’ 160 mil­liards de dol­lars de dom­mages en moyenne au cours des dix der­nières an­nées dans le

monde”

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.