L’expert Johnatan Uzan pointe les failles de la cybersécurité
Chaque vendredi, un témoin commente un phénomène de société
Entreprises, hôpitaux, collectivités locales… Depuis le début de la crise du coronavirus les cyberattaques se multiplient. En 2020, 192 attaques par « rançongiciel» ont été répertoriées en France, contre 54 l’année précédente, selon l’Agence nationale de la sécurité des systèmes d’information (Anssi). Mais ce n’est que la «petite partie émergée et la moins dure de l’iceberg », explique Johnatan Uzan, directeur du centre d’expertise cybersécurité de BCG Platinion Europe.
Le patron de la banque fédérale américaine, Jerome Powell, a déclaré être plus inquiet du risque d’une cyberattaque à grande échelle que d’une crise financière mondiale semblable à celle de 2008. S’agit-il du risque essentiel pour l’économie et les entreprises?
Malheureusement, oui. Des Etats se sont armés, et continuent de le faire, pour conquérir le cyberespace, un enjeu stratégique depuis une vingtaine d’années. Il semblait dès lors assez inévitable qu’il y aurait des fuites vers des groupes criminels qui muteraient en groupes cybercriminels. Etre à la tête d’un réseau de proxénétisme ou de vente de stupéfiants dans trois pays demande une structure opérationnelle organisée, des réseaux de blanchiment complexes, et fait prendre beaucoup de risques. Mais lorsque vous attaquez une entreprise en envoyant des rançongiciels, que vous utilisez une monnaie intraçable pouvant être blanchie facilement et rebasculée sur des comptes à l’autre bout du monde et que, pour faire tout cela, il ne vous faut que six ou sept personnes, le calcul est vite fait. D’autant que les sanctions pénales ne sont pas encore les mêmes que pour la grande criminalité.
Et ce ne sont pas les seuls risques…
Il faut aussi évoquer celui du cyberespionnage qui, au niveau européen, n’est pas assez surveillé. Et celui, effrayant, du cyberterrorisme, encore inexistant en France et à très bas bruit dans le reste du monde.
Lors d’une récente conférence de l’Observatoire BCG de la nouvelle réalité, vous expliquiez que le « responsable sécurité de n’importe quelle entreprise est aujourd’hui confronté à des armements militaires conçus par des Etats pour attaquer des Etats » ? Comment en est-on arrivés là ?
Au même titre que les Etats fabriquent leurs propres avions de chasse ou leurs tanks, ils ont naturellement développé leurs propres armements cybernétiques. Sans toujours pouvoir se mettre à l’abri d’éventuelles fuites de ces nouvelles armes, facilement copiables, partageables parfois avec une simple connexion Internet. Des groupes ont pu utiliser ces fuites pour en faire le «coeur stratégique d’une nouvelle économie criminelle». Moins regardés, mais tout aussi importants, les groupes de recherche en sécurité de l’information publiant publiquement, et tout à fait légitimement, leurs travaux. Si vous savez suivre les bons groupes de recherche et si vous connectez les travaux les uns avec les autres, alors vous serez rapidement en capacité de créer la prochaine arme numérique.
La crise sanitaire actuelle a-t-elle accéléré le processus?
Clairement. La crise du Covid-19, avec le télétravail et le confinement, a forcé la digitalisation d’une façon phénoménale. On ira vers de plus en plus de digitalisation, de plus en plus de surface d’attaques et de plus en plus d’attaques. Cela sera renforcé par le développement des IoT [Internet of things], comme les montres connectées, qui sont autant d’outils permettant de réaliser des attaques, de monitorer des données.
On entend beaucoup parler aujourd’hui des attaques par des logiciels de rançon…
Le rançongiciel, c’est une petite criminalité. C’est la petite partie émergée et la moins dure de l’iceberg. Le danger, c’est tout ce qu’on ne voit pas. Quand un groupe criminel ou un groupe d’espionnage adossé à un Etat pénètre une organisation, son but est de rester silencieux le plus longtemps, d’être le moins identifiable possible pour exfiltrer les données et, littéralement, dupliquer une entreprise, ses savoir-faire, mettant en péril les emplois de demain en France et en Europe. Nous ne surveillons pas assez l’espionnage économique, et cela sera sans doute l’une des grandes déconvenues de ces prochaines années. Nous devons nous adapter.
«Les Etats ont développé leurs propres armes cybernétiques.»
« Nous ne surveillons pas assez l’espionnage économique. »