Avec pratiquement 20 ans de recul, quelques jalons historiques peuvent être fixés en matière de cybercriminalité. Sans trop de débats, on peut positionner la première vraie crise à l’échelle mondiale à l’an 2000 avec le fameux ver « I Love You » et c’était déjà à l’époque le système d’exploitation Microsoft qui était visé ! Cependant avec le recul, la puissance de feu de ce ver pourrait faire sourire la nouvelle génération d’experts en sécurité. Par Alain Bouillé, président du Cesin, association de RSSI, et RSSI au sein d’un grand groupe bancaire.
Nous avons ensuite connu toutes sortes d’attaques plus ou moins ciblées, plus ou moins systémiques mais dont le but était en grande majorité l’escroquerie en tous genres. On a aussi pu vivre, heureusement de loin, quelques cas de « cyberguerre » entre états dont l’un des plus marquants a été l’attaque en règle des systèmes d’information étatiques de l’Estonie par la Russie il y a 10 ans à un moment où les relations entre les deux pays étaient pour le moins tendues.
Une nouvelle catégorie d’attaques
Au printemps de cette année, nous avons connu une nouvelle catégorie d’attaques : celles que l’on pourrait classer en « dégâts collatéraux ». Même si les analyses de ces virus Wannacry, Petya ou autres NotPetya n’ont pas encore livré toutes leurs conclusions, on peut admettre avoir été face à un scénario pour le moins « original » : en premier lieu des failles des systèmes d’exploitation Microsoft découvertes par la NSA qui, plutôt que de prévenir son compatriote d’éditeur, décide de garder ces « souches virales » pour les utiliser à des fins de renseignement mais comme un mauvais laboratoire qui serait incapable de protéger ses fioles de virus mortels, l’agence se fait voler ces vulnérabilités qui sont ensuite exploitées par des puissances étatiques en vue de nuire à d’autres puissances sinon ennemies en tous cas « pas amies ». Il est à noter que le mode de propagation de ces virus a été particulièrement virulent et efficace. Même si ces malwares ont pu être apparentés à des attaques de type ransomwares, les faibles gains engendrés comparés à la puissance de l’attaque nous laissent conclure que l’escroquerie n’était pas la motivation principale et en ce qui concerne NotPetya, il a été évident que la motivation première était de provoquer la paralysie des cibles touchées.
« Les entreprises, prises dans la frénésie de la digitalisation, où il faut offrir de nouveaux services aux clients et aux utilisateurs internes à moindre coût et dans des temps très courts, ont toutes recours, tels des moutons de Panurge, aux mêmes offres Cloud chez les mêmes fournisseurs majoritairement américains. »
Alain Bouillé,
président du Cesin, association de RSSI, et RSSI au sein d’un grand groupe bancaire
Des « répliques » sont à prévoir
Pour certains spécialistes, ces attaques ne sont qu’une répétition et comme la NSA ne s’est pas fait voler qu’une seule fiole de virus mortels, comme pour les tremblements de terre, d’autres répliques sont à prévoir. D’aucuns observent que c’était l’Ukraine qui était visée mais vu le nombre d’entreprises frappées dans le monde entier, le champ de tir était particulièrement large !
Quoiqu’il en soit, ce sont toujours les mêmes RSSI qui se retrouvent en première ligne avec des moyens pas toujours à la hauteur des enjeux, avec des produits de sécurité qui détectent les malwares après l’attaque, avec des responsables de production qui préfèrent différer les mises à jour des failles systèmes plutôt que de risquer l’incident de production dû à une mise à jour intempestive et pas suffisamment testée ; avec des systèmes d’information de plus en plus interconnectés et des systèmes de pilotage industriels tournant sous de vieux systèmes XP qu’il ne faut surtout pas mettre à jour au risque de perturber le fonctionnement de l’usine pas encore 4.0 !
À cela il faut rajouter une digitalisation en marche dans 100% des entreprises dont les maîtres-mots sont le partage et l’ouverture, ce qui concrètement signifie davantage d’exposition de l’information de l’entreprise.
Les leçons de la crise
A quelque chose malheur est bon dit l’adage et ces crises n’ont pas manqué d’apporter leur lot d’enseignements.
- D’abord, il faut noter que, durant le premier week-end d’alerte dite Wannacry, beaucoup d’entreprises ont patché parfois des centaines de machines sans évidemment mettre en œuvre les principes de précaution habituels, et l’on a pu observer que, contrairement à une croyance répandue, les patchs de sécurité n’ont pas nécessairement perturbé la production. Une des premières leçons qu’il faudra tirer de ces crises est que le risque de perturber la production par une attaque parce que l’on n’a pas patché devient supérieur au risque de perturber la production parce que l’on patché trop vite.
- Un autre enseignement, mais celui-là on le connaissait déjà, c’est qu’à partir du moment où les entreprises et les particuliers du monde entier utilisent les mêmes systèmes d’exploitation, ils sont tous vulnérables au même moment et deviennent tous des cibles à un instant T. Est-ce qu’un NotPetya puissance 10 pourrait avoir raison de l’économie mondiale ?
- En ce qui concerne les logiciels de protection et de détection, on peut se demander quand les labos de R&D nous sortiront le vaccin qui marche à tous les coups et si possible avant l’attaque ! A quand une vraie innovation dans le domaine ?
- On peut cependant se consoler par le fait que les RSSI sont de moins en moins aveugles et que les SOC et autres systèmes de supervision vont permettre, avec le recours à des technologies Big data et -on commence à en voir des exemples-, à l’Intelligence Artificielle, d’avoir une vision 360° sur la sécurité de l’entreprise : quand bien même une attaque réussirait à pénétrer les barrières de défense, si elle est repérée suffisamment tôt, les dégâts pourront-être limités, du moins peut-on l’espérer !
- Enfin la puissance informatique nécessaire à toute attaque de grande envergure est désormais disponible avec les objets connectés, par définition non sécurisés. Une autre répétition a été organisée en fin d’année dernière perturbant les services des grands acteurs de l’Internet pendant plusieurs heures, essentiellement aux Etats-Unis.
On nous annonce, comme indiqué plus haut, d’autres répliques potentiellement de plus grande envergure. Comme pour les ouragans, on n’a pas d’autres choix que de s’y préparer et surtout de se mettre en capacité d’expliquer à son Comex que malgré tous les investissements consentis à sécuriser le patrimoine informationnel de l’entreprise depuis toutes ces années, la « bête » est rentrée et a fait beaucoup de dégâts. C’est une situation qui a été vécue par quelques RSSI et qui va malheureusement se multiplier avec le temps.
Quelle est la prochaine étape ?
Les décideurs sont amnésiques et les révélations d’E. Snowden sur les collusions des grands acteurs du web avec les agences de renseignement américaines sont déjà oubliées. Bien entendu, nous sommes tous « rassurés » : tout cela est terminé et les vannes du programme PRISM ont été fermées…
Mais aujourd’hui les entreprises, prises dans la frénésie de la digitalisation où il faut offrir de nouveaux services aux clients et aux utilisateurs internes à moindre coût et dans des temps très courts, ont toutes recours, tels des moutons de Panurge, aux mêmes offres Cloud chez les mêmes fournisseurs, majoritairement américains. Nous assistons impuissants à une formidable concentration du patrimoine informationnel des entreprises mondiales virtuellement aux mêmes endroits sur des systèmes par définition faillibles un jour ou l’autre.
Est-il totalement saugrenu de s’interroger sur les capacités des agences à reproduire le modèle décrit plus haut d’utilisation de vulnérabilités pour pénétrer ces énormes coffres-forts à des fins d’espionnage et d’intelligence économique ? Il reste à souhaiter que cette fois elles ne se feront pas voler les clés !
« Nous assistons impuissants à une formidable concentration du patrimoine informationnel des entreprises mondiales virtuellement aux mêmes endroits, sur des systèmes par définition faillibles un jour ou l’autre. »
Alain Bouillé,
président du Cesin, association de RSSI, et RSSI au sein d’un grand groupe bancaire