Avec l’escalade du conflit entre la Russie et l’Ukraine, nous avons vu la Russie opérer plusieurs cyberattaques, paralysant notamment des sites d’information ainsi que des infrastructures au lancement de l’invasion ces 24 dernières heures. Louis Vieille-Cessay, PreSales Manager de CyberRes France et BeLux (Groupe Micro Focus), apporte son avis d’expert. Peut-on dire qu’une nouvelle forme de guerre, la cyberguerre vient de commencer, ou s’agit-il au contraire d’une pratique déjà généralisée ? Existe-t-il une stratégie type de défense que chaque pays devrait mettre en place ?
Depuis plusieurs années, toutes les nations investissent militairement le cyberespace. Ce qui n’est pas surprenant puisque le monde est de plus en plus interconnecté. Le cyberespace est désormais un nouvel espace de projection où les Etats-nations s’attaquent et mènent des opérations spécifiques afin d’atteindre leurs objectifs géostratégiques.
L’Iran ou la Corée du Nord, par exemple, sont parfois citées comme initiatrices de certaines campagnes d’attaque par rançongiciel. Celles-ci leur permettraient de récupérer des cryptomonnaies venant financer l’achat d’armes en contournant les différents embargos en vigueur. On a également pu les voir saboter la sortie d’un film au cinéma ne leur plaisait pas (1).
Si ces types d’attaque sont relativement appréhendables par la majorité de la population par leurs similitudes aux cyberattaques crapuleuses auxquelles celle-ci est exposée, elles ne sont cependant pas comparables à ce à quoi nous pourrions nous attendre dans le cadre d’un conflit majeur entre deux puissances technologiquement très avancées.
Lire aussi...
L'article de la semaine
Des attaques dans le passé sur les infrastructures critiques en Ukraine
Si l’on regarde l’historique de la Russie et de l’Ukraine, ce n’est pas la première fois que des unités, plus ou moins liées aux renseignements ou à l’armée russe, s’attaquent à des infrastructures critiques en Ukraine. Fin 2015 déjà, on a constaté trois attaques russes majeures sur le réseau électrique ukrainien coupant le courant à 250 000 personnes – en plein hiver quelques jours avant Noël (2). Le seul but de ces attaques était déjà de rendre inopérant des infrastructures critiques par le biais de logiciels embarqués dans les transformateurs électriques. Même si le courant a été coupé plusieurs heures, des analyses approfondies ont révélé par la suite que certains volets de ces attaques avaient échoués, notamment ceux visant la destruction physique des installations de distribution électrique ciblées (3).
En regardant le détail des trois attaques russes en 2015 et 2016, on peut constater une amélioration et un perfectionnement des techniques. On retrouve de nouveau des Russes derrière des techniques d’attaque évoluées ciblant des infrastructures pétrolières notamment (4) en 2018 puis 2019.
Il faut rappeler que les attaques cyber sur de l’infrastructure industrielle ne sont pas l’apanage des seuls russes : dès 2010, le virus Stuxnet mettait hors d’usage des centrifugeuses d’uranium iraniennes…
Des attaques qui pourraient s’étendre au-delà du territoire ukrainien
Forts de ces constats, l’escalade du conflit avec l’OTAN peut nous faire redouter ce type d’attaques à grande échelle qui pourrait ainsi s’étendre au-delà du territoire ukrainien. Aussi lointaine que la ligne de front puisse nous paraître, nous pourrions subir des impacts majeurs sur des services publics, des infrastructures industrielles majeures ou toute entreprise, jusqu’aux TPEs et PMEs, faisant partie d’une chaîne d’approvisionnement critique dans un effort de guerre. On pourrait assez vite retrouver des villes, des régions, ou même des pays entiers dans le chaos.
Déclencher ce type d’attaques à grande échelle devrait rester dans une logique d’escalade proportionnelle et graduelle, les Russes n’étant pas les seuls acteurs dans le cyberespace et toute attaque appellerait donc une réponse de la part d’un adversaire. La France a elle-même sa propre unité de cyber dissuasion, officiellement entérinée par la Loi de Programmation Militaire (LPM) de 2019.
D’autre part, nous assistons depuis quelque temps a une prise de conscience sérieuse de ces nouvelles menaces de la part des pouvoirs publics. A l’instar de l’ENISA, créé dès 2004 par l’Union Européenne, l’ANSSI en France en 2009, ou CISA aux Etats-Unis depuis 2018, la plupart des pays se sont dotés d’une agence gouvernementale dédiée à la cybersécurité et à la diffusion des bonnes pratiques cyber-défensives au sein de la société civile et les administrations gouvernementales.
Ces agences s’appuient sur des textes (le Cybersecurity Act Europeen pour l’ENISA ou la LPM pour l’ANSSI) pour accompagner et contraindre des sociétés et institutions clés désignées comme « Organisation à Intérêt Vital » pour le bon fonctionnement de la nation dans l’adoption de bonnes pratiques en matière de cybersécurité afin d’élever leur niveau de maturité dans le domaine.
Compte tenu de la nature privée de l’organisation économique et sociale de la plupart des pays du monde, le succès des stratégies de défense en matière de cybersécurité s’appuie largement sur l’investissement fait par le secteur privé en la matière.
Il est important de noter que la cybersécurité n’est pas qu’une question de solutions technologiques, mais aussi une prise de conscience à tous les niveaux de la population du risque cyber ainsi qu’à la montée en maturité des utilisateurs dans ce domaine. La cyberdéfense doit être l’affaire de tous pour être efficace.
Mettre en place des surveillances régulières des systèmes
Afin de protéger au mieux l’espace cyber national, toutes les entreprises et infrastructures publiques doivent impérativement mettre en place des surveillances régulières de leurs systèmes afin de détecter tout comportement suspect. Ceci répond à une des difficultés à se défendre contre des cyberattaques gouvernementales : leur nature latente et persistante. En effet, des hackers gouvernementaux vont chercher à pénétrer et à connaître par cœur un système cible, sans pour autant se manifester par des actes malveillants. Ces opérations de reconnaissance peuvent durer des mois, voire des années, avant de mener une opération quelconque. Il est donc primordial de ne pas détecter uniquement des actes malveillants en cours afin de les bloquer, mais également des signaux faibles avant-coureurs d’une compromission de système afin de les prévenir.
Pour compléter cette visibilité interne sur la sécurité des systèmes, il est également important d’être bien renseignés sur les attaques en cours dans le monde, et de prioriser la mise en adéquation de ses mécanismes de défense selon le risque perçu par l’organisation. Il existe bien évidemment des services, des communautés où on peut retrouver ces informations. L’ANSSI, ainsi que les ainsi que celle autres agences nationales de cybersécurité, mettent également à disposition des bulletins de sécurité.
Pour revenir à l’opérateur du réseau électrique ukrainien, Ukrenergo, depuis 2017, a largement amélioré ses capacités de détections de hackers russes dans ses systèmes. Ukrenergo, aussi bien par les attaques subies il y a 6 ans que par sa réaction et la reconstruction par la suite de sa stratégie cyber est un exemple de première que nous devrions tous méditer.