RTFlash

Edito : Cybersécurité : un enjeu économique, politique et démocratique majeur

Notre pays subit depuis quelques mois une recrudescence très inquiétante de cyberattaques, de plus en plus dévastatrices et sophistiquées, qui visent non seulement des entreprises, mais également des administrations, (le Ministère de l’Intérieur et le Tribunal de Paris, le 6 septembre dernier) des bailleurs sociaux (comme Paris-Habitat le 28 octobre dernier), des collectivités (comme la ville d’Angers le 15 janvier dernier), des journaux (comme le quotidien Paris-Normandie, le 18 novembre dernier) et, plus préoccupant encore, des établissements hospitaliers, comme le CHU de Rouen (en novembre 2019) l’AP-HP -Assistance Publique-Hôpitaux de Paris (le 22 mars 2020), l’hôpital de Marmande (1er juillet 2020), les hôpitaux d’Albertville et Moutiers (21 décembre 2020) l’hôpital de Dax (le 8 février dernier), l’hôpital de Villefranche-sur-Saône, lui aussi paralysé, avec de graves conséquences pour les patients, le 18 février dernier. Le 19 février dernier, c’est l’AFNOR (Association française de normalisation) qui a, à son tour, été victime d’une attaque informatique, probablement menée par l’organisation RYUK, un groupe criminel qui avait déjà rançonné les usines Fleury Michon en mars 2019.

Le 21 février dernier, ce sont les systèmes informatiques de la ville et de l’agglomération de Chalon-sur-Saône, en Saône-et-Loire, qui ont subi à leur tour un piratage informatique de grande ampleur. Enfin, il y a peu, plus de 500 000 dossiers médicaux confidentiels se sont retrouvés en libre accès sur le Net. Ces dossiers ont été piratés le plus facilement du monde sur des serveurs mal protégés de laboratoires d’analyses médicales du Nord de la France, et auraient probablement dû faire l’objet de demandes de rançons. Mais il semblerait, selon les enquêteurs, qu’un différend entre pirates informatiques explique que ces dossiers aient été finalement mis en ligne et rendus publics sur l’Internet…

Aux Etats-Unis, le 9 février dernier, une tentative de piratage informatique du réseau d’eau de la ville d’Oldsmar (Floride) a été déjouée de justesse, grâce à la vigilance d’un employé. Ce dernier a remarqué que le contrôle du taux d’hydroxyde de sodium, un produit chimique utilisé à petites doses pour corriger l’acidité de l’eau, était en train d’être modifié par voie informatique et augmentait de façon anormale. Heureusement, cet employé a pu stopper ce processus et donner l’alerte. Mais le pirate ou l’organisation responsable de cet acte de malveillance, dont les conséquences sanitaires pour la population locale auraient pu être très graves, n’ont pas été identifiés à ce jour.

Dans notre pays, l’ANSSI, l'agence nationale de sécurité des systèmes d'information, estime que ces attaques ont été multipliées par quatre entre 2019 et 2020, passant de 50 à 200, soit une attaque tous les deux jours en moyenne. En France, le coût total des dommages liés à la piraterie informatique a été estimé à 1,6 milliard d’euros en 2019 et la moyenne des cyberattaques s'élève à présent à 35 000 € contre 9 000 € en 2019. Pour les grandes entreprises (+1000 employés), la moyenne des pertes atteint 458 000 €, un montant qui s'explique mieux quand on sait qu'il faut en moyenne trois semaines à une entreprise pour remettre en état et sécuriser son système informatique, après une cyberattaque.

Selon l’OCDE, les dépenses mondiales en cybersécurité dépasseront 1000 milliards $ en 2021, environ 1,5 du produit mondial brut, contre 450 milliards de dollars en 2016. Le FBI estime pour sa part que, pour les seules rançons payées en bitcoins, 144 millions de dollars de rançons auraient été versés aux pirates informatiques entre 2013 et 2019 aux Etats-Unis.

L’agence fédérale américaine souligne que c’est le rançon-giciel Ryuk qui s’est avéré le plus rentable pour les pirates opérant aux Etats-Unis, suivi par les rançon-giciels Crysis / Dharma, Bitpaymer et SamSam. Le FBI précise que la majeure partie de ces rançons (environ 64 millions de dollars) ont transité par des échanges de devises virtuelles, et que 37 millions de dollars sont restés inutilisés, sous forme de bitcoins non dépensés.

S’agissant du modus operandi, le FBI révèle que, dans les trois quarts des cas, c’est le protocole RDP (Remote Desktop Protocol) qui a principalement été utilisé dans les cyberattaques. Concrètement, les pirates ont utilisé des outils automatisés générant des mots de passe, ce qui leur permet de percer relativement facilement les défenses informatiques, compte tenu du faible niveau de sécurité que présentent de nombreux mots de passe d’entreprises ou d’administrations.

Les pirates informatiques ont incontestablement profité du contexte sanitaire mondial lié à la pandémie de Covid-19, qui a bouleversé l’organisation et la gestion des activités informatiques, notamment avec le développement massif et rapide du télétravail, qui n’a pas été accompagné des mesures de prévention et de protection informatiques qui auraient été nécessaires pour sécuriser cette décentralisation inédite des activités numériques. A cet égard, une récente étude a montré que 64 % des responsables de la Sécurité des systèmes d'Information (RSSI) de grandes entreprises ont constaté une hausse des tentatives de phishing (ou « hameçonnage ») et 20 % jugent que les collaborateurs des entreprises ne sont pas correctement équipés pour effectuer des tâches sécurisées en télétravail. La même étude souligne que 56 % de ces responsables considèrent que leur entreprise n’attache pas une attention suffisante à la question-clé de la cybersécurité. Enfin, autre enseignement révélateur de cette étude, seuls 14 % de ces responsables estiment que leur entreprise est capable de faire face à une attaque informatique.

A l’occasion des Assises de la sécurité 2020 à Monaco, Ivan Kwiatkowski, expert chez Kaspersky, a dressé un portrait édifiant du fonctionnement de l’écosystème qui sous-tend la grande criminalité informatique. Celle-ci n‘a plus rien à envier, en termes de capacité de nuisance, de puissance et d’organisation, aux mafias traditionnelles. Ce spécialiste a expliqué comment les pirates conçoivent leurs packers (Programmes utilitaires qui vont compresser et crypter un programme exécutable). Ils coopèrent avec des botmasters chargés du déploiement sur des machines infectées. Un vendeur de comptes (account seller) détecte les brèches de sécurité sur les réseaux d’entreprise. Des red teams achètent aux botmasters des portefeuilles de brèches dans des sociétés soigneusement sélectionnées, puis ils rentrent dans les systèmes informatiques de ces sociétés pour récupérer des mots de passe d’administrateurs IT. Les données les plus sensibles et monnayables sont ensuite identifiées et verrouillées par chiffrement. Dans la dernière phase de ce processus criminel parfaitement organisé, on trouve des spécialistes qui vont savoir négocier les rançons les plus élevées possibles. Enfin, un blanchisseur (launderer) encaisse les bitcoins virtuels pour les transformer en achats de biens et services dans le monde réel…et la boucle est bouclée.

Nos économies et nos sociétés, déjà gravement affectées et fragilisées par la pandémie actuelle, ne peuvent plus continuer à subir cette cybercriminalité dévastatrice et doivent rapidement porter un coup d’arrêt à ce phénomène, sous peine de subir des dommages humains et financiers insupportables qui finiront par fragiliser nos démocraties dans leurs fondements. Pour combattre et prévenir efficacement cette nouvelle forme de criminalité numérique organisée, je crois qu’il faut agir simultanément sur quatre fronts complémentaires, technique, économique, politique et pénal.

La réponse technique doit passer par un effort accru de la recherche publique et privée dans le développement de nouveaux outils puissants, capables de contrer ceux utilisés par les pirates. La firme Kaspersky mise par exemple sur la threat intelligence, un concept qui vise à collecter et structurer les informations liées aux menaces informatiques, afin de mieux cerner le profil des attaquants et la nature des menaces. L’idée est d’être capable d'anticiper les types d’attaques, en détectant et en recoupant les signaux à « bas bruits ». Dans le même esprit, Check Point Software Technologies propose une solution d’« intelligence partagée » (Infinity SOC) reposant sur une plate-forme (ThreatCloud), capable d’inspecter 2,5 milliards d’attaques et 3 milliards de sites web et fichiers par jour.

L’intelligence artificielle (IA) doit bien entendu être au cœur de cette prévention intelligente des menaces numériques. A cet égard, un récent rapport d’Oracle et KPMG souligne que 87 % des professionnels de l’informatique considèrent l’IA et l’apprentissage machine (machine learning) comme des outils essentiels pour la sécurité de leur entreprise. Pour sa part, Kaspersky mise sur le concept d’«humachine», qui articule et combine le machine learning, les données massives (big data) et la threat intelligence, sous la coordination d’experts analystes.

Dans cette guerre contre le cybercrime, la société anglaise Darktrace, créée à Cambridge en 2013, fait figure de pionnier. Elle a développé un principe de réponse immunitaire dérivé des mécanismes à l’œuvre dans le domaine du vivant. Son outil (DCIP) repose sur les calculs de probabilités et l’apprentissage-machine et il est conçu pour détecter automatiquement les cybermenaces émergentes et les bloquer. Comme le souligne Emily Orton, Président et cofondatrice de Darktrace, « Il faut en priorité lutter contre les menaces provenant de l’intérieur de l’organisation, en utilisant l’IA pour mieux détecter des signaux quasi imperceptibles, des comportements inhabituels qui pourraient être le signe d’une cyberattaque ».

L’un des grands défis de la cyberprotection est de parvenir à détecter plus rapidement, grâce à l’IA et l’apprentissage machine, toutes les variantes de logiciels malveillants, en analysant toutes les informations concernant l’ensemble des logiciels malveillants détectés auparavant. Ainsi, lorsqu'une nouvelle forme de logiciel malveillant est utilisée, l’outil intelligent de protection va le comparer à la base de données, examiner le code et bloquer l'attaque, en raisonnant par analogie et en considérant que des événements semblables ont déjà été considérés comme malveillants.

Mais l’IA peut aller encore plus loin et examiner en permanence le comportement des utilisateurs au quotidien, en y dégageant des attitudes récurrentes. Par exemple, si un salarié clique sur un lien d’hameçonnage (phishing), ce type d’outil va comprendre qu'il ne s'agit pas d'un comportement normal et qu'il peut s’agir d’une activité potentiellement malveillante. En utilisant judicieusement ces outils d'apprentissage machine, ces comportements à risque peuvent être repérés très rapidement, ce qui peut permettre de prévenir une intrusion malveillante, et d’empêcher le vol des identifiants de connexion, et le déploiement de logiciels malveillants.

Mais il ne faut pas oublier que, parallèlement à ces nouveaux outils techniques sophistiqués de lutte contre la cybercriminalité, la mise en œuvre par les entreprises de solutions simples et peu coûteuses suffit souvent à prévenir les attaques informatiques ou à en limiter les dommages. Il faut en effet rappeler que 80 % des brèches de sécurité des entreprises résultent de mots de passe trop faibles. Sur ce point clé, l’ANSSI souligne d’ailleurs qu’en 2020, 73 % des mots de passe informatiques utilisés en France étaient d’un niveau de sécurité si faible qu’ils pouvaient être « crackés » en moins d’une seconde par un pirate informatique aguerri…

Face à cette lacune, il est urgent que toutes les entreprises, notamment les PME, se dotent de gestionnaires de mots de passe, des outils simples et efficaces qui peuvent mettre en sureté des informations vitales comme les mots de passe, les identités, les données financières. Ces outils - Dashlane, Roboform ou Lastpass, se présentent sous la forme d’extension web qui stockent en toute sécurité tous vos mots de passe et les saisissent à votre place, lorsque vous devez vous connecter à un site web. Il est également vital que les entreprises veillent à mettre à jour en permanence le système d’exploitation de leurs ordinateurs, afin que les pirates puissent moins facilement exploiter les failles logicielles pour entrer dans leur système informatique ; il est enfin indispensable que toutes les entreprise et artisans se dotent de solutions de sauvegarde, comme Acronis, Titre ou Veeam, outils peu onéreux qui vont leur permettre d‘automatiser de façon souple et évolutive la sauvegarde de leurs données sensibles, afin de pouvoir les récupérer en cas d’attaque et d’identifier les éventuels rançongiciels dont ils peuvent être les cibles.

Pour la plupart des experts et spécialistes de la sécurité numérique, il n’existe pas de panacée en matière de sécurité informatique et l’avenir appartient à la combinaison judicieuse de plusieurs outils qui, pris isolément, peuvent être assez facilement contournés, mais qui, correctement associés, peuvent rendre le piratage beaucoup plus difficile et donc moins rentable pour les cybercriminels. Le premier outil est l’authentification biométrique multiple (empreinte digitale, reconnaissance faciale ou de l’iris, ou rythme cardiaque). Deuxième outil, le gestionnaire de mots de passe à haut niveau de sureté que j'ai déjà évoqué. Troisième outil, la validation de l’utilisateur depuis son smartphone par une clé de sécurité. Enfin, dernier outil, l’analyse contextuelle qui permet de prendre en compte les habitudes de navigation de l’utilisateur grâce à des algorithmes de deep learning.

Mais ces réponses techniques et économiques, pour indispensables qu’elles soient, ne suffisent pas et doivent être complétées par des ripostes plus larges, d’ordre politique, juridique et pénal. Le Président de la République a pris la mesure de ce péril lié à la cybercriminalité et a annoncé des mesures fortes, à l’occasion de son intervention du 18 février dernier avec les personnels de l’hôpital de Villefranche-sur Saône (Rhône) de Dax (Landes), victimes des cyberattaques qu’ils ont subies à moins d’une semaine d’intervalle, et qui ont eu de graves conséquences pour les patients, dont certains ont dû être transférés en urgence vers d’autres établissements.

Le plan national annoncé par le chef de l’Etat a pour ambition légitime de renforcer l’ensemble de la filière de cybersécurité française. Pour atteindre cet objectif, notre pays a décidé d’investir un milliard d’euros d’ici 2025 dont 720 millions de la part de l’Etat, le solde venant du secteur privé. La moitié de cet investissement sera consacré à des projets de R&D et au développement d’une offre souveraine en soutenant l’activité de l’ensemble des acteurs de la cybersécurité. L’ambition de ce plan est de faire passer le chiffre d’affaires annuel de la cybersécurité de 7,3 milliards d’euros à 25 milliards d’euros, d’ici 2025, ce qui se traduira notamment par un doublement du nombre de techniciens et d’ingénieurs travaillant dans ce domaine de la cyberprotection. Pour fournir et former ces nouveaux experts, de nouvelles filières et de nouveaux masters en sécurité des systèmes d’information seront créés.

Ce plan vise également à renforcer la nécessaire coopération entre acteurs de la filière. A cet effet, un budget supplémentaire de 148 millions d’euros sera débloqué pour favoriser les approches collaboratives. Un cybercampus sera créé dans le quartier de la Défense et regroupera une soixantaine de partenaires (grands groupes, start-up, laboratoires, écoles d’ingénieurs, services de l’Etat, utilisateurs…) et plus d’un millier de salarié, dès la rentrée 2021. Dans le cadre de ce plan global, l’ANSSI - Agence nationale de la sécurité des systèmes d'information - bénéficiera d’une enveloppe augmentée à 136 millions d’euros, ce qui lui permettra de mettre en place des unités basées en région afin de venir en aide plus rapidement aux entreprises et administrations victimes de la cybercriminalité.

Mais l’effort contre la cybercriminalité doit également porter sur une coopération politique, juridique et policière accrue au niveau international. On pourrait par exemple imaginer la création d’une agence européenne entièrement dédiée à la lutte contre la cybercriminalité organisée et dotée de moyens humains, techniques et juridiques conséquents. Il faut par ailleurs intensifier les pressions diplomatiques et politiques sur les pays qui refusent toujours de signer la Convention internationale de Budapest (entrée en vigueur en 2004), ce qui rend difficile l’identification, la poursuite et l’arrestation des cybercriminels les plus dangereux qui opèrent massivement, chacun le sait, à partir des pays de l’ancien bloc soviétique.

Enfin, il me semble nécessaire de durcir le plus rapidement nos peines nationales en matière de cybercriminalité, de manière à rendre moins attractive cette forme de délinquance. Actuellement, il faut en effet savoir, qu’en France, les pirates informatiques encourent, au plus, 3 ans d’emprisonnement et 45 000€ d’amende (art 323-1 du code pénal) lorsqu’ils ont réalisé « soit la suppression, soit la modification de données contenues dans le système, soit une altération du fonctionnement de ce système ». Ces peines sont notoirement insuffisantes et peu dissuasives, surtout face à une augmentation inquiétante des attaques visant des établissements hospitaliers, et pouvant avoir de graves conséquences humaines.

Il faut rester réaliste : l’éradication de la cybercriminalité est un objectif illusoire, quelque soient les moyens techniques et humains que les états et les entreprises consacreront pour lutter contre ce fléau. En revanche, il est tout à fait possible, en actionnant simultanément les différents leviers technologiques, juridiques, politiques et culturels que j’ai évoqués, de rendre globalement la cybercriminalité beaucoup moins attractive et rentable, en faisant en sorte que les cybercriminels soient obligés de dépenser beaucoup plus d’efforts, de temps et d’énergie pour réaliser leurs actions, et soient en outre exposés à des sanctions pénales bien plus lourdes qu’aujourd’hui, ce qui aurait évidemment un puissant effet dissuasif. Espérons que notre pays poursuivra dans la durée cette lutte implacable contre ce nouveau fléau qu’il faut absolument contenir, si nous voulons préserver l’efficacité de nos économies et garantir la solidité de nos démocraties.

René TRÉGOUËT

Sénateur honoraire

Fondateur du Groupe de Prospective du Sénat

e-mail : tregouet@gmail.com

Noter cet article :

 

Vous serez certainement intéressé par ces articles :

    Recommander cet article :

    back-to-top