Depuis de nombreux mois, pas un jour ne survient sans qu’une cyberattaque ne défraie la chronique. Ces attaques semblent faire partie de notre quotidien. Pourtant, elles révèlent une réalité dont nous ne mesurons pas encore la véritable ampleur. Sans tomber dans le catastrophisme, la cybercriminalité est devenue et restera encore pour de nombreuses années un véritable eldorado pour les auteurs d’actes de malveillance. Et ces auteurs ne sont pas représentés uniquement par des individus mais bel et bien par des organisations de plus en plus structurées avec une seule et véritable intention : nuire aux particuliers, aux entreprises et aux États. Lilian Laugerat, président de Solace et expert en gestion des risques sûreté fait le point sur cette menace qu’il faut désormais appeler par son nom : une crise ouverte, au-delà du simple risque.

La cybercriminalité, ou l’art d’atteindre tous les objectifs des malveillants

La cybercriminalité offre un large éventail de possibilités pour atteindre la totalité des objectifs des auteurs de malveillance. À y regarder de plus près, elle reprend toutes les méthodes des actes traditionnels de malveillance. La seule différence est que vous n’avez plus besoin de vous déplacer : tout se fait à distance, en laissant peu de traces et peu de place pour mettre en place des solutions pérennes, tant la menace évolue vite.

Le cyberattaquant a compris qu’il pouvait obtenir beaucoup de ses actions. En premier lieu, de l’argent – cryptomonnaie, de préférence – par le paiement simple d’une rançon. Nous n’enlevons plus des personnes, nous kidnappons des données confidentielles. Et si cela ne suffit pas, le cyberattaquant entrave l’activité de la personne ou de l’entreprise visée pour accroître la pression. Objectif, le paiement rapide. Et si cela ne suffit encore pas, il peut médiatiser l’acte, pour l’instant sur le Dark Web, repaire et tanière favoris des cybermalveillant. Données volées, photos compromettantes… après le dommage aux biens, le dommage aux personnes. Enfin, les attaques peuvent même générer potentiellement des victimes, entraver le bon fonctionnement des hôpitaux, des usines de traitement d’eau, des ports, etc. La cybercriminalité ne semble plus connaître de limite.

À Paris, l’AP-HP victime de cyberattaques en 2020, comme plusieurs autres établissements de santé en France.

L’arsenal est immense et les possibilités offertes infinies. Certes, le combat n’est pas désespéré : dans certains cas, les cybermalveillants sont arrêtés, soit à cause d’une erreur, soit pour s’être attaqués à des organisations ou des États trop puissants. Mais, à l’instar du trafic de drogue, les flux sont si importants que nous ne pouvons pas tous les intercepter. Et les cyberattaques se poursuivent…

L’impossible gestion du risque cyber

Face à ce risque, les entreprises se sont repliées vers les solutions traditionnelles. Tout d’abord, les solutions d’ordre technique. Rien de mieux que des experts pour contrecarrer les attaques de ces malveillants (experts eux aussi). Solution logique au premier abord, mais le bouclier est déjà fissuré avant même d’avoir reçu son premier choc. Il y a toujours meilleur que soi et la course effrénée entre l’attaquant et le défenseur tourne trop souvent à l’avantage du premier. La palette technique offerte est si large que la proactivité est très difficile. Encore une fois, nous sommes dans la réactivité. Et malgré tous les efforts fournis, le mal est déjà fait, les conséquences présentes et il faut les gérer.

La course effrénée entre l’attaquant et le défenseur tourne trop souvent à l’avantage du premier.

Le propriétaire des risques a aussi une corde habituelle à son arc de possibilités : le transfert de risques via l’assurance. Pertes d’exploitation et rançon pourraient alors donc être prises en compte. Mais les malveillants le savent déjà. Par le passé, les FARC en Colombie avaient récupéré la liste des expatriés des compagnies américaines qui étaient assurés contre le kidnapping. Vous pouvez imaginer le résultat. Il suffit de cibler rapidement ces expatriés, de les enlever et la négociation devient une formalité : le montant demandé par les kidnappeurs correspond alors au montant de l’assurance.

Comme les FARC, le cyberattaquant se focalise sur les sociétés d’assurances (espionnage et cyberattaque). Il récupère la liste des entreprises assurées, et le montant garanti de la rançon. Il n’y a plus qu’à se concentrer sur les noms présents sur la liste et là encore, nous sommes dans une fausse négociation où la partie est perdue d’avance.  

Mais, ce n’est pas le pire : le champ d’application des actes de malveillance est tellement vaste et le taux de réussite d’une cyberattaque si élevé que les assureurs font face à une multiplication inédite des cas. Face à une menace, les entreprises utilisent leur police d’assurances pour obtenir la clémence de leur « bourreau numérique ». Et pourtant, rien n’indique que le paiement d’une rançon permet de revenir à la normale. Cette idée de revenir à la normale après une vraie attaque est à oublier. En cas de cyberattaque avérée, la gestion des risques ne suffit plus : vous êtes déjà en situation de crise, que vous le vouliez ou non. Et une crise ne se gère pas en additionnant les experts dans toutes les thématiques concernées : experts cyber, forces de l’ordre, avocats, communicant de crise, assureurs… Tout doit être dirigé, coordonné. La réalité nous montre que toutes ces parties prenantes gèrent leur risque. Le malveillant peut alors dormir sur ses deux oreilles. Il a en face de lui une équipe désorganisée (la plupart des experts impliqués dans la réponse n’ont jamais travaillé ensemble et ne connaissent pas les principes fondamentaux d’une gestion de crise) qui a oublié, dans une très grande majorité des cas, que l’objectif principal n’est pas de tenter de stopper uniquement un processus technique mais un être humain ou un groupe d’individus. 

La première des failles n’est pas technique, elle est humaine

Ainsi, nous continuons à renforcer notre bouclier en espérant un jour que celui-ci résistera à tous les coups de glaive. Le cyberattaquant aime ce défi, et il se fédère avec d’autres pour faire tomber le mur mis en place. En parallèle, il sait déjà que la véritable faille ne se trouve pas dans ce mur érigé à la hâte. La vraie vulnérabilité est humaine. En un clic involontaire sur une pièce jointe, le bouclier se fissure laissant la place à de multiples possibilités. Le virus se diffuse, avec ses variants et variables, touchant et accédant à tout ce qui n’est pas immunisé. 

Le cyberattaquant sait également que malgré les sensibilisations et formations réalisées, la répétition des e-mails et la routine constituent le meilleur duo pour que le clic involontaire se répète encore et encore.

La meilleure façon de traiter un risque est de considérer la cybercriminalité comme une crise.

Gérer la crise de la cybermalveillance

Alors que faire face à une situation permanente (le risque n’est pas potentiel, il est certain) où la technique montre ses limites, où le transfert de risques de plus en plus difficile et l’erreur humaine présente ?

La meilleure façon de traiter un risque est de l considérer la cybercriminalité comme une crise. La crise nécessite une posture dérogatoire où la réponse qui sera apportée n’existe pas en amont. Nous devons alors la créer en reliant les points associés aux impacts et aux parties prenantes, qu’elles soient impliquées ou impactées. En d’autres mots, il serait temps de se mettre autour de la table d’une salle de crise pour apporter une réponse élaborée afin de faire face à ce défi. Arrêter d’agir chacun selon son risque, laissant ainsi la porte grande ouverte aux malveillants. Cela s’appelle la coordination. 

Lilian Laugerat

Président de Solace

Président de Solace, filiale du Groupe GORON, Lilian LAUGERAT dirige le cabinet de conseils SOLACE spécialisé dans l'analyse des risques sûreté et la posture de gestion de crise.

Lire aussi

Télésurveillance et vidéosurveillance : quelle différence ?

une caméra de vidéoprotection
Sécurité & Sûreté humaine
25 juin 2024

Installer un système de sécurité à son domicile, dans son entreprise ou dans un lieu public permet d’éviter bien des accidents ou de contrecarrer des délits. Parmi les options possibles, il y a la télésurveillance et la vidéosurveillance. Mais quelles sont les différences entre ces deux solutions ? Comment savoir…

En quoi consiste un audit de cybersécurité ?

Technologie & Systèmes
11 juin 2024

À l’heure où les cyberattaques se perfectionnent et gagnent en fréquence, la sécurisation des systèmes informatiques s’impose comme une priorité absolue pour toutes les entreprises. Chaque vulnérabilité représente une menace, et une seule faille peut ouvrir la porte à des conséquences désastreuses. C’est dans ce contexte qu’interviennent les audits de…

Comment concilier cybersécurité et sobriété numérique ?

Technologie & Systèmes
13 février 2024

Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…