Depuis de nombreux mois, pas un jour ne survient sans qu’une cyberattaque ne défraie la chronique. Ces attaques semblent faire partie de notre quotidien. Pourtant, elles révèlent une réalité dont nous ne mesurons pas encore la véritable ampleur. Sans tomber dans le catastrophisme, la cybercriminalité est devenue et restera encore pour de nombreuses années un véritable eldorado pour les auteurs d’actes de malveillance. Et ces auteurs ne sont pas représentés uniquement par des individus mais bel et bien par des organisations de plus en plus structurées avec une seule et véritable intention : nuire aux particuliers, aux entreprises et aux États. Lilian Laugerat, président de Solace et expert en gestion des risques sûreté fait le point sur cette menace qu’il faut désormais appeler par son nom : une crise ouverte, au-delà du simple risque.

La cybercriminalité, ou l’art d’atteindre tous les objectifs des malveillants

La cybercriminalité offre un large éventail de possibilités pour atteindre la totalité des objectifs des auteurs de malveillance. À y regarder de plus près, elle reprend toutes les méthodes des actes traditionnels de malveillance. La seule différence est que vous n’avez plus besoin de vous déplacer : tout se fait à distance, en laissant peu de traces et peu de place pour mettre en place des solutions pérennes, tant la menace évolue vite.

Le cyberattaquant a compris qu’il pouvait obtenir beaucoup de ses actions. En premier lieu, de l’argent – cryptomonnaie, de préférence – par le paiement simple d’une rançon. Nous n’enlevons plus des personnes, nous kidnappons des données confidentielles. Et si cela ne suffit pas, le cyberattaquant entrave l’activité de la personne ou de l’entreprise visée pour accroître la pression. Objectif, le paiement rapide. Et si cela ne suffit encore pas, il peut médiatiser l’acte, pour l’instant sur le Dark Web, repaire et tanière favoris des cybermalveillant. Données volées, photos compromettantes… après le dommage aux biens, le dommage aux personnes. Enfin, les attaques peuvent même générer potentiellement des victimes, entraver le bon fonctionnement des hôpitaux, des usines de traitement d’eau, des ports, etc. La cybercriminalité ne semble plus connaître de limite.

À Paris, l’AP-HP victime de cyberattaques en 2020, comme plusieurs autres établissements de santé en France.

L’arsenal est immense et les possibilités offertes infinies. Certes, le combat n’est pas désespéré : dans certains cas, les cybermalveillants sont arrêtés, soit à cause d’une erreur, soit pour s’être attaqués à des organisations ou des États trop puissants. Mais, à l’instar du trafic de drogue, les flux sont si importants que nous ne pouvons pas tous les intercepter. Et les cyberattaques se poursuivent…

L’impossible gestion du risque cyber

Face à ce risque, les entreprises se sont repliées vers les solutions traditionnelles. Tout d’abord, les solutions d’ordre technique. Rien de mieux que des experts pour contrecarrer les attaques de ces malveillants (experts eux aussi). Solution logique au premier abord, mais le bouclier est déjà fissuré avant même d’avoir reçu son premier choc. Il y a toujours meilleur que soi et la course effrénée entre l’attaquant et le défenseur tourne trop souvent à l’avantage du premier. La palette technique offerte est si large que la proactivité est très difficile. Encore une fois, nous sommes dans la réactivité. Et malgré tous les efforts fournis, le mal est déjà fait, les conséquences présentes et il faut les gérer.

La course effrénée entre l’attaquant et le défenseur tourne trop souvent à l’avantage du premier.

Le propriétaire des risques a aussi une corde habituelle à son arc de possibilités : le transfert de risques via l’assurance. Pertes d’exploitation et rançon pourraient alors donc être prises en compte. Mais les malveillants le savent déjà. Par le passé, les FARC en Colombie avaient récupéré la liste des expatriés des compagnies américaines qui étaient assurés contre le kidnapping. Vous pouvez imaginer le résultat. Il suffit de cibler rapidement ces expatriés, de les enlever et la négociation devient une formalité : le montant demandé par les kidnappeurs correspond alors au montant de l’assurance.

Comme les FARC, le cyberattaquant se focalise sur les sociétés d’assurances (espionnage et cyberattaque). Il récupère la liste des entreprises assurées, et le montant garanti de la rançon. Il n’y a plus qu’à se concentrer sur les noms présents sur la liste et là encore, nous sommes dans une fausse négociation où la partie est perdue d’avance.  

Mais, ce n’est pas le pire : le champ d’application des actes de malveillance est tellement vaste et le taux de réussite d’une cyberattaque si élevé que les assureurs font face à une multiplication inédite des cas. Face à une menace, les entreprises utilisent leur police d’assurances pour obtenir la clémence de leur « bourreau numérique ». Et pourtant, rien n’indique que le paiement d’une rançon permet de revenir à la normale. Cette idée de revenir à la normale après une vraie attaque est à oublier. En cas de cyberattaque avérée, la gestion des risques ne suffit plus : vous êtes déjà en situation de crise, que vous le vouliez ou non. Et une crise ne se gère pas en additionnant les experts dans toutes les thématiques concernées : experts cyber, forces de l’ordre, avocats, communicant de crise, assureurs… Tout doit être dirigé, coordonné. La réalité nous montre que toutes ces parties prenantes gèrent leur risque. Le malveillant peut alors dormir sur ses deux oreilles. Il a en face de lui une équipe désorganisée (la plupart des experts impliqués dans la réponse n’ont jamais travaillé ensemble et ne connaissent pas les principes fondamentaux d’une gestion de crise) qui a oublié, dans une très grande majorité des cas, que l’objectif principal n’est pas de tenter de stopper uniquement un processus technique mais un être humain ou un groupe d’individus. 

La première des failles n’est pas technique, elle est humaine

Ainsi, nous continuons à renforcer notre bouclier en espérant un jour que celui-ci résistera à tous les coups de glaive. Le cyberattaquant aime ce défi, et il se fédère avec d’autres pour faire tomber le mur mis en place. En parallèle, il sait déjà que la véritable faille ne se trouve pas dans ce mur érigé à la hâte. La vraie vulnérabilité est humaine. En un clic involontaire sur une pièce jointe, le bouclier se fissure laissant la place à de multiples possibilités. Le virus se diffuse, avec ses variants et variables, touchant et accédant à tout ce qui n’est pas immunisé. 

Le cyberattaquant sait également que malgré les sensibilisations et formations réalisées, la répétition des e-mails et la routine constituent le meilleur duo pour que le clic involontaire se répète encore et encore.

La meilleure façon de traiter un risque est de considérer la cybercriminalité comme une crise.

Gérer la crise de la cybermalveillance

Alors que faire face à une situation permanente (le risque n’est pas potentiel, il est certain) où la technique montre ses limites, où le transfert de risques de plus en plus difficile et l’erreur humaine présente ?

La meilleure façon de traiter un risque est de l considérer la cybercriminalité comme une crise. La crise nécessite une posture dérogatoire où la réponse qui sera apportée n’existe pas en amont. Nous devons alors la créer en reliant les points associés aux impacts et aux parties prenantes, qu’elles soient impliquées ou impactées. En d’autres mots, il serait temps de se mettre autour de la table d’une salle de crise pour apporter une réponse élaborée afin de faire face à ce défi. Arrêter d’agir chacun selon son risque, laissant ainsi la porte grande ouverte aux malveillants. Cela s’appelle la coordination. 

Lilian Laugerat

Président de Solace

Président de Solace, filiale du Groupe GORON, Lilian LAUGERAT dirige le cabinet de conseils SOLACE spécialisé dans l'analyse des risques sûreté et la posture de gestion de crise.

Lire aussi

Et si écouter la ville permettait
d’améliorer les systèmes
de vidéosurveillance ?

Image de la ville avec la foule qui traverse.
Technologie & Systèmes
16 novembre 2021

À la recherche de nouvelles technologies, les villes font désormais appel à des start-up et à leurs dispositifs innovants en termes de sécurité et de sûreté, afin de maîtriser les menaces et de prévenir certains risques. De Cleveland aux États-Unis, à Orléans et la région Sud en France, les communes…

Cybersécurité : les JO de Paris 2024
sortent le grand jeu

Tour Eiffel à Paris le long de la Seine
Technologie & Systèmes
19 octobre 2021

Les performances des hackers s’améliorent édition après édition. Pour les Jeux olympiques de Paris en 2024, leurs appétits devraient être plus aiguisés encore. Pour tenter de contrer la menace, les organisateurs s’allouent les services de poids lourds de la cybersécurité, dont le chinois Alibaba, au risque de susciter la controverse….

« La nouvelle norme internationale de vidéosurveillance
pourrait être testée lors des JO de Paris 2024 »

Equipe de rameurs JO vue de haut
Technologie & Systèmes
7 octobre 2021

Et si les logiciels de vidéosurveillance pouvaient demain davantage communiquer avec ceux des services de sécurité pour améliorer la rapidité et l’efficacité opérationnelles ? Un groupe d’experts planche actuellement à la mise au point d’une norme internationale qui renforcerait l’interopérabilité des systèmes. Le Français Jean-François Sulzer, consultant spécialiste en conseil…