De nos jours, la cybersécurité fait parler d’elle, d’autant plus que les attaques informatiques ne cessent d’augmenter et de cibler de grandes entreprises et marques. Paradoxalement, l'Agence nationale française de la sécurité des systèmes d'information (Anssi) trouve un motif de se réjouir des attaques informatiques qui se sont multipliées ces derniers mois: elles ont permis une prise de conscience des enjeux de la cybersécurité.
« Si l'on cherche un slogan, 2016 pourrait être caractérisée comme étant l'année de la prise de conscience par l'ensemble de nos publics des questions de cybersécurité », a expliqué Guillaume Poupard, le directeur général de l'Anssi, qui présentait le rapport annuel de ses services.
« Les attaques se sont multipliées, (...) en France et à l'étranger, leur médiatisation aussi, leurs impacts également. Tout cela, évidemment, ouvre les yeux », a-t-il relevé. « 2016, c'est vraiment le tournant entre une période où il y avait encore un doute sur la menace, et une période où la question n'est plus de savoir s'il y a un risque, mais comment fait-on pour se prémunir contre ce risque », a-t-il souligné.
Cette prise de conscience a été « forcée pour certains », a rappelé le patron de l'Anssi, puisque la loi de programmation militaire exige des opérateurs d'importance vitale (OIV, indispensables au bon fonctionnement du pays) qu'ils musclent leur cyberdéfense. « Avec comme logique que leur sécurité, ce n'est pas leur problème à eux, c'est le problème de la nation. »
Evoquant l'année en cours, Guillaume Poupard estime déjà que « 2017 s'annonce comme un bon cru » en matière de cybercriminalité. « Il y aura toujours des attaques », a-t-il prévenu. Mais « le champ des attaques va certainement se déplacer » ; selon lui, si « les réseaux les plus classiques vont être de mieux en mieux protégés », sa « crainte »est que les cybercriminels « partent plutôt sur des attaques à des fins de sabotage de systèmes industriels, de systèmes d'importance vitale, de transport, énergétiques, etc., soit à des fins de conflits entre Etats, soit à des fins de terrorisme ». L'idée est donc d'anticiper, de préparer la défense, afin de limiter les dégâts.
Toutes les attaques informatiques ont démontré à quel point les entreprises dépendent actuellement de ce domaine. Preuve en est la panne informatique géante qui a frappé British Airways. Des dizaines de milliers de passagers, victimes de centaines d'annulations de vols, s'entassant dans les halls des aéroports londoniens à la recherche d'informations.
Agence gouvernementale chargée de coordonner la cyberdéfense de la France, garante de la sécurité des communications du gouvernement et interlocutrice des opérateurs d'importance vitale, l'Anssi a reçu 3235 signalements d'événements de sécurité numérique l'an dernier, et elle est intervenue dans vingt opérations importantes.
L'Anssi, qui joue volontiers le rôle de « pompier cyber », n'est cependant pas intervenue à chaque grande attaque. Elle ne l'a notamment pas fait auprès des quatre « grandes victimes » qu'a récemment fait WannaCry en France, parmi lesquelles le constructeur automobile français Renault qui a indiqué avoir été affecté et des sites de production étaient à l'arrêt en France mais aussi en Slovénie, dans sa filiale Revoz.
En effet, une vague de cyberattaques sans précédent a frappé une centaine de pays, affectant le fonctionnement de nombreuses entreprises et organisations.
De la Russie à l'Espagne et du Mexique à l'Australie, des dizaines de milliers d'ordinateurs ont été infectés par un logiciel de rançon exploitant une faille dans les systèmes Windows, divulguée dans des documents piratés de l'agence de sécurité américaine NSA.
Le service public de santé britannique (NHS), cinquième employeur du monde avec 1,7 million de salariés, semble avoir été la principale victime et potentiellement la plus inquiétante en mettant en danger des patients dans les hôpitaux victimes de ces attaques.
La Banque centrale russe a annoncé que le système bancaire du pays avait également été visé par la cyberattaque, ainsi que plusieurs ministères, et que les pirates avaient tenté de forcer les installations informatiques du réseau ferroviaire.
Le géant américain de livraison de colis FedEx ou encore l’opérateur de télécoms espagnol Telefonica ont également été affectés.
Une autre vague massive de cyberattaques au ransomware, rappelant le mode opératoire du virus WannaCry, a touché des multinationales et des sociétés et services européens et américains, après avoir frappé en Ukraine et en Russie.
Après avoir obligé le géant pétrolier russe Rosneft à passer sur un serveur de secours et la centrale nucléaire ukrainienne de Tchernobyl à revenir à des mesures manuelles du niveau de radioactivité, le « ransomware » Petrwrap causait des pannes informatiques chez le transporteur maritime Maersk, coupait le courant chez le propriétaire des biscuits Lu et Oreo, contraignait des salariés allemands de Nivea à cesser le travail...
Ses moyens étant limités, l'Agence s'emploie à certifier tout un écosystème de prestataires pour auditer les systèmes sensibles, détecter les incidents, réagir, etc. Elle songe même à faire payer ses services, selon Guillaume Poupard, pour qui « l'idée est de rester sur les cas les plus graves, les plus atypiques », et bien sûr sur la protection des services de l'Etat.
Dans le même contexte, et pour dénoncer les auteurs des cyberattaques majeures, dont des exemples récents ont montré les conséquences potentiellement dramatiques, des experts et la société Microsoft préconisent la création d'une ONG internationale privée.
Ce « Consortium global de cyber-attribution », selon le terme utilisé par le centre de réflexion Rand Corp. dans un rapport qu'il vient de publier, serait chargé d'enquêter sur les grandes cyberattaques et de publier, quand ce sera possible, les identités de leurs auteurs, qu'ils soient malfaiteurs, groupes de pirates internationaux ou États.
« Aujourd'hui, l'attribution des cyberattaques est complètement éclatée », a expliqué Paul Nicholas, directeur de la Stratégie globale de sécurité de Microsoft. « Les sociétés privées et les gouvernements disposent de compétences et de technologies disséminées dans le monde entier ».
« C'est très compliqué en cas de cyberoffensives internationales complexes : les principaux acteurs se regardent l'un l'autre, savent à peu près d'où elles peuvent provenir, mais personne ne veut être affirmatif », a-t-il ajouté.
« Voilà ce dont nous ne disposons pas aujourd'hui: une organisation fiable chargée de la cyber-attribution des attaques ».
Cette préconisation avait déjà été abordée par Microsoft dans un rapport publié en juin 2016, appelant à l'adoption de normes internationales en matière de cybersécurité, qui est un enjeu crucial pour le bon fonctionnement de l'internet.
En janvier, l'entreprise créée par Bill Gates a commandé à la Rand, l'un des think tanks américains une étude sur la question. Ce rapport, intitulé « Stateless Attribution - Vers une responsabilité internationale dans le cyberspace », rappelle les exemples récents de cyberattaques majeures, comme celle contre le système électrique en Ukraine, le virus Stuxnet introduit dans les usines iraniennes d'enrichissement d'uranium, les vols de dizaines de millions de dossiers confidentiels de l'Office of personnel management (OPM) américain ou le virus WannaCry, destiné à collecter des rançons dans le monde entier.
« En l'absence de mécanismes institutionnels pour limiter les dangers dans le cyberspace, le risque existe qu'un incident ne menace la paix et l'économie mondiales », estiment les auteurs du rapport. Ils préconisent la création d'une ONG rassemblant des experts et informaticiens privés et indépendants.
Pour le financement de ce consortium, les experts de la Rand suggèrent de faire appel à des organisations philanthropiques internationales, des institutions comme les Nations Unies ou aux grandes sociétés informatiques ou de télécommunications.