A l’occasion du SIDO 2019, Gerôme Billois, partner Wavestone, échangeait lors d’une conférence sur la cybersécurité avec Keren Elazari, Frédéric Valette et Stéphanie Buscayret. Retour sur les grands enseignements de cette plénière.
Les cyberattaques prennent sans cesse de nouvelles formes et il ne s’agit plus de se protéger seulement par des moyens techniques. Il convient également de faire intervenir l’humain, de mobiliser l’ensemble des forces de l’entreprise et d’impulser de nouvelles collaborations à tous les niveaux.
Aujourd’hui, le déluge d’informations et de nouveaux systèmes liés à la transformation numérique s’accompagne d’un nombre croissant d’attaques, attaques qui démontrent un niveau d’expertise de plus en plus élevé depuis 2018.
Trois tendances en matière de cyberattaques pour ce début 2019 :
Les ransomwares ciblés visent les entreprises de taille importante présentant des faiblesses en matière de cybersécurité. Ces entreprises voient leur réseau d’ordinateurs bloqué par des cybercriminels demandant une rançon.
.
Les attaques liées « business » touchent des systèmes “métier” à la fois rentables et sensibles. British Airways en a fait les frais : suite à une modification du code du site web de la compagnie, des cyberattaquants ont réussi à capturer le numéro de carte bancaire des clients au moment de la saisie ; c’est aussi le cas de banques dont les systèmes ont été corrompus par des attaquants qui ont pris le temps de les comprendre en profondeur.
Les attaques sur la supply chain ciblent les fournisseurs plus vulnérables que leurs clients. On peut notamment évoquer l’attaque d’Asus où l’éditeur a été directement touché, impactant tous ses utilisateurs mais aussi des attaques plus ciblées sur les systèmes d’information.
Face à des cyberattaques de plus en plus nombreuses, il est important de se pencher sur les motivations de ces criminels informatiques pour prioriser les réponses à apporter dans l’entreprise. Quatre motivations principales se détachent du lot :
/ L’idéologie: les cyberattaquants visent des entreprises auxquelles ils souhaitent nuire. On peut citer ArcelorMittal qui a vu son site web piraté avec la diffusion d’un message de dénonciation suite à un plan de licenciement massif alors que l’entreprise réalisait des bénéfices,
/ Le gain financier : les transactions frauduleuses, le détournement de fonds, la vente de données volées et les rançons représentent une source de revenu conséquente pour les cybercriminels. Ce sont ces attaques qui sont le plus souvent rencontrés sur le terrain par les équipes de Wavestone,
/ La déstabilisation : le but est de fragiliser une organisation ou de faire cesser son fonctionnement en détruisant ses systèmes informatiques et en volant et révélant des données stratégiques. Cela a été le cas lors des présidentielles américaines avec la diffusion de plus de 20 000 mails de sept responsables du comité démocrate par Wikileaks,
/ L’attaque via un tiers : souvent oubliée mais demeurant importante, cette motivation concerne les cybercriminels qui souhaitent attaquer une organisation particulière en passant par une autre. Ce point rejoint la tendance croissante d’attaques sur les chaînes logistiques.
De manière générale, le marché noir en croissance, le faible niveau de risque dû aux techniques d’anonymisation utilisées par les cybercriminels, les difficultés des poursuites judiciaires, l’expertise facilement accessible et la transformation numérique sont les raisons pour lesquelles la cybercriminalité augmente.
Il est fondamental pour les organisations d’anticiper le plus rapidement et le plus efficacement possible les nouveaux risques en changeant de point de vue et en se mettant dans la peau d’un cybercriminel pour voir ce qui les intéresse le plus.
Dans l’aéronautique, la supply chain est devenue cible privilégiée des cyberattaques
Avant 2014, la cybersécurité était surtout centrée sur l’avionneur mais depuis 2016, les attaques sur la supply chain se multiplient. Sur les quelques 2000 fournisseurs en Europe, certaines sociétés de petite taille sont vulnérables faute de moyens à engager sur la sécurité. En réponse à cette évolution, les acteurs du marché cherchent à se protéger notamment grâce à des programmes comme AirCyber qui permettent à tous les fournisseurs d’évaluer leur maturité, de bénéficier d’un catalogue de services cyber approuvés par les donneurs d’ordre et d’avoir accès à du matériel.
Dans l’industrie de l’armement, le constat est le même
Comme le souligne Frédéric Valette, Chargé de mission cyberdéfense au ministère des Armées, les cyberattaques ciblent les sous-traitants et les fournisseurs de services numériques. La Direction Générale de l’Armement joue un rôle fondamental en travaillant avec les grands industriels pour établir une cartographie des acteurs du marché et mettre en place un accompagnement avec une instance de discussion. En parallèle, elle a fixé un certain niveau d’exigence en matière de sécurité pour les entreprises de l’industrie. Toutefois, certaines PME ne disposent pas des moyens nécessaires à l’amélioration de leur SI et une réflexion est actuellement en cours autour d’un travail collaboratif où grands industriels accompagneraient les plus petites structures.
Le mot d'ordre : solidarité et coopération
Alors que certains secteurs comme la Finance investissent des centaines de millions d’euros en cybersécurité, d’autres comme l’industrie et les services à faible marge n’ont pas encore mis en place une réelle stratégie de cybersécurité. Nous retrouvons cette faiblesse au sein des PME et ETI avec une maturité de la cybersécurité qui dépend de la sensibilité du dirigeant. Il semble impératif de sensibiliser non seulement les dirigeants sur ce sujet, mais aussi les collaborateurs.
Pour Frédéric Valette, les opérationnels ne faisaient pas, jusqu’à maintenant, le lien entre vol de données et impact opérationnel. Avec l’augmentation des attaques métier, il est important d’impliquer l’ensemble des collaborateurs dans la sécurisation des systèmes d’information. La DGA investi 15 milliards d’euros par an, il est nécessaire pour elle d’identifier les missions critiques des acteurs de l’armement et mener des analyses de risques afin de bien évaluer le risque cyber sur ces investissements.
Chez Latécoère, Stéphanie Buscayret a insisté sur le fait que la DSI n’est plus le seul garant de la donnée. En cartographiant son écosystème, la CISO de l’équipementier s’est rendu compte du rôle stratégique des services achats et juridique. Rapidement, il est apparu important de mettre la sécurité de l’information dans des clauses explicites des contrats de prestation. Une formation a d’ailleurs été mise en place pour sensibiliser les équipes avec des outils permettant d’intégrer la clause adéquate en fonction des contractants. Selon Stéphanie, il s’agit d’une bonne pratique applicable à toutes les industries et à tous types de structures.
Qu'en est-il de l'innovation au sein du cyber-ecosystème ?
Aujourd’hui, plus de 120 start-ups en France font de la cybersécurité leur métier. Il ne faut pas hésiter à solliciter ces structures pour continuer à innover dans les solutions de sécurité. En France, l’Agence Nationale de la Sécurité Informatique a mis en place des visas de sécurité, une initiative qui permet à la fois aux entreprises d’avoir des produits et services conformes aux niveaux exigés, mais également aux start-ups de mieux vendre leurs produits aux grands groupes industriels. Parallèlement, à l’échelle européenne le Cyber Security Act devient le cadre législatif qui permettra d’homogénéiser le niveau de certification des systèmes informatiques au sens large. Pour Stéphanie Buscayret et Frédéric Valette, à produit équivalent, le choix est tourné vers un service certifié.
D’autre part, pour les entreprises du domaine de la cybersécurité, l’innovation est un élément clé à maîtriser face à des attaques de plus en plus intelligentes. D’ailleurs, la DGA accompagne les PME en leur accordant des subventions pour l’innovation allant jusqu’à 80%.
L’Intelligence Artificielle, opportunité ou menace ?
On observe sur le terrain une frénésie pour l’Intelligence Artificielle avec une multiplication de projets et de POCs qui ne prennent pas en compte les risques spécifiques à cette technologie. Au-delà des risques classiques des systèmes numériques, on peut identifier trois grands types d’attaques à prendre en compte :
L’empoisonnement, c’est injecter des données malicieuses, dans le but de détourner l’usage de l’IA.
L’ingérence, c’est jouer avec les limites d’une IA pour obtenir des informations. Par exemple, en discutant avec un chatbot, un utilisateur malveillant pourrait demander et obtenir une information concernant l’utilisateur précédent.
L’évasion, c’est berner une IA en lui créant une illusion d’optique. Une équipe de chercheurs a réussi à transformer un panneau « stop » en panneau « route prioritaire » simplement en modifiant le panneau initial avec des rubans adhésifs. Des technologies comme les véhicules autonomes peuvent rapidement devenir vulnérables face à ce genre d’attaques.
Pour Frédéric Valette, on s’aperçoit que l’Intelligence Artificielle démultiplie l’impact des cyberattaques avec des robots qui produisent des attaques plus puissantes que celles des humains. Certains gestes simples, pourraient pourtant permettre de mieux encadrer cette technologie, comme la mise en place d’une liste noire des informations à ne pas communiquer.
En résumé, pour qu’une stratégie de cybersécurité soit plus efficace, Stéphanie Buscayret estime qu’il est important que tout l’écosystème soit concerné. Au-delà des conseils d’organisations et de prises en compte de la menace, il s’agit de vérifier le bon fonctionnement et la solidité de leurs systèmes de sauvegarde, systèmes qui pêchent très régulièrement lorsque Wavestone intervient pour aider des entreprises touchées par des cyberattaques.
Pour aller plus loin… les « friendly hackers »
Keren Elazari, professeur chercheur à l’Université de Tel Aviv, est convaincue que les hackers peuvent jouer un rôle dans la cyberdéfense. Des hackers ont réussi à pirater des systèmes afin d’en trouver les failles et à alerter de manière éthique les responsables concernés. Barnaby Jack, un friendly hacker, a découvert qu’il était possible de pirater un injecteur d’insuline, le rendant dangereux. Samy Kamkar a, pour sa part, créé un drone capable de prendre le contrôle d’autres drones. Ce type de solution pourrait être très utile notamment face aux drones espions.
Des communautés comme « I am the Cavalry » ont vu le jour pour faire de la recherche en cybersécurité sur divers domaines. D’ailleurs, beaucoup d’entreprises comme Intel, Facebook, Verizon, Google et Samsung travaillent aujourd’hui avec des hackers dans le cadre de leur stratégie de cybersécurité. Elon Musk, PDG de Tesla s’est même rendu à la DefCon – plus grande conférence de la communauté des hackers – pour trouver les meilleurs hackers avec une récompense pour ceux qui identifient les plus grosses failles.