« Nous sommes en cyberguerre ! » Vraiment ?

Cyberguerre, un mot qui frappe les esprits dans un contexte géopolitique particulièrement volatil. Et une réalité ? C’est en tout cas ce que souhaite mettre en avant le « Rapport Armis sur l’état de cyberguerre et les tendances 2022-2023 ».

Le document, concocté par Armis, un prestataire de cybersécurité spécialisé dans la gestion de la surface d’attaque, dresse un état des menaces riche d’enseignements. Disons-le d’emblée, parler ici de cyberguerre tient par la définition très large donnée au terme en tête du document : « l’utilisation de cyberattaques, provoquant des dommages comparables à ceux d’une guerre réelle et/ou perturbant des systèmes ou des services vitaux. Les objectifs recherchés peuvent être l’espionnage, le sabotage, la propagande, la manipulation de l’opinion publique, l’intimidation ou l’interruption de services essentiels ». Il est intéressant à ce titre de constater que si les auteurs parlent de cyberguerre, ils ne mentionnent pas la cyberdéfense, mais la cybersécurité, pendant des cyberattaques.

S’il évoque fréquemment le contexte de la guerre russo-ukrainienne, le document ne détaille ainsi pas les opérations proprement militaires sur le front cyber de ce conflit, comme inCyber News a pu le faire à de nombreuses reprises (voir par exemple ici, là, ou encore ici). Il évoque cependant plusieurs cyberattaques attribuées à des groupes russes ou prorusses, dont certaines, comme celle du groupe de pirates informatiques Darkside contre Colonial Pipeline, sont antérieures au début du conflit russo-ukrainien.

45 % des entreprises ont signalé une cyberattaque

Il mentionne aussi la seule véritable opération de cyberguerre à grande échelle d’acteurs privés contre un État, celle de Conti contre le Costa Rica, qui avait poussé ce pays d’Amérique centrale à déclarer l’état d’urgence. Une situation inédite qu’inCyber News avait analysée en détail.

Au-delà de ces cas limite, dans le rapport d’Armis, la géopolitique et les rapports de forces internationaux s’effacent ai profit d’un examen plus classique de la perception des cybermenaces qui pèsent sur les structures privées comme publiques. La société a interrogé quelque 6 000 responsables informatiques et de la sécurité entre mi-septembre et début octobre 2022. Les répondants sont membres de structures de plus de 100 personnes aux États-Unis, au Royaume-Uni, en Espagne, au Portugal, en France, en Italie, en Allemagne, en Autriche, en Suisse, aux Pays-Bas, au Danemark, ainsi qu’en Australie, à Singapour et au Japon.

Et le constat n’a rien de réjouissant, puisque, tous secteurs confondus, 40 % de ces cadres estiment que leur structure a été confrontée à davantage de menaces au cours des six mois précédant l’enquête qu’au cours des six mois précédents. Pire, 45 % d’entre eux ont signalé une cyberattaque. Des chiffres corroborés par les données récoltées par le prestataire lui-même, qui estime que « menaces contre la clientèle internationale d’Armis ont augmenté de 15 % entre septembre et novembre par rapport au trimestre précédent ». Pourtant, « un tiers (33 %) des organisations mondiales ne prennent pas au sérieux la menace de la cyberguerre », déplorent les auteurs du rapport.

« Moins de 10 % du budget IT pour la cybersécurité »

Surface d’attaque étendue, défenses insuffisantes, dégâts potentiels considérables : au niveau mondial, la santé constitue une cible de choix, notamment aux États-Unis, à en juger par les exemples cités dans le rapport. Pourtant, tous les pays ne sont pas logés à la même enseigne. La déclinaison française de cette étude souligne que le secteur du soin hexagonal semble peu touché : « 22 % des personnes interrogées ne sont pas très inquiètes, tandis que 9 % ne le sont pas du tout », précise le document.

De fait, si les hôpitaux demeurent sous pression, « le nombre global de cyberincidents est en baisse, avec 522 déclarations en 2022 », a souligné Marc Loutrel, directeur expertise, innovation et international à l’ANS, lors du Congrès de l’APSSIS, en juin 2023. Une baisse qui se poursuit en 2023, a-t-il encore souligné lors de la manifestation organisée par l’Association Pour la Sécurité des Systèmes d’Information de Santé : « la tendance est positive, nous voyons que les efforts collectifs commencent à payer. »

Armis semble moins optimiste : « devons-nous attribuer ce manque d’intérêt au caractère répété des attaques, les rendant habituelles, au point qu’elles ne méritent plus d’attention ? » En tout cas, les auteurs de l’étude constatent que ce secteur alloue une part encore trop faible de son budget à la cybersécurité, avec 45 % des structures concernées qui « consacrent moins de 10 % de leur budget IT à la cybersécurité ».

Attaques virtuelles, conséquences réelles

Encore plus préoccupant que le secteur de la santé, celui de l’industrie. La convergence, parfois mal maîtrisée, de l’informatique (IT), des technologies opérationnelles (OT) et du contrôle industriel (ICS) le rend particulièrement vulnérable, estiment les auteurs du rapport. Ils soulignent également que certaines des technologies encore employées quotidiennement dans l’industrie sont largement obsolètes, du moins du point de vue de la cybersécurité.

Tout comme dans le secteur de la santé, les répercussions d’une cyberattaque ne sont pas seulement visibles dans le virtuel d’une base de données, mais bien dans le monde physique. Le prestataire se félicite ainsi d’avoir « dévoilé au public trois vulnérabilités zero-day susceptibles d’affecter plus de 20 millions d’appareils APC Smart-UPS (onduleurs intelligents) ». Des failles qui auraient pu permettre à des pirates informatiques de provoquer des surtensions dans ces équipements qui protègent des équipements stratégiques dans les hôpitaux, data centers ou usines, au point d’y mettre le feu.

Troisième focus du « Rapport Armis sur l’état de cyberguerre et les tendances 2022-2023 » : les agences gouvernementales. Ce sont en effet à elle que l’on pense le plus spontanément quand on évoque la guerre informatique. Et ce sont sans doute les structures les mieux préparées à de telles attaques, estiment les auteurs, disposant des moyens les plus considérables, notamment en termes de renseignement et de lutte active contre les cybercriminels.

Être des cibles plus difficiles à attaquer ne les met cependant pas à l’abri, y compris dans les pays les plus développés. « 79 attaques par rançongiciel ont été menées contre des agences gouvernementales. On estime que ces agences auraient perdu environ 18,8 milliards de dollars à cause des frais de récupération et des temps d’arrêt », précise ainsi le document.

Face aux ransomwares, ne pas payer

Ses auteurs soulignent par ailleurs que le niveau de préparation des structures de tout type est encore insuffisant, malgré des budgets en hausse. 41 % des répondants estiment en effet « probable » que leur entreprise accroisse ses investissements en cybersécurité et 37 % « très probable ». Ils détaillent également le type de dépenses envisagées par les responsables informatiques, dans lesquelles la protection des données, la détection des intrusions et la gestion des identités constituent sans grande surprise le trio de tête.

Plus étonnantes sont les réponses à la question de savoir comment les entreprises réagissent face aux ransomwares. Véritable fil rouge du rapport, ce genre d’attaque demeure en effet l’une des plus dangereuses auxquelles les structures privées ou publiques ont à faire face. Tout comme pour le terrorisme ou le kidnapping, la doctrine officielle est en effet « on ne négocie pas, on ne paie pas ». Les bonnes raisons d’agir ainsi sont nombreuses : verser la rançon reviendrait à inciter les pirates informatiques à recommencer et à encourir des risques judiciaires, comme des accusations de financement du terrorisme, par exemple, le tout sans garantie de récupérer ses fichiers ou la maîtrise de son outil de production.

Pourtant, seuls 31 % des responsables de société de plus de 500 personnes affirment s’en tenir à cette ligne. Ils sont 34 % dans le secteur de la santé. À l’inverse, 24 % des répondants avouent payer systématiquement la rançon demandée par les cybercriminels (19 % dans la santé). Des moyennes qui masquent de grandes disparités régionales. 47 % des Américains sont dans ce cas de figure, contre seulement 7 % des Japonais. Ainsi, Colonial Pipeline avait-il cédé aux revendications de DarkSide, mais le FBI avait affirmé avoir saisi la majorité des bitcoins versés aux cyber-ravisseurs.

Souvent difficile, comme dans le monde physique où les négociations en sous-main avec les criminels sont fréquentes, une telle décision serait pourtant la meilleure cyberdéfense possible. Quoi de mieux en effet que de tuer la poule aux œufs d’or pour décourager les renards qui rôdent autour de votre poulailler virtuel ?