La cybersécurité au cœur des tensions géopolitiques
Le sujet a fait l'objet de nombreux débats lors l'édition 2018 de la Munich Security Conference qui se déroulait ce week-end, sur fond notamment de l'épisode NotPetya attribué ouvertement à la Russie par les membres du club des Five Eyes.
Le ministre britannique des Affaires étrangères a condamné, jeudi 15 février dernier, la Russie pour la diffusion du maliciel NotPetya, l’an dernier. Les Etats-Unis ont suivi aussitôt, accusant l’armée russe d’avoir lancé là « la plus destructrice et coûteuse cyber-attaqque de l’histoire ». Sans surprise, le reste du club dit des Five Eyes, s’est rallié à cette position : Canada, Australie, et Nouvelle Zélande. Mais avec quelques nuances pour certains. Le Canada ne met ainsi pas directement en cause le pays ou son armée, mais « des acteurs en Russie ». L’Australie estime toutefois que ces acteurs ont reçu le « soutien » de l’état russe. L’ambassadeur de la Russie à Londres n’a pas manqué de dénoncer des accusations « sans preuve ».
Mi-janvier, nos confrères du Washington Post rapportaient que la CIA avait attribué l’épisode NotPetya à la Russie, évoquant « un effort de perturbation du système financier [de l’Ukraine] sur fond de conflit avec des séparatistes loyaux au Kremlin ».
Début juillet dernier, de nombreux experts du renseignement sur les menaces informatiques penchaient déjà pour cette hypothèse. Anton Gerashchenko, ministre de l’Intérieur ukrainien, décrivait l’opération comme faisant « partie de la stratégie globale de guerre hybride de la Russie contre l’Ukraine ».
Mais cet effort collectif d’attribution officielle de la part des Five Eyes relève-t-il du hasard du calendrier ? Pas tant que cela, peut-être tenté de penser, car se déroulait ce week-end la conférence internationale de la sécurité de Munich, la Munich Security Conference (MSC).
Et justement, Rob Joyce, conseiller spécial du président américain et coordinateur cybersécurité du conseil de la sécurité nationale, a assuré, à cette occasion, que les Etats-Unis allaient « travailler sur la scène internationale pour imposer des conséquences » aux responsables de l’épisode NotPetya : « la Russie doit comprendre que nous devons nous comporter de manière responsable sur la scène internationale ».
En fait, à certains égards, la Munich Security Conference semble avoir résonné de messages déjà entendus en janvier du côté de Davos, où le rapport du Forum économique mondial sur les risques plaçait les attaques informatiques en troisième place des risques aujourd’hui considérés comme les plus probables de se concrétiser.
La ministre de la Défense allemande, Ursula von der Leyen (en photo), a ainsi déclaré à nos confrères de CNBC que, selon elle, le plus grand risque pour la stabilité mondiale aujourd’hui est le risque cyber, « parce que quels que soient les adversaires auxquels vous pouvez penser, et même si l’on parle de Daesh, ils utilisent le domaine cyber pour se battre contre nous ». Pour la ministre, « cette décennie sera celle de l’amélioration de notre cybersécurité ».
On pourra alors voir comme un pas dans cette direction la signature d’une charte dite de confiance, toujours à l’occasion de la MSC, par neuf acteurs de l’industrie. Lancée sous la houlette de Siemens, cette charte a donc recueilli les signatures d’Airbus, Allianz, Daimler, IBM, NXP, SGS, Deutsche Telekom, et la MSC elle-même. Elle identifie dix domaines d’action et appelle à ce que la responsabilité de la cybersécurité soit assumée au plus haut niveau des gouvernements et des entreprises – avec ministères dédiés et postes de RSSI –, mais également que les entreprises se plient à des certifications obligatoires par des tiers indépendants pour les systèmes liés aux infrastructures critiques. La charte appelle également à des efforts plus soutenus en matière de formation et de sensibilisation.
Chrystia Freeland, ministre canadienne des Affaires étrangères, a accueilli favorablement cette initiative en soulignant l’importance de sécuriser les infrastructures critiques.