FIC 2019 : où l’on parle enfin ouvertement de la chaîne logistique des attaques
Discrètement, mais sûrement, le secrétaire d’Etat auprès du ministère de l’Intérieur et le directeur général de l’Anssi ont rappelé que l’on peut être attaqué sans être la cible réellement visée. De quoi souligner la dimension collective de l’enjeu.
Laurent Nuñez, secrétaire d’Etat auprès du ministère de l’Intérieur, l’a évoqué en premier, lors de son allocution en ouverture du Forum international de la cybersécurité (FIC), qui se déroule actuellement à Lille : on peut être touché par une attaque informatique sans être la cible finale de l’opération dans laquelle celle-ci s’inscrit. Il parle d’attaques en « mode rebond ». Ce message est rarement porté à ce niveau, suffisamment pour ne passer inaperçu.
Pour les plus aguerris, ce message renvoie à un exemple historique : celui de l’attaque ayant touché RSA. A l’automne 2011, l’éditeur en tirait publiquement et ouvertement les leçons. Deux groupes avaient été à la manœuvre, le premier servant de couverture au second. Mais il n’était pas la cible finale de l’opération, seulement un intermédiaire dans une chaîne d’attaque plus étendue. A l’époque président de RSA, Tom Heiser le soulignait : « souvenez-vous, vous pouvez être attaqué dans le cadre d’une attaque plus vaste, visant quelqu’un d’autre ». Lockheed Martin et Northrop Grumman auraient été attaqués à la suite de l’intrusion chez RSA.
Le cas n’est pas isolé et l’histoire s’est répétée depuis. L’attaque dont a été victime la chaîne de magasins Target fin 2013 aurait ainsi commencé par le détournement des identifiants d’un sous-traitant chargé… de la climatisation. Plus récemment, on peut également prendre l’exemple de l’éditeur MeDoc, dont la compromission aurait servi de point de départ à l’incident NotPetya. C’était en 2017. La leçon est la même, claire et simple : il n’y a pas de porte d’entrée trop étroite pour des attaquants déterminés.
Alors plus tard, lorsque Guillaume Poupard envoie le message de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) de 2019 – « tous connectés, tous impliqués, tous responsables » –, il ne renvoie pas à une autre idée. Et cela d’autant plus que sa principale inquiétude aujourd’hui, ce sont les attaques où « l’objectif n’est pas explicite », où l’on cherche à s’introduire sans viser de résultats immédiats. Pour lui, « certains préparent des conflits futurs et cherchent à pré-positionner des charges ». Et il ne s’agit pas « de petits pirates, de cybercriminels, mais de services [d’Etats, NDLR] avec des moyens importants s’inscrivant dans la durée ». Ce n’est pas une révolution pour lui, mais évolution, un durcissement. Et d’alerter sur la tentation de la sous-estimation.
Ce message, Laurent Nuñez et Guillaume Poupard n’ont pas été les seuls à le porter, en cette première journée du FIC 2019. Présentant les résultats d’une enquête sur l’adoption des pratiques de cybersécurité dans les TPE et PME, la CPME, et ses partenaires, dont Cinov-IT et le Clusif, ont joint leurs voix. Soulignant le fait que quatre PME/TPE sur dix – hors entreprises du numérique – sont concernées par les attaques, Alain Assouline, président du Cinov-IT l’a clairement rappelé : « elles continuent à être attaquées parce qu’elles peuvent constituer une porte d’entrée sur les grosses entreprises » dont elles sont susceptibles d’être, d’une manière ou d’une autre, sous-traitantes et fournisseurs. Alors pour lui, « il y a là un sujet important qu’il faut traiter ».