kwanchaift - stock.adobe.com
Cybersécurité : 2017, (enfin) l’année de la prise de conscience ?
Les épisodes WannaCry et NotPetya auront assurément marqué les esprits. Certes, de manière paradoxale : même s’ils n’étaient pas des rançongiciels, ils ont attiré l’attention sur cette menace. Reste à savoir si ce sera plus qu’un début.
La menace des ransomwares est loin d’être nouvelle, mais l’année qui s’achève aura peut-être permis une véritable prise de conscience, large, bien au-delà du monde de la cybersécurité. WannaCry d’abord, puis NotPetya, n’ont pas manqué de faire les gros titres au printemps. Certes, avec le recul, il est difficile de parler d’eux comme de rançongiciels. Mais cela ne les empêche pas d’être porteurs d’un enseignement important : le meilleur moyen de se protéger de cette menace, c’est de l’appréhender comme s’il ne s’agissait que de logiciels destructeurs. Cela revient à considérer que payer la rançon n’est pas une option et qu’il n’y a pas d’autre solution que la prévention, entre protection du poste de travail et sauvegardes, notamment.
- WannaCry, un rançongiciel auréolé de mystère
- #NotPetya : sous l’apparence du ransomware, un logiciel destructeur
- Bad Rabbit : un bien curieux feu de paille
- Erebus, le ransomware qui a couté plus d’un million d’euros à un hébergeur
- Ransomware : un fléau qui provoque des dégâts importants
- RDP : un autre vecteur de choix pour les ransomwares
- Ransomware : une menace appelée à progresser encore
Des coûts considérables
L’autre enseignement de ces épisodes concerne les coûts de la cyber-délinquance. Pour des groupes comme Merckn, FedEx, Maersk, Saint Gobain, Modelez ou encore Reckitt Benckiser, ceux-ci n’ont plus rien de théoriques : ils sont inscrits noir sur blanc dans leurs comptes. Et cela aidera peut-être plus largement à faire que la sécurité informatique cesse de n’être vue que comme un poste de dépenses.
Car si l’option assurantielle peut séduire – voire s’avérer indispensable –, elle n’est pas suffisante, et comporte elle-aussi des risques, potentiellement systémiques. En tout cas, si les menaces informatiques ne semblent pas toujours bien prises au sérieux dans les entreprises, elles sont loin d’être ignorées de tous : elles étaient encore au menu du Forum Economique Mondial de Davos en janvier dernier. Si c’était nécessaire, les projections de Lloyd’s of London soulignent l’ampleur des risques.
- NotPetya : des coûts dans la durée pour Merck
- Lucien Mounier, Beazley : pour WannaCry, « ça aurait pu être pire »
- Ransomware : le sujet tout sauf consensuel de l’industrie de l’assurance
- Le Forum économique mondial s’inquiète toujours des cyberattaques
- Le coût d’une cyber-catastrophe majeure ? Jusqu’à 121 Md$ selon Lloyd’s
Des systèmes industriels de plus en plus visés
Et le risque n’est pas uniquement financier. Fin 2016, le réseau de distribution électrique ukrainien a encore été visé. Et l’opération n’avait rien d’isolée : elle s’est appuyée sur un framework taillé spécifiquement pour attaquer les réseaux électriques, une trousse à outils modulaire et évolutive. Outre-Atlantique, le FBI et le ministère de l’Intérieur ont d’ailleurs alerté le secteur de l’énergie sur l’attention dont il fait l’objet de la part de cyber-attaquants. Plus près de nous, cela aurait été également le cas outre-Manche. Et pour ne rien gâcher, un nouveau framework, Triton, vient d’être découvert, potentiellement très dangereux même si ça mise en œuvre apparaît complexe : il vise les systèmes de sûreté industrielle.
Mais toutes ces menaces spécialisées ne doivent pas faire oublier les risques induits par les logiciels malveillants génériques, qui ne manquent d’affecter les systèmes de contrôle industriel…
- Ukraine : nouvelle coupure électrique causée par une attaque informatique
- Crashoverride, une menace taillée pour les réseaux électriques
- Qui s’intéresse au nucléaire américain ?
- Energie : les infrastructures britanniques et irlandaises également visées
- Triton, le maliciel qui vise les systèmes de sûreté industrielle
- Systèmes industriels : surtout victimes de logiciels malveillants génériques
Objets connectés
Mais une autre prise de conscience, tout aussi bienvenue, emble avoir eu lieu cette année : celle du risque que représentent les objets connectés et leur manque de sécurisation. L’agence européenne de la sécurité des réseaux et de l’information (Enisa) s’est penchée sur le sujet, avec des industriels du secteur, pour formuler des recommandations. Mais pour certains experts, il va falloir s’habituer à vivre avec des objets connectés impossibles à sécuriser. Une sorte de poubelle numérique inévitable.
Face à cela, des opérations – illégales en France – ont émergé, visant à rendre inutilisable des objets mal sécurisés, ou à la sécuriser à l’insu de leur propriétaire… Mais dans le même temps, Mirai continue de faire des émules menaçant de nouvelles attaques de masse.
