Victoria - Fotolia
La cyberguerre des chiffres
Les grandes institutions feraient l’objet de dizaines, voire de centaines de milliers d’attaques informatiques par an, si ce n’est de millions. Des chiffres astronomiques qui provoquent soit la stupéfaction, soit l’incrédulité. Mais qui surtout masquent la réalité de la menace et risquent d’anéantir les velléités de lutte pragmatique.
Début janvier, Jean-Yves Le Drian, ministre de la Défense, avait avancé un chiffre, dans les colonnes du JDD : 24 000. Selon lui, ce serait le nombre d’attaques informatiques « externes » bloquées l’an passé par « nos dispositifs de sécurité ».
Le chiffre a de quoi impressionner. Surtout, il interroge : de quoi parle-t-on ? De quels types d’incidents ? De simples ransomwares comme beaucoup en ont été victimes l’an passé ? De dénis de service (DDoS) ? De tentatives de défiguration de sites Web ?
Sur Twitter, certains n’ont pas manqué d’ironiser : « Super! La Défense a un anti-virus à jour ». Sous-entendu : qui détecte les logiciels malveillants connus et génère ainsi des alertes.
Ne faudrait-il donc voir là qu’une opération de FUD (fear, uncertainty, doubt, ou communication de la peur) ? Si c’est le cas, le ministère de la Défense français semble vraiment jouer petit bras. De l’autre côté du Rhin, dans les colonnes de Bild, Ludwig Leinhos, directeur du cyber commandement de l’armée allemande, frappe considérablement plus fort : il assure que les ordinateurs de la Bundeswehr ont été attaqués rien moins que 284 000 fois au cours des neuf premières semaines de 2017.
Pas question toutefois de rentrer dans le détail des attaques ni des objectifs présumés - ou observés - des pirates. On ne communique que des généralités. Peut-être pour justifier la consolidation, sous un seul cyber commandement, de 13 500 experts jusque là dispersés au travers des différents corps d’armée. Une opération annoncée fin mars.
A sa décharge, Jean-Yves Le Drian, dans son approche modeste en regard de celle de Ludwig Leinhos, précise quelque peu la nature des assauts. Il s’agirait de « tentatives d’atteinte à l’image du ministère [dont le site Web profite des outils d’Incapsula, NDLR], des attaques menées à des fins stratégies (harcèlement, repérage, espionnage), et même des tentatives de perturbation de nos systèmes de drones ».
On peut s’interroger sur le fait que ces derniers puissent être attaquables par des tiers, extérieurs aux systèmes de commande. Mais le ministre se veut rassurant : « nos défenses tiennent bon, et aucune attaque sur le ministère de la Défense n’est parvenue à ses fins ».
Parce qu’il y a attaque et attaque
Reste à savoir de quoi on parle. Car pour Guillaume Poupard, patron de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), une attaque qui compte est une attaque « réussie, qui a des conséquences critiques en France […] qui déclenche des opérations de cyberdéfense ».
Et de telles attaques, il n’en compte qu’une vingtaine l’an passé. Dès lors, interrogé sur ce sujet à l’occasion du Forum international de la cybersécurité (FIC), fin janvier, il estimait « ne pas compter la même chose ».
Si ce qui peut ainsi ressembler à une forme de dramatisation est décrié par certains, estimant qu’il ne sert à rien de donner de tels chiffres, d’aucuns considèrent en revanche que « cela permet déjà de sensibiliser là où il n’y a rien pour déceler les attaques ». Mais de manière véritablement efficace ? Là est la vraie question.
Les participants à l’édition 2014 du FIC considéraient majoritairement que la cybersécurité échouait dans ses missions, malgré les messages d’espoir de certains acteurs du domaine. Deux ans plus tard, à l’occasion d’une table ronde consacrée à l’usine du futur (souvent dite 4.0), Mathieu Hernandez, architecte référent SSI chez Engie Inéo, soulignait une dichotomie tranchée : d’une part,« beaucoup de personnes pensent que leurs systèmes ne constituent pas une cible », tandis que d’autres s’avèrent défaitistes et disent « je ne peux pas lutter contre ce type d’attaque ».
Justement, n’est-ce pas le message qu’envoient au final Jean-Yves Le Drian et Ludwig Leinhos, au plus grand nombre, sans probablement s’en rendre compte. A les écouter, un patron de TPE ou de PME ne sera-t-il pas tenté de se dire : « je ne suis pas une cible aussi intéressante. Et de tout façon, si je suis attaqué comme cela, je n’aurai jamais les moyens de me défendre ».
A afficher des volumes d’attaques effrayants ou à insister sur la prétendue sophistication des attaques, on laisse encore et toujours de côté le point clé qu’est « l’humain ».
Cet humain qui clique sur le lien reçu par courriel, qui renvoie vers une page Web falsifiée, pour mieux lui soutirer ses identifiants. Cet humain qui clique sur la pièce jointe qui va compromettre son poste de travail et permettre à l’attaquant de prendre pied sur le réseau.
Ne l’oublions pas, le hameçonnage ciblé (phishing) reste le point de départ de nombreuses attaques véritables, comme le piratage de l’Elysée en 2012 ou celui de Bercy, un an plus tôt.
L’humain, encore et toujours négligé
Lors de l’édition 2014 du FIC, Patrick Pailloux, encore à l’époque patron de l’Anssi, misait bien sur un travail d’éducation alors encore limité en France. L’éducation de citoyens qui, une fois dans leur milieu professionnel, deviennent des utilisateurs et constituent une ligne de défense clé du système d’information.
En janvier 2016, une étude réalisée par Solucom (devenu depuis Wavestone) et Conscio Technlogies mettait en évidence une impréparation préoccupante des collaborateurs des entreprises françaises face aux questions clés de la sécurité informatique. Quelques mois plus tard, une étude de l’institut Ponemon pour Experian montrait que la sensibilisation aux bonnes pratiques de sécurité restait largement insuffisante, la faute notamment à des directions ne semblant pas croire à l’efficacité de ces efforts.
Pour autant, une troisième étude, publiée à l’été dernier, tendait à montrer que la sensibilisation porte ses fruits, même lentement.
On est donc tenté de regretter que le lancement d’Acyma, la plateforme dite « actions contre la cyber malveillance », se soit faite, au moins initialement, au détriment de grandes campagnes de sensibilisation, sur le modèle de celles de la sécurité routière. Au grand regret de Guillaume Poupard, d’ailleurs.
Car pour l’heure, si Acyma doit notamment aider à trouver « un prestataire de proximité susceptible d’assister techniquement » une victime, la plateforme aidera surtout les assureurs à établir une photographie précise du paysage de la menace. De quoi aider le lancement d’offres viables pour assurer le risque résiduel. Mais pas de quoi apprendre à le réduire de manière préventive.