Le FIC 2018 — Forum International de la Cybersécurité — a dépassé les 8000 visiteurs selon Guillaume Delbar, Vice-Président de la région Hauts-de-France. Cette 10e édition a été un véritable succès, consacré par la venue du secrétaire d'État au Numérique, Mounir Mahjoubi. L’événement, qui s’est tenu au Grand-Palais de Lille, était placé cette année sous le signe de la résilience, cette « capacité à faire face à la menace et à se reconstruire » pour reprendre les mots de Franck Guarnieri. Voici ce que j’ai retenu de ma visite du 24 janvier, et des conférences auxquelles j’ai assisté.
Ces menaces de cybersécurité qui renforcent le numérique au lieu de le fragiliser
Les menaces sur le digital n’ont jamais été aussi pesantes et l’ombre de Wannacry, et de Notpetya, a plané au-dessus du FIC 2018. Paradoxalement, ces menaces sont pourtant une bonne nouvelle pour le numérique et son évolution.
Pour expliquer pourquoi, il faut avant tout décrire l'évolution des menaces. Deux ateliers auxquels j’ai assisté ont offert aux participants du FIC 2018 des informations fort intéressantes à ce sujet.
Tout d'abord celui de Félix Aimé de l’équipe « GREAT » de Kaspersky qui nous a décrit l'évolution des attaques dites APT (Menaces Persistantes Avancées). GREAT a pour mission de traquer les groupes organisés derrière de telles attaques et de modéliser leurs modes opératoires. Celles-ci ont évolué très nettement ces dernières années. Ces types d'attaques ont commencé par des codes malveillants très simples (car très « bruyants dans les réseaux ») et étaient focalisés sur l'Occident donc « facilement repérables et surtout, sans chiffrement ». Mais les temps évoluent et les attaques sont moins visibles. Surtout, les attaquants sont plus discrets.
Les attaquants en mode furtif
certains hackers font évoluer leurs méthodes et certains sont capables de reconfigurer leur infrastructure pour chaque victime. Deuxième atelier particulièrement intéressant, ce retour d'expérience sur les attaques Wannacry et Notpetya.
D'une part, la différence notable entre les deux attaques. Wannacry est considéré généralement comme un rançongiciel mutant qui se propage comme un ver informatique. Il suffisait de cliquer sur le lien pour avoir son poste chiffré. Notpetya est arrivé quant à lui, par une mise à jour d'un logiciel de comptabilité populaire en Ukraine qui se serait répondu au travers le monde, de façon beaucoup moins spectaculaire.
D’autre part, des apparences qui sont parfois trompeuses. Selon Boris Sharov, PDG de l’éditeur d’antivirus Doctor Web, on ne peut considérer que Wannacry soit un vrai rançongiciel. Au-delà de l'analyse de la façon dont il agit sur l'ordinateur infecté, « si l’on regarde l'infrastructure des malfaiteurs, il y avait beaucoup de choses étranges ».
Selon lui « on ne peut pas véritablement considérer que ce rançongiciel était sérieux ». L’absence d’informations retirées des ordinateurs ciblés, de mobile et enfin de résultats de cette opération fait que Doctor Web a classé Wannacry dans la catégorie « virus destructeur » et non rançongiciel, comme Petya. Constat intéressant, qui nous fait croire que les prochaines attaques, si elles sont
mieux organisées, pourraient être encore beaucoup plus sévères. Boris Sharov a même déclaré « [qu’]il faudrait presque remercier les hackers d'avoir lancé cette attaque car cela nous a permis de voir le manque de sérieux de la sécurité de nos systèmes ».
Le RGPD n’est pas une contrainte mais le meilleur allié de la résilience
Une impression générale s’est dégagée de tous les débats du FIC 2018 : face à ces menaces protéiformes, plus furtives et plus difficiles à identifier et parer, des mesures préventives s’imposent. Le RGPD est là pour cela et c’est ce qu’a expliqué de façon appliquée Mounir Mahjoubi lors de sa présentation.
« On a trop enfermé le RGPD dans la contrainte » a-t-il annoncé. De cette vision restrictive voire, « bureaucratique » pour reprendre les mots de Florence Raynal, directrice des affaires internationales à la CNIL, « on préfère passer à une logique d'imputabilité obligeant les entreprises à mettre en place les actions et démontrer qu’elles ont été prises ».
Un plan pour la numérisation des PME et TPE qui englobe la sécurité
La menace a aussi une conséquence positive, celle de la mise en avant du numérique dans les plans du gouvernement. Tel est le paradoxe, si on attaque le capital digital des entreprises, c’est que celui-ci est devenu central.
Mounir Mahjoubi a profité de l’occasion du FIC 2018 pour annoncer un plan gouvernemental de numérisation à destination des TPE et PME. Le but ultime n'est pas seulement de renforcer la sécurité mais d'utiliser cette sécurité pour réaliser enfin la numérisation des PME et des TPE dans notre pays, dont on ne cesse de répéter le retard.
Enfin, Nicolas Arpagian d’Orange Cyberdéfense, dans la plénière de clôture de l'événement, a résumé en une phrase mon impression de toute une journée : « un optimiste a inventé l'avion » a-t-il expliqué, « un pessimiste le parachute, il faut être résolument optimiste, mais faire la synthèse ».
En conclusion, anticiper ces attaques de plus en plus sophistiquées
La bonne approche, pour se protéger de ces attaques malicieuses, est justement de développer la résilience mais aussi de s'appuyer sur des prestataires externes, notamment dans le cloud, afin de pallier ses propres lacunes en termes de sécurité. Ces dernières ne sont pas seulement le fait de négligences, révélées parfois dans l’affaire Wannacry, mais celles d’attaques de plus en plus complexes et furtives. Si l'on peut caractériser l'importance d'un butin à l'intérêt qu'il suscite auprès des voleurs, le capital digital des entreprises est devenu un véritable enjeu. Il est presque dommage que ce soit au terme de telles attaques que la prise de conscience intervienne. Le RGPD sera sans doute une brique importante dans la protection de ce capital digital.
Pour aller plus loin
[Expert] FIC 2018 : Comment externaliser son SOC ?
Cybersécurité : les 5 réflexes de l'entreprise digitale vigilante
Je suis spécialiste en systèmes d'information, marketing de la highTech et Web marketing. Je suis auteur et contributeur de nombreux ouvrages et Directeur Général de Visionary Marketing. A ce titre, je contribue régulièrement sur ce blog pour le compte d'Orange Business sur les sujets du cloud computing et du stockage dans le cloud.