Le FIC, rendez-vous incontournable de la cybersécurité
Il y a onze ans lors de la première édition, le Forum international de la cybersécurité (FIC) était un rendez-vous confidentiel. Ce n’est plus le cas aujourd’hui où les ministres, comme Florence Parly à La Défense ou les secrétaires d’État, comme Laurent Nunez, ex-directeur de la DGSI, actuel secrétaire d’État, viennent y faire des annonces. Retour sur les deux jours d’événement de Lille, les 22 et 23 janvier 2019.
Le succès se mesure aussi à la centaine de journalistes accrédités pour le FIC, forum international de la cybersécurité de Lille qui se tenait les 22 et 23 janvier 2019. De nombreux titres grand public avaient fait le déplacement.
Le FIC est aussi l’occasion d’observer les acteurs du secteur IT et leur positionnement les uns vis-à-vis des autres.
La cybersécurité est devenue une thématique tout public
La cybersécurité irrigue aussi tous les services des entreprises. Pendant les deux jours, près de 8 600 personnes se bousculent dans les allées de Lille Grand Palais. “Il faut faire comprendre, et notamment aux dirigeants, que l’on ne parle plus de menaces sur les ordinateurs mais sur le monde de l’IoT, les objets connectés”, affirmait ainsi Guillaume Poupard en introduction de sa conférence de presse, mardi 22 janvier 2019.
On découvre petit-à-petit que de nombreux équipements utilisent Internet et se connectent en dehors des systèmes mis en place par les responsables de la sécurité des systèmes d’information (RSSI).
Le spectre du Shadow IT
Les objets et les services connectés, comme WeTransfer pour l’échange de fichiers ou les espaces de stockage comme iCloud ou Skydrive… sont en général utilisés sans l’autorisation des administrateurs systèmes. Ils sont ainsi le cauchemar de tous les RSSI.
Dans leur langage courant, il s’agit du Shadow IT. Mais dans certains cas, ce ne sont pas seulement des abonnements à des services. Ce sont souvent des passerelles consenties à un mainteneur ou à un fournisseur qui, par un biais ou un autre, à accès au système de l’entreprise… Et peut devenir par la suite un point d’entrée pour une opération d’attaque d’envergure.
Tout le monde rêve d’un système aux règles clairement définies, aux utilisateurs consciencieux, formés et informés. Un Graal, de l’aveu des spécialistes, impossible à atteindre. Qui peut ainsi prétendre connaître l’intégralité des points d’entrée d’un système et tous ses utilisateurs ?
Travailler vite avec efficacité
Bien souvent l’usage, la facilité et la nécessité d’accomplir la tâche prévalent par rapport aux considérations de sécurité. Les utilisateurs ne veulent pas à tout prix contourner les barrières. Ils veulent parfois simplement aller vite et travailler efficacement.
D’autant que beaucoup considèrent avec raison ne pas être une cible légitime des hackers. Si vous êtes un OIV – opérateur d’importance vitale, vous êtes au courant et concerné. Mais si vous êtes une petite PME ou un sous-traitant ?
Être ou ne pas être… une cible légitime ?
Un argument battu en brèche lors de ces deux jours. Ivan Kwiatowski est chercheur au sein du GReAT (Global research and analyst team) du Kaspersky Lab. Ils sont, comme lui, une quarantaine dans le monde à enquêter sur les grandes menaces et à observer les méthodologies d’attaques des cybercriminels.
De plus en plus organisés, de plus en plus nombreux, ils peuvent emprunter toutes sortes de voies pour parvenir à leurs fins.
Quelques fois en s’installant et en pré-positionnant des entrées plusieurs mois avant le déclenchement d’une opération.
Des outils d’attaques gratuits et faciles d’accès
Il existe quelques services étatiques, des criminels organisés, de la délinquance opportuniste… Autant de profils que dans le monde réel.
Et leurs outils sont de plus en plus courants, souvent gratuits, et de moins en moins « propriétaires ». Le GReAT travaille pour de grands groupes et collabore avec les autorités sur demande, mais refuse d’attribuer des actions à tel ou tel groupe. Encore moins à des pays. Le sujet est trop sensible.
Les attaques d‘aujourd’hui ne sont pas forcément plus techniques que celles d’hier et c’est souvent plusieurs méthodes successives qui sont utilisées.
Le facteur temps est essentiel. L’ingénierie sociale, le phishing, l’attaque brute… Toutes les options sont possibles.
Finies les grosses ficelles
On observe désormais une recrudescence d’attaques ingénieuses : ce n’est plus Rohn Jipper qui propose de venir toucher un héritage mais Bob, le collègue du bureau d’à côté dont l’identité a été empruntée et qui vous a envoyé par erreur la liste des augmentations du service.
Se croire à l’abri est une erreur car on peut être touché dans un jeu de billard à deux, trois voire quatre bandes. C’est notre fournisseur ou notre client qui est visé.
La ressource est parfois plus visée que la valeur
Ce peut être aussi tout simplement les ressources de l’entreprise, la puissance de calcul d’un PC ou le serveur de l’entreprise qui servira à miner des crypto-monnaies – c’est-à-dire lorsque votre puissance de calcul informatique sera détournée par un cybercriminel qui sera récompensé par de la monnaie virtuelle.
« Tout ce qui a un processeur de calcul et est connecté à Internet peut servir à miner » confirme Ivan Kwiatowski : les caméras, les lecteurs de badges de contrôle d’accès… la plupart des objets connectés, y compris des capteurs ou des sondes dans les usines.
Dès lors, l’objectif n’est pas forcément un ransomware, la divulgation d’un fichier client mais peut-être la ressource.
Quant aux coûts de l’opération, ce pourra être le coût électrique lié aux calculs supplémentaires réalisés par le serveur ou encore son indisponibilité. Mais ce ne sera pas toujours mesurable en perte directe, plus souvent en perte d’exploitation.
Mesurer le préjudice
Les calculs traditionnels du risque font appel à des grandeurs exprimées en termes de fréquence et de gravité de l’événement redouté. Comment prévenir (et parfois indemniser) un événement dont l’entreprise serait victime par rebonds ou simplement par utilisation de ses ressources ?
Les attaques WannaCry et NotPetya en 2017 ont été des illustrations. Dans certains cas, l’attaque n’a été qu’anecdotique et a touché quelques postes. Dans d’autres, elle a été estimée à plusieurs centaines de millions d’euros. Saint-Gobain aurait perdu 250 millions d’euros sur ses ventes et 80 millions d’euros en perte d’exploitation. Et il n’était même pas visé !
Le cabinet Bessé, conseil en assurance, fondé dans les années 1960, compte 400 personnes et 900 millions euros de prime placés sur le marché. Il s’est particulièrement intéressé au risque numérique. Pour ses dirigeants, il s’agit d’un risque complexe qu’il faut d’abord aborder du point de vue du client et non forcément sous l’angle statistique – car le recul et les données manquent cruellement.
L’attaquant a toujours une longueur d’avance
Comprendre le besoin des industriels vis-à-vis de la ressource informatique est une première étape pour ensuite s’intéresser au sinistre maximum possible : l’indisponibilité de l’outil informatique. A partir de là comment identifier les besoins et les garanties qui permettent au client d’être certain d’être indemnisé au moment du sinistre.
« Puisque l’attaquant a toujours une longueur d’avance, ce qui est important n’est pas sa méthodologie mais les conséquences d’une attaque sur l’entreprise. » Ce calcul du préjudice permet ensuite au cabinet d’acheter pour le compte de ses clients des produits d’assurance auprès des grandes compagnies. Des produits comme l’assistance à la gestion du risque et de la crise complètent l’offre.
La gestion des incidents prospère
Le marché de la gestion d’incidents est particulièrement florissant. Il s’agit de vendre des procédures, de la matière grise et du conseil. Voire dans certains cas de l’ « incentive ».
IBM, poids-lourd de l’informatique tire son épingle du jeu avec de gros moyens destinés à des grandes entreprises. Hugo Madeux est directeur des activités cybersécurité d’IBM. L’année dernière l’entreprise a inauguré à Lille un centre de réponse à incident qui à terme devrait accueillir 100 personnes.
En plus de services de détection et de renseignements sur les menaces avancées, l’entreprise propose aux COMEX de grandes entreprises l’immersion dans son centre de crise installé à son siège de Boston (États-Unis).
Là peut y être reproduite à l’échelle 1 une attaque cyber réaliste (voire reproduire une attaque passée) afin de sensibiliser les différents intervenants. Et les entraîner. La modélisation plus vraie que nature permet de former les équipes dirigeantes sur des scénarios réels développés par la plateforme Resilient (lien en anglais).
Un enjeu de souveraineté et de business
Aussi faut-il évangéliser, car toutes les entreprises ne peuvent pas se permettre le voyage. La solution réside pour partie dans l’application des bonnes pratiques et la formation des utilisateurs, répètent de concert l’Anssi et le ministère de la Défense.
Ce dernier voit dans la sécurité numérique un enjeu de souveraineté nationale. Ainsi la semaine précédant l’événement, Florence Parly annonçait le recrutement de 1 000 cybers combattants supplémentaires. Ils viendront s’ajouter aux quelques 3 000 que l’institution compte déjà.
Son stand sur place était l’occasion de réaffirmer son ambition, quitte à entrer en concurrence avec ses homologues de l’Anssi, eux aussi à la recherche de nouveaux talents.
Pénurie de gentils hackeurs
Dans cette course, l’armée a mis en avant son partenariat avec la plateforme de Bug Bounty YesWeHack qui organisait pour la première fois sur le FIC un événement dédié au hacking. En 2017, nous avions rencontré le fondateur de la plateforme YesWeHack.
Les autorités sont parfois sommées de s’expliquer vis-à-vis de risque avéré ou non. « L’affaire des antennes 5G » du chinois Huawei étaient sur toutes les lèvres.
Le constructeur avait d’ailleurs un stand où il proposait ses smartphones au marché professionnel. « Difficile pour un constructeur de se défendre d’accusations gratuites. Comment voulez-vous prouver que vous n’espionnez pas ? Si vous ne collectez rien, vous n’avez rien à produire ? » confiait en aparté un industriel qui a connu les mêmes revers par le passé.
Le fabricant chinois a toujours nié ces accusations et les intimidations américaines sur le sujet laissent planer un doute sur la réalité de la menace (lien en anglais).
La confiance, l’Europe et les États-Unis
La confiance est au cœur de l’économie numérique si bien que plusieurs acteurs accentuent cet aspect pour tirer leur épingle du jeu.
Depuis plusieurs années, l’association Hexatrust rassemble des PME et ETI autour de la bannière tricolore et depuis peu sur l’idée qu’il faut préserver la souveraineté européenne en la matière. 51 entreprises sont adhérentes et depuis peu l’association propose un guichet unique pour accéder à l’écosystème.
Plusieurs administrations s’inquiètent de l’omniprésence de géants américains. Mais rares sont les champions logiciels et encore moins les leaders matériels. En France comme en Europe. Quelques exceptions existent pourtant. Qwant, le moteur de recherche qui veut concurrencer Google et respecter la vie privée des internautes fait exception.
Il était présent notamment sur une Tesla sérigraphiée à son nom et qui pouvait être hackée (notre photo).
Pour beaucoup, le Cloud Act a été perçu comme une réponse au RGPD. Le texte (dont l’acronyme signifie Clarifyng Lawful Overseas Use of Data Act) permet ainsi aux agences américaines d’accéder aux données stockées sur des serveurs ou par des entreprises américaines dans le cadre d’une procédure pénale.
Une “Threat Intelligence” en quatre volets
La gendarmerie nationale annonçait ainsi, pendant le FIC, le déploiement de 77 000 PC sous système d’exploitation Linux Ubuntu. Une solution ouverte qui a été adaptée aux contraintes terrain. Dans le panel de fournisseurs, on retrouve l’éditeur européen de solutions logicielles Eset qui sécurise l’ensemble des postes.
Benoît Gunemwald, expert en cybersécurité Eset France, explique la bascule progressive du marché vers des offres centrées sur le renseignement et l’anticipation de la menace. « Nous déployons une Threat Intelligence à travers quatre volets : stratégique, tactique, opérationnel et technique. La tactique, c’est identifier les groupes d’attaquants et leurs modes opératoires. La technique, c’est l’analyse de flux et la recherche de données. Notamment dans les remontées de notre antivirus. L’opérationnel est un mix entre l’anticipation et la préparation aux attaques (Early warning system). Enfin la stratégie, c’est comment faire le lien entre ces différents domaines pour qu’ils soient pertinents pour l’entreprise. »
Si le sujet gagne en popularité, il est encore loin d’être clos.
David Kapp – Journaliste
Les plus lus…
Dans un avis et un rapport publiés le 18 juin 2024, l'Anses préconise de reconnaître “les travaux exposant aux émissions…
Les textes réglementaires relatifs aux ICPE qui exigent la formation du personnel à la manipulation des extincteurs ne précisent…
Visant à primer les meilleures innovations en matière de sécurité - sûreté, la 18e édition de la « Nuit…
Euralarm a publié un nouveau guide sur l'influence des débits d'air élevés et du confinement des allées chaudes/froides sur la…
Le règlement d'exécution (UE) 2024/2690 de la Commission du 17 octobre 2024, établissant des règles relatives à l'application de…
À l’ancre depuis le 25 septembre, le vraquier Ruby, chargé de nitrate d’ammonium, est présenté comme une «bombe flottante»…