Les incidents Wannacry et l’entrée en vigueur du Règlement général sur la protection des données (RGPD) ont rythmé l’actualité technologique en 2017, captant quasiment à eux seuls le regard des médias et le nôtre. Toutefois, l’actualité de l’année 2017 a été beaucoup plus riche que cela. Inconnus jusqu’ici du grand public, Cherry Blossom, OutlawCountry, BothanSpy, Gyrfalcon, HighRise ou encore, Dumbo, entre autres cyber-outils utilisés par la CIA, ont vu leur existence révélée sur Wikileaks suite à la publication d’une série de documents connue sous le nom de « Vault7 ». Rappelons la compromission de CCleaner, ce logiciel gratuit de nettoyage Windows qui a touché plus de 2 millions d’utilisateurs et qui aurait en réalité visé la compromission des réseaux de grandes entreprises technologiques. Citons aussi les vulnérabilités baptisées Crack, Spectre et Meltdown frappant directement le matériel ou encore les siphonages de fonds sur le réseau interbancaire SWIFT, lesquels n’ont pas cessé depuis 2016. La liste des « événements » ayant marqué l’actualité est très longue. Pour les organisations touchées par ces failles technologiques, les conséquences négatives sont de taille : interruption de leurs activités et potentiellement des infrastructures opérationnelles, exfiltration de secrets d’affaires (données commerciales, de R&D, ..), sabotage, déstabilisation. Dans ce contexte, faire face aux nouvelles menaces multiformes devient un enjeu prioritaire pour les entreprises et les États.
En revanche, pour Monsieur tout-le-monde, qui entend parfois parler de ces menaces ou de ces vulnérabilités, ce sont des sujets souvent trop complexes d’un point de vue technique, ou trop théoriques. Les hypothétiques scénarios effrayants leur sont inconnus. Expliquer leurs conséquences prendrait du temps et serait anxiogène. À l’inverse, lorsque Wannacry empêche des milliers d’individus de travailler à travers le monde, le sujet devient très concret et ne nécessite pas de comprendre les tenants et les aboutissants, ce qui rend le sujet propice à une large diffusion dans les médias.
Systèmes informatiques : ne pas oublier les diligences cyber
C’est la raison pour laquelle considérer la cybersécurité comme un sujet faiblement stratégique est une erreur, particulièrement dans les dossiers de fusions-acquisitions.
Les entreprises sont confrontées plus que jamais à une pression importante pour développer leurs activités dans un contexte de concurrence accrue et de budgets réduits, encourageant l’innovation au moyen d’acquisitions ou de partenariats. C’est particulièrement vrai dans les secteurs des sciences de la vie et dans l’industrie. Pourtant, si les diligences financières et juridiques sont strictement exécutées, il n’en va pas de même des diligences en matière de sécurité informatique.
Les exemples ne manquent pas. En 2016, Verizon a proposé 4,83 milliards de dollars pour l’acquisition de Yahoo, avant d’apprendre que ce dernier avait fait l’objet de deux compromissions majeures, en 2013 et en 2014, provoquant la fuite de l’ensemble de la base de données de ses utilisateurs. Soit 500 millions de comptes. Lorsque cette compromission a été découverte et rendue publique, Verizon a demandé à Yahoo un rabais proche du milliard de dollars. Celui-ci sera finalement bien moins élevé : 350 millions de dollars.
En quoi consistent concrètement ces diligences ? Les diligences cyber peuvent revêtir plusieurs formes selon les menaces qui pèsent sur les parties prenantes, l’entreprise qui achète et celle qui est achetée : politique de sécurité, revue des précédents audits et tests de pénétration, historique des incidents de sécurité, recherche de compromission en cours ou passées, quantification de l’intérêt des données commerciales ou de R&D pour un concurrent ou pour un service de renseignement étranger, etc. Dans le cas de Yahoo, une recherche de compromission aurait probablement permis d’identifier la présence d’une backdoor (porte dérobée) sur un serveur, ou l’exécution d’un script suspect sur un autre, déclenchant des investigations complémentaires.
Autre exemple, le groupe cybercriminel suivi par l’éditeur de solution de sécurité FireEye sous le nom de « FIN4 » s’est spécialisé dans le vol de données confidentielles relatives aux fusions-acquisitions issues du secteur de l’industrie pharmaceutique mais également issues de conseillers en investissement ou de cabinets d’avocats, usant de ces informations privilégiées pour générer des gains en bourse. Ce ne sont pas moins de 100 compagnies qui ont ainsi été victimes de ce groupe.
Même la Securities and Exchange Commission (SEC), l'organisme de réglementation des valeurs mobilières aux États-Unis, a déclaré que son système informatique avait été compromis, donnant aux attaquants l'accès à des informations privées qui auraient pu être exploitées pour la négociation.
Innover avec précaution
Quant à l’innovation, notamment dans le domaine du numérique, elle se fait certes à un rythme effréné, mais en oubliant trop souvent de prendre certaines précautions. Les objets connectés sont ainsi régulièrement compromis. En 2016, 150.000 caméras IP ont été infectées par le maliciel Mirai et utilisées afin de lancer des attaques en déni de service, notamment contre OVH. Depuis, selon un rapport de l’éditeur McAfee, 2,5 millions d’objets connectés seraient infectés par Mirai.
Les projets de Smart Cities foisonnent ! Demain, les infrastructures seront numérisées, pour le plus grand bonheur des citoyens. En attendant, parce que 10 centimètres de neige pourtant prévisibles en hiver peuvent toujours paralyser une agglomération entière, il serait surprenant que les infrastructures, notamment de transport, résistent correctement à des attaques informatiques les visant.
L’engouement et l’adhésion immédiate à ces sujets ont succédé à la méfiance qui avait accompagné l’informatisation massive de la société il y a 25 ans. Les entreprises passent désormais en mode « agile », en mode start-up, s’adossant ou incubant des petites structures souvent bien fragiles en termes de sécurité.
Quand le Président de la République Emmanuel Macron déclare au salon Vivatech 2017 que la France est « la nation leader de cette économie de l’hyper innovation », il suscite inconsciemment les convoitises. En pillant notre savoir-faire, certains pays pourraient s’offrir l’opportunité de faire un saut technologique, ou de protéger leurs champions nationaux. En outre, toute guerre requiert des armes. Si les grands blocs historiques en sont dotés, d’autres pays investissent massivement dans ces sujets, développant leurs propres capacités ou sponsorisant des groupes nationaux comme un récent rapport de FireEye l’explique, modifiant voire renversant les rapports de force entre les grandes zones économiques régionales.
La cybersécurité, pilier de la stratégie de l’entreprise
Pour résumer, la cybercriminalité repose sur un modèle économique, rentable, industrialisé, organisé dont les motivations sont très largement lucratives, idéologiques ou étatiques. Malgré le biais médiatique, ce serait une grave erreur de réduire les enjeux de la cybercriminalité au seul sujet de la conformité réglementaire ou à la mise en place de quelques parades contre des attaques erratiques paralysant « par malchance » de grandes entreprises et des particuliers.
Il est urgent de mener le bon diagnostic en lien étroit avec les actifs de l’entreprise. La cybersécurité est la réponse à une menace d’ordre économique, un outil qui doit être dans les mains de personnes directement en prise avec la stratégie de l’entreprise et les risques auxquels elle est quotidiennement confrontée. De ce point de vue, avoir la capacité de répondre à un incident de sécurité quand il survient est indispensable. Celle-ci repose notamment sur des investigations et des analyses de qualité. La restauration de la confiance dans le système d’information, opération délicate dans des délais contraints, est un préalable à la reprise d’activité de tout business.
Pierre-Alexis Saint-Michel, Directeur Associé, Cybersécurité, Ernst & Young et Associés
Pierre-Alexis Saint-Michel a rejoint en octobre 2016 le département Fraud Investigation & Dispute Services (FIDS) d’Ernst & Young (EY) en qualité de directeur associé, expert en cybersécurité. Ancien responsable d’opérations de cyberdéfense au sein de l’ANSSI où il a conduit et coordonné la réponse à des compromissions majeures au profit d’opérateurs d’importance vitale, il est aujourd'hui chargé au sein d’EY de l’offre d’investigation numérique et réponse à incidents.