En quoi la crise du Covid-19 constitue-t-elle un tournant dans la prise en compte de la menace cyber ?

Le constat est alarmant. En 2020, l'Agence nationale de la sécurité des systèmes d'information (Anssi) rapporte une augmentation de 255% des signalements d'attaques par ransomware. Un chiffre qui reste en deçà de la réalité puisque toutes les attaques informatiques ne font pas l'objet d'un signalement.

Aucun secteur n'est épargné. Les hôpitaux, les instituts de recherche médicale, les biotechs, les entreprises de services numériques (ESN), l'agroalimentaire, les collectivités territoriales, les juridictions… Tous sont régulièrement pris pour cibles par des malfaiteurs qui s'adaptent sans cesse à l'évolution des comportements et des tendances sur Internet. La pandémie de Covid-19 n'échappe malheureusement pas à cette situation.

cibler les structures de soin
Le maître mot des criminels : "frapper là où ça fait mal". Ainsi, la promesse faite par certains d'entre eux début mars 2020 de ne pas de attaquer les hôpitaux dans le monde entier, dont le fonctionnement était fortement dégradé par l'arrivée massive de patients infectés, n'a pas été respectée.

En effet, fin mars 2020, le groupement hospitalier francilien l'Assistance Publique-Hôpitaux de Paris (AP-HP) a été la cible d'une attaque par déni de service (DoS) dont le but est de rendre inaccessible un serveur par l'envoi de nombreuses requêtes jusqu'à le saturer, provoquant une panne ou un fonctionnement fortement dégradé. Par chance, "l'attaque qui a duré une heure (…) n'a jamais atteint les infrastructures", rassurait un porte-parole de l'AP-HP.

Mais toutes les hôpitaux ne sont pas aussi bien protégés que l'AP-HP, qui est le plus gros établissement hospitalier de France. Récemment, les hôpitaux de Villefranche-sur-Saône et de Dax ont été victimes de ransomwares. Ces incidents ont provoqué des reports d'opérations car certains équipements médicaux et les dossiers patients étaient inaccessibles. La situation n'est pas encore pleinement rétablie dans l'établissement de Dax.

Voler des données de recherche médicale
Les cybercriminels se sont également attaqués aux structures impliquées dans la recherche de traitement contre le Covid-19. Le but : voler des données pour les revendre à prix d'or sur Internet. Un business très lucratif en pleine course aux vaccins. L'Agence européenne du médicament (EMA) a été attaquée, le laboratoire AstraZeneca et la biotech Moderna également.

Plus généralement, l'année 2020 a été marquée par des attaques ciblées sur des proies à forte valeur. La tendance est donc au "Big Game Hunting". "Cette dernière met en œuvre des méthodes et techniques d’attaques auparavant réservées à des opérations d’espionnage informatique opérées par des attaquants étatiques (exploitation de vulnérabilité 0-day, propagation manuelle et furtive)”, explique l’Anssi dans son rapport “Etat de la menace rançongiciel”.

Les hackers connaissent parfaitement leurs victimes, leurs forces mais surtout leurs faiblessse. L'attaque est préparée plusieurs mois à l'avance, la rendant particulièrement sophistiquée. A noter que la massification du télétravail provoquée par la pandémie de Covid-19 a facilité cette tâche car la surface d'exposition des entreprises et des organismes s'est considérablement élargie.

Des concessions qui coûtent chères
Les entreprises reconnaissent d'ailleurs elles-mêmes avoir fait des concessions en matière de sécurité informatique pendant la crise sanitaire, d'après une étude de Stormshield publiée début octobre 2020. Dans les détails, un quart des personnes interrogées affirment que leur organisation a dû faire des compromis pour assurer la continuité de ses activités, en particulier dans le secteur de l'administration publique.

Mais ces concessions peuvent coûter très chères. En effet, les conséquences directes et indirectes d'une cyberattaque peuvent être très importantes. "Le préjudice va bien au-delà de la perte des données ou du paiement d'une rançon puisque les organisations victimes doivent faire face (...) à un arrêt de la production, une chute du chiffre d'affaires, des risques juridiques...", alerte l'Anssi.

Publier en ligne les informations dérobées
La "double extorsion" est également une pratique en vogue. Elle consiste à faire pression sur la victime en exfiltrant ses données tout en la menaçant de les publier sur Internet. Elle a été introduite par les opérateurs du malware Maze. Les criminels vont même jusqu'à ouvrir des espaces de vente dédiés, preuve de l'industrialisation de cette pratique.

En 2020, le cabinet d’avocats américains Grubman Shire Meiselas & Sacks en a fait les frais. Il a été victime d’une compromission par le ransomware Sodinokibi. Les opérateurs ont mis aux enchères des données appartenant à des personnalités publiques, telles que Donald Trump ou Madonna sur une plateforme dédiée.

Une année marquée par des opérations coup de poing
L'agence européenne Europol a réussi à démanteler l'une de ses plateformes en janvier dernier. "DarkMarket" vendait notamment des données d'identités volées. Quelques semaines plus tard, c'est le réseau Emotet, mondialement connu pour avoir infecté des centaines de milliers d'ordinateurs, qui a été démantelé. Ces opérations sont la preuve que les autorités répressives progressent dans leurs connaissances des cybercriminels.

Mais le volet répressif n'est pas suffisant car ces opérations coup de poing restent rares. Il faut désormais que les entreprises et les organisations renforcent leurs capacités pour lutter contre les cyberattaques et dans le pire des cas, réduire leurs impacts car le risque zéro n'existe pas.

Les bonnes pratiques à adopter restent toujours les mêmes : former les équipes opérationnelles à la sécurité des systèmes d'information, maîtriser les risques de l'infogérance, identifier les informations et les serveurs les plus sensibles, maintenir un schéma du réseau, identifier nommément chaque personne accédant au système et distinguer les rôles utilisateur/administrateur, maintenir à jour les logiciels et les systèmes...

Que faire en cas d'attaque ?
En cas d'attaque, les victimes doivent déconnecter au plus tôt les supports de sauvegardes (qu'il est absolument essentiel de mettre en place en premier lieu !) après s'être assuré qu'ils ne sont pas infectés et isoler les équipements du SI en les déconnectant du réseau. Il peut être utile de vérifier la présence ou non d’une éventuelle connexion sans fil sur ces équipements et, le cas échéant, de la désactiver. Afin de limiter la diffusion du malware, il est préférable de laisser éteints les équipements non démarrés.

La mise en place d'une cellule de crise, indépendante des groupes de travail opérationnels, est fortement recommandée. Elle aura pour objectif de répondre aux enjeux de niveau stratégique de la crise en établissant, par exemple, les stratégies de communication interne comme externe et les éléments à fournir en vue de la judiciarisation ou de la notification règlementaire, notamment pour la Commission nationale de l'informatique et des libertés (Cnil) en cas de violation de données personnelles.

Déposer une plainte
L'Anssi recommande ensuite de déposer une plainte. Cette procédure va permettre de réaliser une enquête suivie d'une "chasse aux clés" à l’issue de laquelle il sera éventuellement possible de déchiffrer les données altérées, dans le cas d'un rançongiciel. D’autre part, le dépôt de plainte conditionne généralement la réparation du sinistre et peut permettre d’identifier, d'interpeller et de présenter les auteurs de l’attaque à la Justice.

En cas de ransomware, la rançon ne doit jamais être payée. Car son paiement ne garantit pas l'obtention d'un moyen de déchiffrement incite les cybercriminels à poursuivre leurs activités et entretient donc ce système frauduleux. De plus, il n’empêchera pas l'entité d’être à nouveau la cible de hackers.

La première vraie stratégie de défense cyber française
Il a donc du fallu attendre l'année 2021 pour que le gouvernement décide enfin de mettre en place une stratégie nationale de lutte contre les cyberattaques. Doté d'une enveloppe d'un milliard d'euros, ce plan doit permettre de remplir deux objectifs à l'horizon 2025 : faire émerger des champions français et garantir la maîtrise des "technologies essentielles" pour la souveraineté. Cette stratégie va être pilotée par William Lecat, ancien chef de département spécialisé dans les outils de cyberdéfense au sein de la Direction générale de l'armement, nommé coordinateur national.

350 millions d'euros du Ségur de la Santé ont également été fléchés vers les hôpitaux pour renforcer l'audit et la formation. Or, aucune mesure ne concerne l'obsolescence des systèmes informatiques. Un fait pourtant connu depuis années mais qui ne semble pas être une priorité pour le gouvernement.

L'Europe monte d'un ton
Les choses semblent également changer au niveau de l'Union européenne. Pour la première fois en juillet dernier, le Conseil de l'Union européenne a sanctionné une unité des renseignements russes, deux entreprises nord-coréenne et chinoise ainsi que six ressortissants pour leurs implications dans des attaques informatiques.

Si Bruxelles peut infliger des sanctions c'est grâce à l'adoption, en mai 2019, d'une "boîte à outils cyberdiplomatiques" dont l'objectif est de décourager et contrer les cyberattaques qui constituent "une menace pour l'UE et ses Etats membres". Mais, d'après Thierry Breton, cet arsenal juridique est insuffisant. Le commissaire européen au marché intérieur estime que l'Europe doit se doter d'une véritable capacité de "cyberdissuasion". "L'action de l'Europe en matière de cybersécurité va changer de dimension", a-t-il déclaré. Reste à convaincre les 26 Etats membres de modifier la stratégie défensive actuelle.

Sélectionné pour vous

Quelles sont les entreprises qui achètent le plus de solutions technologiques souveraines ?

A la suite d'un ransomware, la ville de Betton voit ses données publiées

L'assurtech française Stoïk lève 10 millions d'euros pour séduire le marché allemand