kwanchaift - stock.adobe.com

Cybersécurité : 2017, (enfin) l’année de la prise de conscience ?

Les épisodes WannaCry et NotPetya auront assurément marqué les esprits. Certes, de manière paradoxale : même s’ils n’étaient pas des rançongiciels, ils ont attiré l’attention sur cette menace. Reste à savoir si ce sera plus qu’un début.

La menace des ransomwares est loin d’être nouvelle, mais l’année qui s’achève aura peut-être permis une véritable prise de conscience, large, bien au-delà du monde de la cybersécurité. WannaCry d’abord, puis NotPetya, n’ont pas manqué de faire les gros titres au printemps. Certes, avec le recul, il est difficile de parler d’eux comme de rançongiciels. Mais cela ne les empêche pas d’être porteurs d’un enseignement important : le meilleur moyen de se protéger de cette menace, c’est de l’appréhender comme s’il ne s’agissait que de logiciels destructeurs. Cela revient à considérer que payer la rançon n’est pas une option et qu’il n’y a pas d’autre solution que la prévention, entre protection du poste de travail et sauvegardes, notamment.

Des coûts considérables

L’autre enseignement de ces épisodes concerne les coûts de la cyber-délinquance. Pour des groupes comme Merckn, FedEx, Maersk, Saint Gobain, Modelez ou encore Reckitt Benckiser, ceux-ci n’ont plus rien de théoriques : ils sont inscrits noir sur blanc dans leurs comptes. Et cela aidera peut-être plus largement à faire que la sécurité informatique cesse de n’être vue que comme un poste de dépenses.

Car si l’option assurantielle peut séduire – voire s’avérer indispensable –, elle n’est pas suffisante, et comporte elle-aussi des risques, potentiellement systémiques. En tout cas, si les menaces informatiques ne semblent pas toujours bien prises au sérieux dans les entreprises, elles sont loin d’être ignorées de tous : elles étaient encore au menu du Forum Economique Mondial de Davos en janvier dernier. Si c’était nécessaire, les projections de Lloyd’s of London soulignent l’ampleur des risques.

Des systèmes industriels de plus en plus visés

Et le risque n’est pas uniquement financier. Fin 2016, le réseau de distribution électrique ukrainien a encore été visé. Et l’opération n’avait rien d’isolée : elle s’est appuyée sur un framework taillé spécifiquement pour attaquer les réseaux électriques, une trousse à outils modulaire et évolutive. Outre-Atlantique, le FBI et le ministère de l’Intérieur ont d’ailleurs alerté le secteur de l’énergie sur l’attention dont il fait l’objet de la part de cyber-attaquants. Plus près de nous, cela aurait été également le cas outre-Manche. Et pour ne rien gâcher, un nouveau framework, Triton, vient d’être découvert, potentiellement très dangereux même si ça mise en œuvre apparaît complexe : il vise les systèmes de sûreté industrielle.

Mais toutes ces menaces spécialisées ne doivent pas faire oublier les risques induits par les logiciels malveillants génériques, qui ne manquent d’affecter les systèmes de contrôle industriel…

Objets connectés

Mais une autre prise de conscience, tout aussi bienvenue, emble avoir eu lieu cette année : celle du risque que représentent les objets connectés et leur manque de sécurisation. L’agence européenne de la sécurité des réseaux et de l’information (Enisa) s’est penchée sur le sujet, avec des industriels du secteur, pour formuler des recommandations. Mais pour certains experts, il va falloir s’habituer à vivre avec des objets connectés impossibles à sécuriser. Une sorte de poubelle numérique inévitable.  

Face à cela, des opérations – illégales en France – ont émergé, visant à rendre inutilisable des objets mal sécurisés, ou à la sécuriser à l’insu de leur propriétaire… Mais dans le même temps, Mirai continue de faire des émules menaçant de nouvelles attaques de masse.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close