Le risque d’une cyber pandémie
Le Cigref, représentante des grandes entreprises et administrations s’explique sur le risques numériques (papier dans l’Opinion)
Depuis le printemps dernier, le microcosme parisien des experts de la cyberdéfense est accaparé par une attaque majeure détectée aux Etats-Unis. Un « cheval de Troie » informatique introduit dans les logiciels de la société SolarWinds, fournisseur d’administrations sensibles et de labels mondiaux de la Tech. Sont affectés le Pentagone, la NSA, Cisco, Microsoft, Intel. Sa trace a été repérée sur les cinq continents. La Russie est soupçonnée d’être à l’origine de cette cyber attaque sophistiquée, qui illustre la puissance de ce nouveau type d’arme de destruction massive.
Le « fléau » des économies du XXIe siècle, insiste Guillaume Poupard, le patron de l’Agence nationale de surveillance systèmes d’information (ANSSI). Le 5 février 2020, Christine Lagarde, la patronne de la Banque centrale européenne, alertait le monde de la finance sur le risque d’une « cyber pandémie ». Elle pourrait être la cause de la prochaine crise financière mondiale, prévenait la Française en se basant sur les travaux du Conseil européen des risques systémiques. Ça, c’était avant la crise. Depuis, les attaques ont littéralement « explosé », révèle Vincent Desroches, chef de la division management de la sécurité à la sous-direction de la stratégie de l’ANSSI.
Entre 2019 et 2020, le phénomène a quadruplé en France. A 192 reprises l’année dernière (contre 54 précédemment), ses limiers se sont déplacés au chevet de victimes de rançongiciels, le principal mode des attaques ; un virus introduit subrepticement dans un ordinateur crypte ses données et le pirate exige une rançon pour les rendre à nouveau accessibles. Le 13 novembre, le Cigref, qui porte la voix des grandes entreprises et administrations sur les enjeux numériques, alertait officiellement le Premier ministre sur cette « menace croissante pour l’économie ».
Attaques tous azimuts. Les premières victimes sont les collectivités territoriales. Une commune est attaquée chaque semaine. « Elles sont visibles, gèrent de la donnée critique et ne disposent pas toujours des ressources en interne pour se protéger », analyse Nicolas Arpagian, directeur de la stratégie d’Orange Cyberdéfense. Dans le secteur privé, les pirates ont redoublé d’efforts contre les secteurs les plus chahutés par le confinement : l’industrie, les télécoms, l’éducation, les jeux vidéo, la santé.
La désorganisation de systèmes d’information des entreprises et l’explosion des connexions à distance suite au recours massif au télétravail ont multiplié les failles, explique Maxime Cartan, le PDG de Citalid, une start-up spécialisée dans l’analyse et la prévention du risque cyber. Malins, les pirates ont mieux « contextualisé » leurs pièges, de faux liens de visioconférence ou de faux SMS à en-tête de réseaux de surveillance de la Covid-19. Ils ont privilégié les cibles juteuses et publié des données capturées pour les inciter à payer. Orange Business Service, Ubisoft, Crytek, Elior, les assureurs MMA ou Chubb en ont fait les frais ; d’autres, comme Sopra Steria, M. Bricolage ou CMA-CGM y ont échappé.
Les criminels sont « montés en puissance », avertit Vincent Desroches. Ils se sont « structurés, regroupés en franchise, avec des modèles d’affaires copiés sur les géants de la Tech », détaille Maxime Cartan. Derrière les « Sodinokibi », « Maze » ou « Ryuk », têtes de gondole du rançongiciel sans frontière, se cachent des réseaux dont les profits pèsent aujourd’hui trois fois ceux des barons de la drogue.
Pression des investisseurs. Le principal souci des autorités, reprend Vincent Desroches, est « que tous les acteurs du pays progressent en défense à peu près au même rythme pour ne pas créer de failles dans la cuirasse ». Partout, les entreprises réévaluent le risque cyber. Un mouvement largement initié par les sociétés cotées. Les investisseurs leur mettent la pression : une attaque peut mettre à mal leurs actifs. En 2019, pour la première fois aux Etats-Unis, Equifax, une société qui gère les données de santé de 145 millions d’Américains, a vu sa notation financière dégradée après une cyber attaque. Désormais, l’investissement dans la confiance numérique a des incidences sur le cours du titre, l’accès aux marchés financiers et la réputation de l’entreprise.
Les grands comptes réagissent en musclant leurs équipes, qui obtiennent d’excellents résultats en se mettant dans la peau des attaquants. Elles obligent leurs partenaires à élever leurs propres standards. Les entreprises moyennes et petites font plutôt appel à des consultants pour sécuriser les équipements et éduquer les comportements. Les assurances se multiplient, mais leurs conditions se sont récemment durcies. « Avec un encours de 70 millions d’euros de primes pour 2020, la capacité des assureurs à rembourser les sinistres est très faible », souligne Emmanuel Gély, le patron de Polyexpert, spécialiste de l’expertise des sinistres. D’autant que les pirates se sont vite adaptés. Ils ont ciblé de préférence les sociétés assurées et fixé le montant des rançons au maximum de la couverture des polices. Un bon moyen pour être payés rapidement. Au jeu de l’épée et du bouclier numérique, les hackers font la course en tête.