Mieux se protéger collectivement des attaques cyber-criminelles

OPINION. Les évolutions en matière de partage de renseignements ont été exceptionnelles ces dernières années, notamment sous l’impulsion de l’ANSSI, mais nous pouvons aller encore un peu plus loin en invitant les entreprises à collaborer encore plus entre elles via la création de CERT (Centre d’alertes sur les attaques informatiques / également appelés CSIRT) par secteurs d’activités. Par François Deruty, Directeur des Opérations de SEKOIA. ( la Tribune)

Face à une cybercriminalité devenue mondiale, la réponse collective devrait être la collaboration. Faisons nôtre l’adage :

« Partager plus pour être mieux protégés collectivement ! »

La prise de conscience des entreprises en matière de cybersécurité a énormément progressé ces dernières années. Plus une entreprise, ou presque, n’ignore que les cyberattaques sont une réalité, qu’elles peuvent cibler tout le monde, sans distinction de taille, d’activité et de secteur, et surtout générer d’énormes dégâts financiers, réputationnels, etc.

Face à cette menace devenue globale et d’une ampleur sans précédent, le partage de renseignement permet de comprendre collectivement les menaces qui nous ciblent et ainsi de mieux s’en prémunir. Faisant fi de tous leurs clivages concurrentiels, les entreprises doivent accélérer le partage d’informations sur les cybermenaces entre elles. Tout simplement car les cyberattaques ne ciblent pas souvent qu’un seul acteur isolé, et parce qu’aider à protéger son écosystème c’est protéger en premier lieu son activité.

La bonne nouvelle est que nous avons atteint un niveau de maturité sur la cybersécurité qui rend ce partage aujourd’hui possible.

Sous l’impulsion de l’ANSSI, la France a considérablement progressé sur le plan de la cybersécurité et du partage de renseignements. L’ANSSI via son CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) partage beaucoup d’informations précieuses sur les cybermenaces avec les entreprises (en direct ou publiquement sur le site du CERT-FR[1]). Dans le cadre du plan France Relances, l’Agence a également initié un maillage vertical en créant des CERT régionaux (7 premiers CERT/CSIRT sont déjà lancés) qui ont en premier lieu vocation à aider les entreprises locales à répondre opérationnellement aux cyberattaques mais aussi à créer et entretenir une base d’informations sur les vulnérabilités.

Toujours grâce à l’ANSSI, nous avons pu voir émerger des structures plus transverses comme un CERT Santé rattaché au ministère de la Santé, ou encore le CCTA (Conseil pour la Cybersécurité du Transport Aérien) qui est transverse entre les ministères, les industriels et les compagnies de transport rattachés à l’aérien.

Le Campus Cyber, « le lieu totem de la cybersécurité française », initié par le Président de la République, et qui a été opérationnellement lancé cette année, est aussi un nouveau lieu fort de cette nouvelle ère de la collaboration. Le Campus Cyber vient de lancer avec ses membres de divers horizons (éditeurs, sociétés de services cyber, entreprises du CAC 40, organismes publics) une plateforme de renseignements partagés, ouverte et gratuite pour les entreprises, sur les cybermenaces liées à la guerre en Ukraine.

Au niveau européen également des avancées majeures en matière de partage de renseignements sont en cours. La Directive NIS 2 qui vient d’être validée par les Etats membres va  »contribuer à accroître le partage d’informations et la coopération en matière de gestion des cybercrises au niveau européen ».

Il existe aujourd’hui de nombreux CERT, privés, commerciaux, ou à compétence gouvernementale ou nationale (comme le CERT-FR). Ils sont amenés à échanger continuellement des informations et des retours d’expérience entre partenaires de confiance. L’association InterCERT France, qui regroupe déjà un nombre important de CERTs français depuis plusieurs années avec succès, est en pleine évolution afin d’animer cet écosystème et favoriser notamment le partage d’information au sein de celui-ci.

Pour aller plus loin dans la collaboration, l’étape ultime serait de créer un maillage vertical en invitant les entreprises à créer des CERT communs destinés à partager du renseignement sur les menaces - des attaques de phishing, d’ingénierie sociale, de malware-ransomware, accompagné d’analyses techniques, des bonnes pratiques, des scénarios de résilience, etc. - dans leur secteur d’activités.

Les acteurs d’un même secteur (banque-assurance, énergie, automobile, spatial, grande distribution alimentaire, etc.) gagneraient ainsi en efficacité en ciblant plus exactement les usages et les moyens particuliers qui les concernent. En effet, la limite des connaissances pour un CERT national est l’impact concret qu’une menace peut avoir sur tel ou tel métier.

Prenons un exemple : dans le secteur audiovisuel, au-delà de protéger les postes bureautiques contre des malwares, la priorité pourrait être d’éviter qu’un ransomware n’empêche la diffusion de contenus. Pour résoudre un tel enjeu, les médias échangent beaucoup entre eux mais sans structure « formalisée » ni objectifs communs.

A la différence des CERT actuels qui centralisent et surtout répondent aux attaques, les CERT sectoriels pourraient se concentrer sur la mise en commun et au partage d’informations. En effet, pour être efficaces et jouer pleinement leur rôle de partage entre acteurs, ces CERT ne devraient pas avoir pour objectif de générer des profits.

À l’échelle internationale, on parle plus exactement d’ISAC - Information Sharing and Analysing Centers. Il existe un Aviation ISAC pour les compagnies aériennes, ou encore un Financial Services ISAC pour les banques. Considérant qu’une victime de cyberattaque sert systématiquement d’étalon aux malfaiteurs pour menacer toutes les autres entités semblables, les ISAC se sont bâtis sur l’idée que des concurrents avaient tout intérêt à additionner leurs forces pour mieux se prémunir contre des risques communs. Cette coopération structure notamment une répartition des tâches afin de gagner en efficacité.

Prenons l’exemple du secteur de la défense : Il s’agit évidemment d’un secteur critique, mais bien qu’étant concurrents, les acteurs sont amenés à coopérer sur de nombreux projets. Le partage d’informations et la sensibilisation y sont donc particulièrement indispensables et les entreprises ont déjà pris l’habitude de partager de nombreuses informations sur les menaces, bien conscientes qu’une attaque pourrait impacter tout leur écosystème.

Enfin, une attaque informatique contre une entreprise en particulier ne va pas se contenter d’impacter le système d’information. Elle va aussi entacher la réputation de tout un secteur d’activité. Une banque ou un établissement hospitalier qui se fait voler des données concernant ses clients ou ses patients jette une forme de doute sur tout le secteur lorsque cela devient public.

Certaines entreprises travaillent aussi sur des projets communs (le projet du Grand Paris pour les acteurs du BTP par exemple) et ont ainsi tout intérêt à protéger leur écosystème global pour protéger in fine leur propre activité… Mais cela pourrait aussi valoir pour un grand événement tel que les Jeux Olympiques 2024.

Bâtir un CERT transverse ou sectoriel commence tout simplement par deux entreprises du même domaine d’activité qui échangent sur leurs questions de cybersécurité, qui se trouvent des objectifs communs, qui partagent des bonnes pratiques. Sur ces bases, ils définissent un mode de travail : comment communiquer, à quel rythme ? Puis ils évaluent leur collaboration en se demandant régulièrement quels bénéfices ils tirent de leurs échanges ou si, au final, ils perdent leur temps. S’ils se basent sur une feuille de route pragmatique tout en étant ambitieuse, cette dynamique entraînera rapidement d’autres entreprises du même secteur.

Ces initiatives ne concernent pas que les grands groupes : les structures de taille plus modeste du même secteur n’ont pas à être inquiètes de leur capacité à contribuer. Dans mon expérience, je peux témoigner que, parfois, même une personne seule apporte toujours quelque chose si elle est concernée par le sujet. Pour lever les freins, il suffit juste de se fixer des objectifs communs réalisables.

Répétons-le : la connaissance des menaces de cybersécurité qui pèsent sur un secteur, celle des bonnes pratiques pour s’en défendre, ainsi que la vigilance nécessaire ne pourront s’obtenir que par la coopération des acteurs de ce secteur. Parce qu’ils sont tous concernés par les mêmes pratiques et les mêmes enjeux. Les pays anglo-saxons ont montré une voie possible mais il existe d’autres initiatives dont nous pourrions tout à fait nous inspirer tout en les adaptant à notre propre culture. Dépassons nos clivages concurrentiels et nous renforcerons non seulement la sécurité de nos activités, mais aussi leur prospérité.