Dans sa nouvelle chronique, Michel Juvin passe en revue les types de cybermenaces auxquelles sont confrontées les entreprises et détaille les réalités géopolitiques qui les rendent si omniprésentes. Tout en s’interrogeant : comment les organisations peuvent-elles réagir ?
Nous n’avons jamais vu autant de campagnes de désinformation actuellement, à tel point qu’on ne peut rester insensible à toutes ces nouvelles formes d’agression de notre pensée et surtout de notre libre arbitre. Au-delà du fait que, de plus en plus, tout est « cyber », c’est en particulier dans la géopolitique que l’on voit le plus d’utilisations de ce qu’il est convenu d’appeler « l’arme cyber »[1] pour animer une guerre d’influence entre nations porteuses de cultures voire d’idéologies différentes. Mais plaçons-nous dans le contexte international et analysons l’exposition aux risques des entreprises pour identifier des actions préventives contre ces menaces.
Cette première chronique permettra de faire un premier tour d’horizon des typologies d’attaque sur les entreprises et de leurs liens plus ou moins prononcé avec le facteur géopolitique. Nous aborderons aussi les principaux axes de remédiation.
Une deuxième chronique détaillera prochainement le cas emblématique de la désinformation, devenu un élément de contexte majeur que les entreprises doivent prendre en compte pour protéger leurs intérêts.
Pourquoi les cyberarmes sont terriblement efficaces dans les conflits aujourd’hui ?
Les cyber-attaques touchent tous types d’entreprises. Lorsqu’il s’agit de petites entreprises, on assimile ces attaques à une mauvaise protection de ses informations. Lorsqu’il s’agit d’entreprise plus importantes ou de services essentiels, on a des doutes sur les motivations de l’attaquant.
Enfin, lorsqu’il s’agit d’une entreprise d’importance vitale pour la nation, on prend conscience des vulnérabilités et engageons des forces pour diminuer les risques. Le chantage et l’extorsion de fonds financier contre les entreprises diminue leurs capacités de développement vers de nouveaux marchés, voire dans certains cas, peut entraîner la paralysie pouvant la mener à la faillite, comme ce fut le cas avec l’affaire WhisperGate en janvier 2022.
Les cyber-attaques qui ciblent les entreprises occidentales, sont anonymisées et utilisent des plateformes de distribution de malwares : « Ransomware as a Service » (RaaS). Ces plateformes mises en place dans le darknet ont été conçues majoritairement des pays non occidentaux. Le classement des RaaS et d’autres statistiques orientent les suspicions vers la Russie, la Chine, la Corée du Nord, l’Iran, puis les US, Israël et le Vietnam… alors que les cibles sont majoritairement anglosaxonnes (Australie incluse) et Européennes (Ukraine incluse).
Bénéficiant de l’anonymisation via les réseaux virtuels d’internet et le Darknet, l’attribution officielle d’une cyber-attaque à un pays est soit, à l’issu d’une revendication de sa part, soit après consolidation des preuves, attribution officielle par l’ANSSI avec les potentielles conséquences diplomatiques.
Pour autant, le nombre de cyber-attaques est de plus en plus important et semblent très souvent provenir des mêmes pays.
Au-delà des apparences, on ne voit pas encore beaucoup d’action issue d’une consolidation des toutes ces cyber-attaques depuis de nombreuses années ; on ne voit pas non plus de forme de répression contre ces pays en particulier ; à l’exception justement le 16 décembre dernier (enfin !), les ministres Européens se sont réunis pour mettre en évidence les attaques (non seulement celles « cyber ») de la Russie contre le pays Européens[2].
De même, les US ont récemment émis un rapport sur les cyber-attaques Salt Typhoon et Volt Typhoon attribuées à la Chine ; attaques visant à se prépositionner sur des infrastructures vitales du pays confirmant ainsi l’utilisation d’outils financiers contre la Russie.
La limite étant qu’une communication officielle (issue d’un gouvernement) d’une cyber-attaque d’un pays envers un autre pourrait être assimilé à un non-respect des règles internationales de non-ingérence (validée par l’assemblée des Nations Unies en 1945) entre états. Cependant, de nombreuses cyber-attaques ont été reconnues et pour autant, ce ne fut pas l’objet d’une déclaration de guerre ; même en Ukraine ! Ainsi, les cyber-attaques virales de 2017 (Notpetya et Wanacry) visaient en premier lieu l’Ukraine.
Focus sur les conséquences des cyberarmes utilisées à des fins géopolitiques
L’impact financier
A titre d’exemple, l’activité cyber de la Corée du Nord renvoie avant tout à son antagonisme vis-à-vis de la Corée du Sud : le pays développe des cyber-attaques contre son voisin ainsi que d’autres pays pour financer son développement interne ou militaire. Comme ce pays de vingt millions d’habitants ne bénéficie pas de richesses naturelles importantes ni d’activité commerciale internationale et que la guerre coûte cher, l’utilisation de cyberarmes représente l’une de ses ressources financières principale et cela contre les pays majoritairement occidentaux ; l’autre étant de développer des armes physiques, essentiellement des fusées[3] alors que l’on sait que seules, elles ne pourront que tuer sans pour autant gagner de guerre.
Les mafias ont aussi profité du développement et de l’accessibilité des RaaS pour générer une activité économique (localement) en profitant souvent d’états complaisants par rapport à leurs activités. La seule condition donnée par ces pays d’accueil est que ces logiciels, généralement développés en Russie, ne s’activent pas dans les pays sous l’autorité des pays de l’alliance CEI . On remarquera que la Géorgie et l’Ukraine en sont sorties en 2009 et 2018.
Le poids de la géopolitique explique aussi pourquoi les administrations et organismes étatiques sont les premières victimes des cyber-attaques. Les rançons exigées après une attaque sont sous forme de crypto-actifs. Cette technologie, favorisant la dématérialisation des échanges financiers, correspond à une volonté de liberté et d’indépendance d’intermédiaire centralisateur. En anonymisant les identités, elle diminue ou complexifie la possibilité de contrôle, ce qui ouvre une voie royale à toute l’économie obscure des mafias et organisations cybercriminelles en l’occurrence. En effet, cette technologie permet à ces organisations d’éviter les problèmes de logistique et des transferts d’argent depuis le pays ciblé vers celui auteur de l’attaque. D’ailleurs, de nouvelles technologies de blanchiment des crypto- actifs ont même été inventées, avec plus ou moins de succès, pour s’affranchir de toute traçabilité … cela en dépit des technologies de contrôle et tentatives de traçabilité développées par la société Chainanalysis.
Le blanchiment de crypto-actifs est détaillé dans une précédente chronique.
Aussi surprenant que cela ne paraisse, les crypto-actifs qui au départ prônaient la liberté, deviennent une arme qui maintenant sert surtout les intérêts des organisations cybercriminelles résidant dans les pays comme la Russie, la Chine, La Corée du Nord, l’Iran ; pays où la liberté de penser et de s’informer au-delà des canaux officiels n’est pas la caractéristique principale. Paradoxalement cette technologie se retourne donc contre les entreprises des démocraties occidentales !
Le choix des cibles et le nombre de ces cyber-attaques font l’objet de constats qui montrent que les tensions géopolitiques entre l’occident et l’orient sont particulièrement fortes en ce moment. On peut même parler de cyber-guerre.
Le « vol » d’informations ; nouvel eldorado des organisations cybercriminelles
Parmi les autres menaces, le vol d’informations est l’une des actions de plus en plus répandues des organisations criminelles. Le vol d’informations cible la propriété intellectuelle et/ou les données à caractère personnel, recelant la valeur pour l’entreprise.
Surfant à la fois sur la directive NIS 1 et bientôt 2 et sur le règlement Européen de protection des données à caractère personnel (sous-tendant les sanctions financières et pénales contre l’entreprise et son dirigeant), les organisations cybercriminelles profitent de cette pression sur les entreprises qui n’auraient pas réussi à contrer ce type d’attaque.
On s’aperçoit que les amendes pour non-respect de la réglementation, s’analysent plus par la valeur de l’information dérobée qu’au regard du montant des rançons elles-mêmes ; comme ce fut le cas dans la dernière affaire de l’entreprise 23and Me en 2024.
Les données personnelles revendues sur le DarkNet sont aussi l’opportunité d’usurper l’identité d’une personne pour lancer une attaque de phishing ciblée ultérieurement. La motivation est économique (parts de marché) et politique puisque ce type d’information peut servir les intérêts des services d’espionnage de pays ennemis. De nouveau, les conflits géopolitiques de la scène internationale vont motiver les organisations cybercriminelles et les attaques seront précises, plus difficiles à détecter et à stopper par les équipes du directeur ou l’expert cybersécurité dans les entreprises et administrations.
Le « vol » de propriété intellectuelle (PI)
Le vol de propriété intellectuelle est beaucoup plus préoccupant pour les entreprises. Ces données sont souvent le résultat de plusieurs années de recherche et développement qui, parfois, servent à la concurrence pour une valorisation nettement en dessous des efforts initiaux de toute l’entreprise ! Ce type d’attaque peut porter un préjudice extrêmement fort pour l’entreprise et son évolution stratégique ainsi qu’un risque important de démotivation des équipes internes.
Les motivations pour le vol de propriété intellectuelle sont à court terme des raisons économiques.
Les motivations purement économiques viennent, soit de compétiteurs nationaux n’ayant pas de département R&D suffisamment ingénieux, soit de compétiteurs internationaux en retard par rapport aux recherches en cours. C’est dans le deuxième cas que de nombreuses cyber-attaques ont déjà été enregistrées. La Chine a pendant longtemps pratiqué cette activité en envoyant des étudiants en Europe avec pour mission de revenir avec des secrets de fabrication. De grandes entreprises françaises ont subi plusieurs « vols » de propriété intellectuelle dans leurs départements de R&D. Les managers de ces départements ont été particulièrement naïfs en accueillant des étudiants chinois. Ce n’est qu’après les années 80 et après la sortie du film américain Mulan en 1998 que la Chine a compris l’originalité intellectuelle et son rapport financier face à ses siècles de copistes. Elle a mis en place une première loi précisant la notion de propriété intellectuelle suivie par d’autres lois ou amendements sur les brevets protégeant les entreprises, alors que les premiers centres de R&D apparaissaient en Chine. Avant, le « vol » de PI était une pratique courante hérité des copistes dans l’objectif de rattraper leur retard.
Pour se prémunir de ce risque, l’ambassade de France, l’INPI et l’Anssi ont publié un document expliquant les protections à mettre en place si une entreprise française venait s’installer en Chine.
Parfois le vol d’information ne vise pas uniquement à combler un retard technologique ; dans le domaine militaire, il peut aussi permettre de cumuler suffisamment de renseignements sur les systèmes adverses pour pouvoir les entraver ou les contourner (cas des systèmes de défense sol/air…).
Cependant aujourd’hui, pour s’approprier de la PI, il est plus facile d’exfiltrer des informations dans les départements de R&D d’une entreprise via une cyber-attaque ciblée (Article 323-3 du code pénal – Loi Godfrain du 8 janvier 1988 modifiée). Le rôle du directeur cybersécurité est alors d’informer les managers du risque, de mettre en place des solutions techniques de protection : classification des données, pièges de type « pot de miel » ou « deception » visant à identifier ou détourner l’attaquant , renforcement des droits d’accès, séparation des environnements, traceur de flux de données sensibles, chiffrement résistant aux techniques en-cours… et surtout d’éveiller les consciences des utilisateurs de ces données sensibles et de les former à prévenir de toute anomalie.
Mais le plus critique dans cette lutte pour protéger la propriété intellectuelle et les données business est la protection des personnes.
Protéger les personnes qui se trouveraient être la cible d’un conflit international
Les personnes ayant des relations internationales doivent non seulement obligatoirement être averties de leur exposition personnelle à ces risques auxquelles elles s’exposent à titre personnel mais aussi aux risques qu’elles font porter à l’entreprise dans le cas de manipulations de documents spécifiques comme les contrats et les négociations commerciales. De plus, les équipes IT doivent mettre à disposition des supports électroniques vierges, juste formatés et possédant un double sas permettant de protéger les données sensibles. La technique du double sas répond à la demande des douaniers qui en inspectant les supports électroniques du passager, vont identifier un environnement chiffré et demander les clefs pour consulter cet environnement ; en espérant qu’ils ne trouvent pas un deuxième espace disque encore plus sécurisé et caché. L’IT peut aussi mettre à disposition une fonctionnalité de chiffrement des données pour les stocker dans un Cloud sur Internet ; tout en s’assurant que les clefs de chiffrement soient parfaitement maîtrisées. A noter que ces clefs doivent aussi être résistantes aux attaques par « brute-force » d’un ordinateur quantique de demain ; ou possèdent un chiffrement symétrique AES 256 et non pas asymétrique.
Les cyber-attaques par déni de service
Les autres menaces qui ciblent les entreprises françaises sont les attaques par Déni de Service « DDoS » interrompant les services et l’accès à l’information, la plupart de nombreuses tentatives lors des JOP de 2024 ont échoué grâce à des solutions anti DDoD anticipés.
Souvent, ce type d’attaque est sans conséquence pour l’entreprise et la paralysie de ses systèmes d’informations n’impacte pas le contenu et faiblement sa réputation. En revanche, et il faut le souligner, ce type d’attaque peut cacher une attaque plus discrète ayant pour objectif, elle, de s’approprier des informations.
L’attaque DDoS est également celle qui est la plus facile à faire ; il y a des services dans le DarkNet pour louer un ensemble de serveurs composé de botnets qui vont inonder le ou les points clefs du réseau de l’entreprise. Le nombre et la puissance de l’attaque est fonction du nombre de botnets achetés.
L’attaque en DDoS du 10 mars dernier contre des sites du service public de la France (les sites de l’Assemblée Nationale et du Sénat) revendiquée par deux groupuscules pro-russe (Anonymous Sudan et NoNames(57)) indique combien il est facile d’exprimer une revendication politique pour un coût faible et des impacts très visibles.
Les protections à mettre en place se font au niveau de l’architecture du réseau et de services que l’on doit définir contractuellement avec l’aide des opérateurs télécoms et des sociétés de cybersécurité. Il faut encore une fois, anticiper ce type d’attaque en fonction de l’importance des services apportés aux utilisateurs internes ainsi que les clients et partenaires.
Quelles mesures de protection contre les cyber-attaques de type géopolitiques ?
Face à cette diversité des menaces (et au contexte très fort de désinformation que nous détaillerons dans notre prochaine chronique), plusieurs actions peuvent permettre à une organisation de réagir.
Comprendre si l’entreprise est devenue une cible stratégique dans un conflit international
La première action est évidemment d’être informé des choix de la Direction générale qui aurait pour objectif de conquérir de nouveaux marchés ou développer un produit sans rival au niveau de la concurrence étrangère. En ayant connaissance de ce type d’information suffisamment tôt, le directeur Cybersécurité aura un peu de temps pour convaincre le Comité de Direction de renforcer toutes les barrières de sécurité afin de protéger l’entreprise et mettre en garde les employés qui pourraient être visés.
Evaluer l’exposition aux risques géostratégiques
Le Directeur Cybersécurité doit être en mesure de présenter les quatre grandes catégories de risques dans le rapport des actions cybers qu’il présente régulièrement au Comité de Direction :
1) les vulnérabilités techniques, organisationnelles et l’absence de procédures de sécurité,
2) les risques intrinsèques à l’activité de l’entreprise,
3) les risques d’impact collatéral et/ou de supply-chain, et
4) les risques géopolitiques.
En ayant l’opportunité de présenter régulièrement les risques géopolitiques au Comité de Direction, comme ce fut le cas pour les JOP 2024 en France, le Directeur Cybersécurité sensibilise ce Comité pour prendre toutes les dispositions afin de diminuer le risque en conséquence.
Identifier les artéfacts d’une cyber-attaque de type géostratégique
Parfois, il existe des signaux faibles, activités suspectes ou « presque accident » qui indiquent qu’une attaque ciblée se met en place. L’attention du Directeur Cybersécurité doit être extrême car ces artéfacts sont difficiles à identifier mais très importants. Les exemples d’artéfacts sont par exemple :
- Un mail suspicieux en provenance d’un pays qui fait l’objet d’une orientation stratégique de l’entreprise.
- Une tentative d’intrusion ciblée dans les SI ; type d’attaque qui n’est pas un phishing standard et dont la cible est bien une personne de la direction présentant des données sensibles commerciales ou contractuelles.
- Une tentative de partenariat avec une entreprise qui ne respecterait pas la politique cybersécurité de l’entreprise ; l’analyse est à faire particulièrement si un premier contact est pris à l’international dévoilant la stratégie de l’entreprise.
- Une entreprise qui est en compétition économique forte sur un deal et pour lequel il y a un enjeu important financièrement. Elle serait alors tentée de voler des informations en exploitant des vulnérabilités techniques ou par le biais des solutions US installées et des lois d’extraterritorialité
- Les opérations de carve-in ou carve-out (c’est-à-dire les cessions ou acquisitions d’une partie ou de toute une entreprise) sont des moments les entreprises sont le plus vulnérables.
L’attribution des cyber-attaques et le hack-back
Je finirais cette chronique sur une note particulière concernant la tentation de « hack back » qui revient souvent dans les discussions.
Le hack-back est une pratique qui consiste à identifier l’origine de l’attaque et à son tour détruire les armes de l’attaquant. Il faut rappeler que cette pratique est uniquement réservée aux forces de défense des Etats ; en aucun cas, une entreprise n’aurait le droit d’effectuer ce type d’action. De plus, la responsabilité de l’Etat hôte pourrait être engagée.
Quelques cas ont été constatés mais peu visible du grand public à l’exception des Etats-Unis qui ont cautionné les actions d’entreprises privées dans une défense active. Le risque d’escalade est important et peut mener à une guerre. Les ministres Européens se sont réunis le 16 décembre pour mettre en évidence les attaques (non seulement cyber) de la Russie contre le pays Européens[4].
De même, les USA ont récemment émis un rapport sur les cyber-attaques Salt Typhoon et Volt Typhoon attribuées à la Chine ; attaques visant à se prépositionner sur des infrastructures vitales du pays.
Dans notre prochaine chronique, nous continuerons cette réflexion sur les liens entre menace cyber et géopolitique en détaillant les cas emblématiques de désinformations et d’attaques menées par des hacktivistes. Des préoccupations que ne faibliront pas en 2025.
Notes :
[1] CF ; l’article 5 de l’OTAN et la déclaration de Barak Obama en son temps assimilant l’attaque cyber à la cyber guerre entrainant la réaction prévue à cet article 5.
[2] Emission « Focus international » sur France 5 par François Beaudonnet du 16 décembre 2024
[3] Ce qui a valu à son oligarque président le surnom de « rocket man »