Quand les cyber menaces développent la résilience digitale

Cybersécurité contre cybercrime : la course à l'échalote

Au cœur de Sophia, Fortinet fait figure de poids lourd. Son ADN la classe parmi les multinationales leaders dans l’écosystème de la cybersécurité B2B. Ce marché évalué à 200 milliards de dollars ne cesse de croître, comme si l’appétit des cyberpirates, des hackers, ne connaissait pas l’assouvissement. « Depuis l’avènement des ordinateurs personnels, leur mise en réseau et la révolution des smartphones, le monde en devenant ˮen ligneˮ propose des services et des usages totalement disruptifs sur lesquels nous ne pourrions revenir en arrière », introduit Patrick. « Mais il y a un revers à la médaille : le cyber risque. La créativité des hackers et la cybercriminalité ont évolué au même rythme que le déploiement intensif du digital, c’est-à-dire à vitesse grand V », alerte Alain.

Solitude du décideur, entre incertitude, complexité et coût

Selon ces deux spécialistes en sécurité des infrastructures numériques, « il y a deux sortes d’entreprises, celles qui ont été attaquées et celles qui ne savent pas qu’elles l’ont été ». La question de la sûreté et de la bonne santé informatique des entreprises s’apparente à une poule aux œufs d’or pour les fournisseurs, mais avant tout s’impose comme un enjeu éminemment stratégique pour les décideurs. Ils ne peuvent y allouer des ressources infinies mais à contrario, ils ne peuvent l’ignorer sous peine de mettre à coup sûr la clé sous la porte. Vauban, architecte militaire et ministre renommé du roi Soleil ayant pour charge de sécuriser les marches du royaume en bâtissant les forteresses qui depuis ont adopté son nom, avait osé cette phrase : « Sire, je ne puis à la fois vous plaire et vous servir. » Élégante synthèse du défi qu’un responsable sécurité doit relever au quotidien. La sécurité idéale et sans faille n’existera jamais. En revanche, plus elle nécessite que l’assaillant mobilise des ressources importantes, plus elle est dissuasive, car obérant son espoir de gain par une obligation d’investissement trop importante. De même que votre médecin ne pourra vous garantir une bonne santé éternelle, les technologies de sécurisation parent les coups au mieux face à des hackers « qui ne sont plus depuis longtemps des adolescents révoltés en mal de reconnaissance tapis dans leur grenier, mais de véritables organisations, disposant d’importantes ressources matérielles, organisationnelles, intellectuelles, et qui proposent même leurs services », souligne Patrick. En d’autres termes, les cyberattaques en mode HaaS, pour « Hacking as a Service » n’est plus depuis longtemps une fiction. Dont acte !

Un phénomène mondial, des attaques très élaborées

D’après les données collectées par les équipements Fortinet déployés chez certains de leurs 700 000 clients éparpillés dans le monde, le nombre de cyberattaques quotidiennes dépasse le milliard. En France, ce chiffre journalier atteint 600 000, recouvrant des malveillances parfois juste opportunistes, mais plus souvent ciblées et calculées. « Il y a quinze ans, un hacker artisanal piratait un numéro de carte de crédit pour accomplir quelques achats pour quelques centaines d’euros. Aujourd’hui ces informations, grâce aux process de sécurité en place, ont une durée de vie très minime car la carte de crédit est très vite annulée. En revanche les hackers s’emparent de numéros fiscaux, d’identifiants de sécurité sociale, des ˮinvariantsˮ . En les recoupant avec d’autres informations, volées ou hackées par datamining ailleurs dans le monde, ils retrouveront vite le nouveau numéro de carte de crédit attaché à la personne. Le niveau du piratage s’est hyper professionnalisé et a atteint une efficacité redoutable », explique Patrick. Alain poursuit en évoquant les « rançongiciels », et toutes les techniques de chantage numérique par cryptage menaçant les entreprises de pertes financières ou de perte de notoriété, se traduisant à terme par les mêmes regrettables conséquences sonnantes et trébuchantes.

Les trois piliers de la sécurité : technologie, procédures, personnes

« Les grandes organisations comme les banques, qui sont très distribuées géographiquement et qui traitent beaucoup d’informations confidentielles monétisables, présentent forcément une grande surface vulnérable aux hackers. Leur protection nécessite plus que de la technologie », remarque Alain. Thucydide, historien, politicien, stratège grec témoin des guerres du Péloponnèse au 5e siècle avant JC, aurait prononcé cette phrase : « L'épaisseur du rempart compte moins que la volonté de le défendre. »

Ainsi la meilleure sécurité, réelle ou digitale, repose sur un triptyque connu depuis l’antiquité : Personnes, Procédures et Technologie (People, Process, Technology). Au-delà des firewalls, des anti-malware et autres protections contre les attaques par Déni de Services, la bonne sécurité continuera de reposer sur une solide culture du risque, des réflexes rigoureux et pleins de bon sens. Choisir et changer régulièrement des mots de passe non triviaux, ne jamais cliquer sur des liens inconnus, refuser de verser dans cette « crédébilité » naïve… il y a très peu de chances qu’un banquier de Centrafrique philanthrope vous fasse soudainement confiance pour récupérer dix millions d’euros. « Je crains les Grecs quand ils font des cadeaux », murmura le roi Priam du sommet des remparts de Troie à la vue du célèbre cheval, métaphore s’il en est du virus prêt à pénétrer un corps sain par le leurre, pour l’infester et le faire mourir in fine. La meilleure sécurité, celle qui garantira la désirée « résilience », repose sur plusieurs couches, capables de réagir les unes après les autres, servies par des procédures de détection rigoureuses, des plans de recouvrement idoines et des personnels formés, conscients des enjeux. « La première cible du cyberpirate est l’employé. Il va tout mettre en œuvre pour lui faire faire ce qu’il veut, à savoir ouvrir une brèche si petite soit-elle… après ce n’est qu’une question de vitesse ! », martèle Patrick.

Un cadre réglementaire européen, nécessaire mais pas (encore) suffisant

La Commission européenne a légiféré en « Cybérie », au travers de DORA, le Digital Operational Resilience Act datant de 2022. Ce texte, en se basant sur le risk management, définit l’ensemble des règles à mettre en œuvre dans une organisation s’agissant de la protection, de la détection, de l’endiguement, du recouvrement et de la réparation, afin de bâtir une infrastructure de sécurité résiliente. La théorie du risk management classe les risques selon leur probabilité d’occurrence et leurs impacts une fois survenus. Sécuriser va consister à diminuer au maximum la probabilité d’une menace à advenir, puis si malheureusement elle se réalise, à adapter au plus vite l’environnement pour en minimiser les effets impactants.

IA et cybersécurité, un long dimanche de fiançailles

Est-il un domaine aujourd’hui où l’IA ne se soit pas invitée ? En tout cas la « Cybérie » n’y a pas échappé, même si la progression se fait step by step. « Ne nous mentons pas, aujourd’hui l’IA n’est pas en mesure de piloter la sécurité d’une organisation. En revanche elle nous aide à améliorer grandement son efficacité », prévient Patrick, réaliste. Tout en désignant une mappemonde animée où des points et des faisceaux montrent en temps réel l’origine des attaques, leurs cibles, leur type et leur sévérité, il explique que ces volumes gigantesques de données sont synonymes du « chercher l’aiguille dans une botte de foin » et le mariage avec le machine learning devenu évident. Ces données et cet algorithme étaient faits pour se rencontrer. Madame cybersécurité peut envisager de se donner un nouveau gendre !

De façon à capitaliser sur ces informations pour en extraire du sens, Fortinet a conçu et mis en ligne une plateforme d’IA générative, Fortinet Advisor, se nourrissant de cette manne inépuisable. Ses usagers peuvent lui poser des questions sécuritaires et obtenir des réponses en langage humain. « ˮConnais ton ennemiˮ est l’un des préceptes du Bushido, l’art de la guerre japonais », ajoute Alain espiègle. L’IA joue aujourd’hui le rôle de conseillère. Prendra-t-elle les rênes demain ? L’histoire le dira mais en attendant les hackers renseignent sans le savoir des réseaux de neurones qui les combattront dans un futur qu’on souhaite proche.

Cyber risques, une nécessité depuis l’aube de l’immunité ?

Alain, amusé par ces quelques références à l’Antiquité, achève sa présentation en mentionnant que « la déesse Panacée, dans la mythologie grecque, sensée être le remède universel à tous les maux, n’existe pas ». Facétie du destin, avant de s’occuper de médecine antivirale dans le digital, il avait obtenu un diplôme en biologie et biochimie. Patrick préfère une métaphore plus anglosaxonne : « Il n’existe pas de silver bullet (la balle d’argent), la seule capable de détruire les vampires, comme il n’existe pas de protection Zero-day ».

Gendarmes contre voleurs. L’histoire se répète sans fin et se densifie au gré des avancées technologiques. L’imagination des uns se heurte à la créativité des autres, et vice versa. Peut-être est-ce là le sens à donner à ce jeu d’échec planétaire ? Après tout, les généticiens estime que 15 % de notre ADN provient des innombrables virus et parasites qui nous ont colonisés depuis l’aube de l’humanité. Un cadeau à notre immunité, une opportunité de se renforcer. Après tout, « ce qui ne tue pas rend plus fort », écrit Nietzche en 1888 dans son livre Le crépuscule des Idoles…