Entreprises, hôpitaux, collectivités locales… depuis le début de la crise du coronavirus les cyberattaques se multiplient. En 2020, 192 attaques par « rançongiciel » ont été répertoriées en France, contre 54 l’année précédente, selon l’Agence nationale de la sécurité des systèmes d’information (Anssi). Mais ce n’est que la « petite partie émergée et la moins dure de l’iceberg », explique Johnatan Uzan, directeur du centre d’expertise Cybersécurité de BCG Platinion Europe. Cet expert en cybersécurité et en sécurité offensive revient sur les mutations et l’accélération de ces risques cyber à la faveur de la crise du Covid-19 et de la digitalisation de nos vies privées et professionnelles qui en a découlé.

Il y a deux semaines, le patron de la banque fédérale américaine Jerome Powell déclarait être plus inquiet du risque d’une cyberattaque à grande échelle que d’une crise financière mondiale semblable à celle de 2008. Selon vous, s'agit-il aujourd'hui du risque essentiel pour l’économie et les entreprises ?

Malheureusement, oui. Les analyses des experts depuis de nombreuses années notent une accélération de la course à l’armement cybersécurité. Des Etats se sont armés et continuent de le faire pour conquérir le cyberespace, un enjeu stratégique depuis une vingtaine d’années. Il semblait dès lors assez inévitable qu’il y aurait des fuites vers des groupes criminels qui muteraient en groupes cybercriminels. Ces groupes ont vu tout l’intérêt financier à rançonner des entreprises. Etre à la tête d’un réseau de proxénétisme ou de vente de stupéfiants dans trois pays demande une structure opérationnelle organisée, des réseaux de blanchiment complexes et fait prendre beaucoup de risques. Mais lorsque vous attaquez une entreprise en envoyant des rançongiciels, que vous utilisez une monnaie intraçable pouvant être blanchie facilement et rebasculée sur des comptes à l’autre bout du monde et que, pour faire tout cela, il ne vous faut que six ou sept personnes le calcul est vite fait. D'autant que les sanctions pénales ne sont pas encore les mêmes que pour la grande criminalité. Sans oublier, ces hackers - un peu opportunistes - qui ne savent pas très bien ce qu’ils font, mais qui créent un volume d’attaques suffisant pour maintenir un niveau de danger constant.

Et ce ne sont pas les seuls risques...

Il faut aussi évoquer celui du cyber-espionnage qui, au niveau européen, n’est pas assez surveillé. Et celui, effrayant, du cyber-terrorisme, encore inexistant en France et à très bas bruit dans le reste du monde. Un phénomène redouté et laissé à l’imagination scénaristique des attaquants. L’une des grandes peurs des autorités, c’est la rencontre de groupes à fortes possibilités financières et de groupes à hautes compétences cybernétiques.

Lors d’une récente conférence de l’Observatoire BCG de la nouvelle réalité vous expliquiez que le « responsable sécurité de n’importe quelle entreprise est aujourd’hui confronté à des armements militaires conçus par des Etats pour attaquer des Etats » ? Comment en est-on arrivé là ?

Au même titre que les Etats fabriquent leurs propres avions de chasse ou leurs tanks, ils ont naturellement et rapidement développé leurs propres armements cybernétiques. Sans toujours pouvoir se mettre à l’abri d’éventuelles fuites de ces nouvelles armes, facilement copiables, partageables parfois avec une simple connexion internet. Des groupes ont pu utiliser ces fuites pour en faire le « cœur stratégique d’une nouvelle économie criminelle ». Il n’est ainsi pas rare de voir sur le Darknet [le marché noir de l’informatique] des acteurs affichant clairement leurs possibilités et leurs intentions d’acheter tout armement, à grand renfort de bitcoins.

Moins regardé mais tout aussi important : les groupes de recherche en sécurité de l’information publiant publiquement et tout à fait légitimement leurs travaux. C'est une source d’information particulièrement sensible. Si vous savez suivre les bons groupes de recherche et connecter les travaux les uns avec les autres, alors vous serez rapidement en capacité de créer la prochaine arme numérique qui détonnera dans les organisations.

« Les groupes criminels sont de véritables petites entreprises cherchant à maximiser leurs gains et à rationaliser leurs coûts. » »

Ces armes devenues des outils malveillants se retrouvent après un premier cycle d’utilisation modifiées, recyclées, pour attaquer des banques, des hôpitaux, ou toute cible qui pourra rentabiliser une opération criminelle. Les groupes criminels sont de véritables petites entreprises ayant leur propre P & L [profit and loss], cherchant à maximiser leurs gains et à rationaliser leurs coûts. Donc quand vous êtes derrière le desk sécurité d’une grande entreprise, vous ne pouvez plus vous dire qu’avec un simple antivirus vous allez pouvoir bloquer des choses aussi complexes. On est vraiment passé à un autre stade, il y a environ une dizaine d’années.

La crise sanitaire actuelle, qui va notamment de pair avec une digitalisation de nos vies professionnelles, a-t-elle accéléré le processus ?

Clairement. La crise du Covid-19, avec le télétravail et le confinement, a forcé la digitalisation d’une façon phénoménale et je ne pense pas qu’il y aura de retour en arrière massif. On ira maintenant vers de plus en plus de digitalisation, de plus en plus de surface d’attaques et de plus en plus d’attaques. Cela sera renforcé par le développement des IoT (Internet of things) qui va s’accélérer, comme les montres connectées, au sein des grandes entreprises et chez les particuliers, qui sont autant d’outils permettant de réaliser des attaques, de monitorer des données.

On entend aujourd’hui beaucoup parler des attaques par des logiciels de rançon. Est-ce le principal risque pour les entreprises en matière de cybersécurité ?

Non, le rançongiciel c’est une petite criminalité qui a pour objectif de prendre le plus et le plus vite. C’est cependant la petite partie émergée et la moins dure de l’iceberg. Le danger, c’est tout ce qu’on ne voit pas. Quand un groupe criminel ou un groupe d’espionnage adossé à un Etat pénètre une organisation, son but est de rester silencieux le plus longtemps, le moins identifiable possible pour exfiltrer les données et littéralement dupliquer une entreprise, ses savoir-faire, toute son intelligence, mettant en périls les emplois de demain en France et en Europe. Nous ne surveillons pas assez l’espionnage économique et cela sera sans doute l’une des grandes déconvenues de ces prochaines années. Nous sommes entrés, dans le numérique aussi, dans une ère hyperconcurrentielle, hyper agressive et hyper mondialisée. Nous devons nous adapter.

De plus en plus d’hôpitaux sont aussi la cible de ces attaques : le secrétaire d’Etat à la Transition numérique Cédric O dénombrait en février 27 cyberattaques d’hôpitaux en 2020, une par semaine depuis 2021. Faut-il craindre une déstabilisation du système de santé ?

Je vais sans doute être un peu à contre-courant mais je pense que les cybercriminels ont fait montre de beaucoup de prudence concernant les hôpitaux depuis le début de la crise du Covid. Nous n’avons rencontré que des attaques marginales avec un objectif de rançon immédiate pour libérer des données d’importances vitales. Mais nous n’avons pas vu d’incidents en trop grands volumes ou trop inquiétants. Peut-être avons-nous même eu des attaquants qui ciblaient des hôpitaux sans le savoir.

Les groupes criminels connaissent les sanctions auxquelles ils s’exposent. Ils savent qu’il y a des frontières qui les feraient basculer de la criminalité vers la très haute criminalité, voire le terrorisme dans lesquels ils n’ont pas forcément envie de tomber. Il y a eu au début de cette crise sans précédent une sorte d’accord tacite pour dire « on n’attaquera pas les hôpitaux ». Les groupes criminels s’y sont à peu près tenus, mais rien ne dit que cela durera.

Oui, il n’y a pas eu de drame : les données n’ont pas été altérées par exemple…

Oui, bien plus que le chiffrement ou la destruction des données, c’est leur altération qui serait gravissime. Il y a un vrai risque qu’un jour une attaque vise un hôpital non pas pour lancer un rançongiciel mais pour changer les données patients et faire en sorte que ne soient pas distribuées les bonnes doses de médicaments aux bonnes personnes, par exemple. On peut aussi nuire à une entreprise : si une attaque vise le système d’un grand transporteur par exemple et envoie des bons de commande vers les mauvais ports à l’autre bout du monde, on peut paralyser l’entreprise voire l’approvisionnement en denrées de régions entières pendant plusieurs jours ou plusieurs semaines. Derrière ce genre de malveillance, il peut y avoir un concurrent, des « hacktivistes » [des pirates qui agissent par idéologie], des motivations criminelles, etc. Tout le travail de la cybersécurité et de la cyberdéfense est d’être proactif et d’aider les particuliers, les petites et grandes entreprises ou les Etats à se protéger.

Comment peuvent-elles se protéger face à un tel arsenal ?

Il faut accepter que la cybercriminalité soit un risque. Au début, quand une attaque arrivait, personne n’en parlait dans les entreprises. C’était tabou. Depuis quelques années, c’est devenu un sujet de direction générale. On sait qu’il va falloir traiter ce problème comme il y a quelques années il a fallu traiter de la protection physique de son usine, de ses gazoducs, etc.

Il faut donc faire appel aux bons experts qui déplieront le modèle technique et opérationnel : prendre chacune des boîtes sécurité, ouvrir et regarder à l’intérieur pour identifier les architectures vieillissantes ouvrant à certaines brèches et voir comment les mettre à jour ou implémenter les bonnes sondes aux bons endroits. C’est un sujet en pleine accélération parce que les entreprises ont parfaitement compris qu’il s’agissait d’un prérequis à leur survie à cinq ans ou à leur capacité à innover. Ce qui est pour nombre d’entre elles un peu la même chose.