Vivre avec les cyberattaques : a new normal ?

Dans la nuit du 09 au 10 avril 2024, les serveurs de la collectivité de Saint-Nazaire ont été attaqués, rendant inopérants plusieurs applications et dossiers informatiques de cette ville de 72 000 habitants, mais aussi de 4 autres communes de l’agglomération. Aujourd’hui, il est courant d’entendre parler de cyberattaques dans l’actualité, tant sont régulières les attaques réussies et médiatisées. Considérant que la grande majorité des attaques ne sont pas révélées publiquement, voire même ne le sont pas aux autorités, il est aisé de réaliser le nouveau monde dans lequel nous vivons : aux vols à l’arraché et aux cambriolages, il faut désormais ajouter les vols de données numériques comme une pratique courante dans le tissu social.

L’expansion exponentielle de l’espace numérique, tissé par des lignes de code et des sources de données toujours plus nombreuses, et l’ingestion progressive de toutes les fonctions de notre vie économique, politique et sociale par cette machinerie numérique accroît mécaniquement les vulnérabilités et les opportunités exploitables par les individus, groupes criminels, entreprises et États disposant de capacités de cyber-intrusion. Dans un rapport de juin 2023, l’Institut Montaigne avait bien démontré ces risques, pesant particulièrement sur les collectivités territoriales et petites et moyennes entreprises.

Avec les élections européennes et les Jeux Olympiques de Paris, les prochains mois sont particulièrement à risque, alors que le gouvernement et les entreprises souhaitent limiter tout obstacle à leur bon déroulement. Plus de 450 millions de cyberattaques ont été recensées lors des Jeux Olympiques de Tokyo (2021) et ce chiffre pourrait quadrupler cet été.

De nouveaux évènements et de nouvelles opportunités surviendront vite, sans compter le volume permanent des cyberattaques courantes et les évolutions technologiques, comme l’intelligence artificielle générative qui augmente l’intensité de ces attaques. La vie impose désormais à tous de vivre dans un espace numérique connecté constamment attaqué : doit-on considérer ce paradigme comme une nouvelle normalité ?

La France, une nation attaquée dans l’espace numérique

Le 28 mars 2024, la ministre de l’Éducation, Nicole Belloubet, a annoncé la mise en place d’un "véritable bouclier numérique", suite à des cyberattaques ayant visé les espaces numériques de travail (ENT) de près de 150 établissements scolaires dans les jours précédents. Une des mesures principales : couper l’accès des services de messagerie temporairement pour éteindre l’incendie. Sûrement une bonne mesure pour figer le problème, à l’image de la coupure de la liaison internet recommandée lorsque vous êtes victime d’une cyberattaque. Mais enfin, doit-on arrêter d’utiliser nos outils numériques ? Les enfants doivent-ils reprendre leurs anciennes habitudes ? Naturellement, la réponse est non. Malheureusement, ce "bouclier numérique", mêlant bonnes pratiques et feuille de route, illustre plutôt les difficultés structurelles à protéger des pans entiers de la société, très vulnérables aux cyberattaques.

Deux semaines seulement avant, c’est France Travail (anciennement Pôle Emploi) qui était victime d’une cyberattaque dans laquelle les données personnelles de plus de 43 millions de Français auraient été exposées, voire récupérées. Le chiffre est colossal et ouvre des possibilités importantes pour de futures actions criminelles, à commencer par des tentatives accrues de hameçonnage (phishing), pratique visant à abuser de la confiance d’un individu avec un faux mail piégé (ou un faux appel téléphonique) pour obtenir un accès à son système d’information. Le hameçonnage est le principal mode opératoire de pénétration dans un réseau (et la cyberattaque privilégiée, avec les ransomwares et les attaques par déni de service). Dans un système où les services de l’État passent progressivement tous par le numérique, il devient clair que les données personnelles, autrefois considérées comme du domaine de l’intime, deviennent vulnérables au vol, à la vente, à la diffusion publique et in fine à leur instrumentalisation.

Les risques économiques et les enjeux psychologiques

En 2022 et 2023, les TPE/PME sont les entités les plus touchées par des cyberattaques, ce qui entraîne des pertes importantes pour le tissu économique français (rançons financières, pertes de savoir-faire et R&D, perte de compétitivité et parfois cessation d’activités). Les collectivités territoriales, les entreprises stratégiques et les établissements de santé arrivent ensuite dans le classement. L’ANSSI, comme la plateforme Cybermalveillance, ont constaté une hausse importante des attaques signalées ou observées entre 2022 et 2023, notamment par rançongiciel, poursuivant une tendance désormais bien ancrée. En bout de chaîne, les entités les moins protégées, même si moins visées, restent les particuliers.

L’impact insidieux est fort, tant il peut affecter les citoyens et les entreprises. Dans une société plus connectée et où les opinions sont publiques, avez-vous envie qu’on sache où vous logez ? Souhaitez-vous que les entreprises de télémarketing ou les escrocs connaissent votre numéro de téléphone ? Avez-vous conscience des conséquences d’un possible vol de pièces d’identité ? Aimeriez-vous que votre banque effectue des virements que vous n’avez pas demandés ? Que feriez-vous si une entreprise concurrente avait connaissance de votre comptabilité précise ? Un tabou social en France : aimeriez-vous que votre salaire soit connu de tous, si vos fiches de paie étaient volées et publiées ? Bien évidemment non. L’effet psychologique ne doit donc pas être sous-estimé.

À la manière d’un cambriolage, dont les effets psychologiques sur les victimes peuvent être importants, le vol de données est susceptible d’entraîner des effets sur les citoyens. Si ces vols sont plus indolores et ne permettent pas toujours de se rendre compte de l’impact réel, ils n’en restent pas moins une violation de l’intime. A titre d’exemple, le vol de données et la surveillance opérée par les entreprises de cyber-intrusions via des spywares, sur des journalistes, des activistes ou des hommes politiques relèvent du même domaine : la violation de l’intimité et les dommages psychologiques sont importants.

Avant l’avènement de l’espace numérique et de la société de l’information, il était particulièrement rare qu’un tiers ait accès à ses écrits et pensées personnelles, à sa sphère intime. Aujourd’hui, entre les prestataires de services internet, les opérateurs de télécommunication, les data-brokers, les services de sécurité de plusieurs États et les cybercriminels, nombreux sont susceptibles d’avoir accès à ces données.  En outre, malheureusement, les cybercrimes sont menés à travers les frontières, à distance géographique et juridique du lieu du crime, ce qui rend particulièrement difficile de freiner leur développement.

Le contexte géopolitique : un facteur important

Les cybercriminels sont des employés de PME de la criminalité qui travaillent tous les jours ("08h00 - 18h00") pour mener leurs activités de vols, de rackets et de prestation de services de cyber-intrusion. Leur motivation principale est financière. Le volume de leur activité est en hausse constante. Leurs modes opératoires s’adaptent aux contraintes de la défense, en développant de nouveaux outils ou en se reportant sur des cibles plus vulnérables. Ce business rémunérateur se compte en milliards. Il est donc nécessaire de considérer que cette ligne d’activité sera continue et permanente, tant que des outils fonctionnels de coopération judiciaire internationale n’auront pas été mis en place. Pour l’heure, s’agissant des groupes criminels les plus actifs, situés dans des pays peu favorables à l’État de droit, seules des opérations cyber militaires ou policières permettent de diminuer leur potentiel de nuisance : c’est disproportionné, coûteux et souvent ardu en raison des difficultés d’attribution des attaques. Vu le contexte géopolitique de confrontation, il est probable que ces outils ne voient pas le jour avant longtemps.

En plus de cette activité continue des cybercriminels, il est important de comprendre que le contexte géopolitique est un thermomètre relativement fiable du volume de cyberattaques susceptibles de viser la France. Des prises de position politiques et diplomatiques expliquent souvent la recrudescence temporaire ou permanente de cyberattaques, notamment contre les institutions. En effet, celles-ci constituent un moyen de rétorsion ou coercition privilégié pour répondre de manière visible mais avec des risques limités à une prise de position politique. Ainsi, il est probable que le pic récent de cyberattaques résulte des prises de position fortes de la France contre la Russie et en faveur de l’Ukraine, à l’image par exemple des cyberattaques qui ont visé plusieurs sites gouvernementaux début mars 2024 et qui ont été revendiquées par le groupe Anonymous Soudan, suspecté d’être lié à la Russie.

Une période à risque : les élections européennes et les Jeux Olympiques

Une séquence particulièrement à risque s’ouvre sur le plan cyber. Deux évènements majeurs vont se dérouler successivement entre juin et août 2024, devenant ainsi des cibles spécifiques de la cybercriminalité privée ou étatique.

Les élections européennes représentent un événement démocratique majeur à l’échelle du continent. Si les votes sont le plus souvent par papier, les sources de déstabilisation par moyens cyber sont nombreuses. En premier lieu, les manipulations de l’information (amplification inauthentique de contenus spécifiques ; opérations d’influence préméditées) risquent d’exploser pour influencer les votes, amplifier les fractures socio-politiques et renforcer la méfiance des citoyens envers les institutions. Or, ces manipulations sont largement permises par des capacités cyber susceptibles d’aider les mécanismes d’amplification inauthentiques (réseaux de bots) ou de voler des données à des fins de publication (hack and leak). Dans certains cas, les cyberattaques peuvent permettre de rendre inopérants des sites d’informations ou de médias, renforçant un peu plus la confusion autour de l’élection.

Les Jeux Olympiques de Paris 2024 représentent une vitrine mondiale pour la France, particulièrement médiatisée et suivie par des millions de spectateurs. Dans ce cadre, les autorités françaises anticipent un pic très important de cyberattaques susceptibles de déstabiliser l’évènement, notamment contre les plateformes de billets en ligne, les systèmes d’information chargée de la délivrance des QR-codes, les entreprises prestataires de service, les transports en commun, les installations sportives, ou les sites et médias liées à l’évènement. Ces pics ont déjà été observés dans des compétitions sportives précédentes. Ce risque vient se superposer aux autres (terrorisme, maintien de l’ordre, désinformation, sécurité civile…).

Dans les deux cas, la Russie sera l’agresseur privilégié, ayant désormais une tradition d’emploi de ses capacités cyber contre les élections démocratiques et les précédentes éditions des JO. Ce constat est renforcé par la tolérance du régime de Vladimir Poutine à l’égard des opérations propres des cybercriminels qui servent aussi son agenda stratégique ; mais il est certain que d’autres pays ou criminels en profiteront aussi pour soutenir leurs agendas stratégiques ou financiers par ce biais.

Qui est chargé de la cybersécurité ?

En France, l’écosystème de lutte contre les cyberattaques est ancien et mature. Ses difficultés résident avant tout dans le volume d’attaques à prendre en compte et la sensibilisation à opérer dans tous les échelons de la société.

L’entité de référence est l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). Active depuis 2009, elle est un service à compétence nationale, rattachée au SGDSN, et dispose d’un panel de missions qui s’étend de la cyberdéfense des administrations et des infrastructures vitales, au conseil et à l’aide à la remédiation des grandes entreprises et collectivités territoriales, à la sensibilisation des TPE/PME, à la certification d’outils de cyberdéfense ou de cryptographie commerciale… Sa mission est uniquement tournée vers la défense. L’ANSSI partage aussi de nombreuses publications à destination des autorités politiques, des entreprises ou du grand public, afin de nourrir une culture nationale de cybersécurité.

L’ANSSI travaille en étroite collaboration avec la plateforme de Cybermalveillance qui "a pour missions d'assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance, de les informer sur les menaces numériques et les moyens de s'en protéger". L’ANSSI ne pouvant opérer la cyberdéfense de toutes les entités privées de France, cette plateforme est un dispositif complémentaire d’aide aux victimes et de sensibilisation sur les bonnes pratiques. Dans la même logique, des plateformes régionales sont mises progressivement en place pour aider les PME, à l’image de UrgencecyberIDF pour l’Île-de-France.

En cas de cyberattaques déclarées ou détectées, des entités liées aux forces de l’ordre sont chargées de mener des enquêtes et de judiciariser ces crimes. Il s’agit notamment du COMCyberGEND, entité précurseure de la gendarmerie, et de l’Office anti-cybercriminalité (OFAC) de la police nationale. Ces services bénéficient aussi des signalements opérés via les plateformes Pharos (contenu illicite sur internet) et Thésée (escroquerie en ligne).

Enfin, s’agissant de répondre à la menace étatique étrangère, dans une double dimension défensive et offensive, l’État s’appuie sur le Commandement de la Cyberdéfense (COMCYBER) au sein des Armées, et sur les services spécialisés (DGSE et DGSI). Ces trois entités et l’ANSSI constituent le Centre de Coordination des Crises Cyber (C4), forum de coordination tactique et stratégique chargé du partage d’information sur les attaques cyber menées par des États ou groupes hostiles, et de la définition des réponses à apporter.

Cet écosystème est complétée par d’autres entités publiques ayant des missions cyber propres à leurs missions de collecte, d’enquête ou de formation des normes (autres services de renseignement ; ministère de l’intérieur et de la justice ; ministère des affaires étrangères) ; par des partenaires étrangers (ENISA, agence européenne ; coopération bilatérale) ; mais aussi par de nombreuses entités privées ou associatives, dont l’objectif est le partage d’informations, d’expériences, de bonnes pratiques, de solutions technologiques…A ce titre, le Campus Cyber est un excellent exemple d’une institution de rapprochement entre les acteurs, notamment avec les entreprises françaises de cybersécurité (Thales, Orange Cyberdefense, Ledger, Glimps, Tehtris, Gatewatcher etc.) de plus en plus compétitives sur les marchés français et internationaux. Ces dernières sont des maillons essentiels de la chaîne de cybersécurité, susceptibles d’identifier, de remédier et de répondre à des attaques pour la période qui s’ouvre.

Les leçons américaines peuvent donner des clés pour le modèle français

Les États-Unis sont le pays le plus touché au monde par des cyberattaques. Malgré cela, si la dimension militaire de leur écosystème cyber est ancienne et mature, la dimension civile de leur cyberdéfense est assez jeune.

L’implication forte des États-Unis aux côtés de l’Ukraine a laissé craindre aux autorités américaines et aux entreprises américaines de cybersécurité une forte recrudescence des attaques les visant. Des leçons ont été tirées, dont certaines pourraient nourrir les réflexions de l’écosystème français.

La première et la plus importante : la logique distribuée de la défense offre une prime importante aux défenseurs. En d’autres termes, le large partage d’informations sur les vulnérabilités et les malwares entre pays alliés, entreprises et entités publiques, accroît fortement l’efficacité de la défense. Ce mécanisme peut être fluidifié dans des enceintes dédiées, à l’image du JCDC ou CCC américains, où s’échangent des informations à haute-valeur ajoutée (marqueurs techniques, renseignements) et par la publication d’alerte publique régulière sur les modes opératoires adverses et vulnérabilités à patcher.

Le corollaire est la nécessité d’engager des partenariats techniques avec des pays alliés, eux-mêmes victimes d’attaques. L’Ukraine est un exemple flagrant, ce pays étant particulièrement visé, mais l’Union européenne offre aussi un forum naturel. Un mécanisme de partage continu et multilatéral entre les 27 nations de l’UE serait de nature à accroître les défenses cyber européennes. L’inclusion des grandes entreprises européennes est possible, si celles-ci voient un intérêt (information sensible partagée par les entités publiques) et si la discrétion est préservée (pour inciter à participer et rendre compte de ses propres vulnérabilités). Pour fonctionner, ce forum doit être animé par des techniciens et permettre un partage en confiance. L’OTAN est un autre forum pertinent. Les coopérations bilatérales avec des alliés peu dotés en capacités cyber est enfin une solution complémentaire nécessaire, car elle offre une coopération gagnante : l’allié renforce sa défense avec l’aide de la France qui apprend en retour sur les malwares utilisés pour sa propre sécurité.

La seconde leçon est la préparation et l’anticipation. Voyant venir la guerre, la NSA et l’US Cyber Command américains ont accru significativement leur aide à l’Ukraine pour nettoyer en amont le maximum de réseaux gouvernementaux, mais aussi pour mettre en place des mécanismes de coordination et de remédiation avec les entreprises privées américaines et ukrainiennes. En outre, le CISA, équivalent américain de l’ANSSI, a lancé l’initiative Shields Up. Celle-ci consistait à préparer les administrations et les entreprises à la guerre, pour les inciter à patcher leurs vulnérabilités et à mettre en œuvre des plans de remédiation en cas d’attaque. Après le déclenchement de l’invasion russe en Ukraine, cette initiative a été décriée, car le "cybertsunami" aux États-Unis, redouté par les autorités américaines, n’a pas eu lieu.

Enfin, les autorités américaines ont fait deux constats forts, dont les réponses sont toujours à l’étude : les PME sont incapables d’intégrer les coûts de la cybersécurité dans leur business-model ; les entreprises et les citoyens doivent passer d’une logique d’évitement à une logique de résilience, intégrant les cyberattaques comme un fait qui se réalisera plutôt que comme une lointaine possibilité. La stratégie cyber de Joe Biden, publiée en 2023, insiste sur ces deux points, avec des solutions qu’il reste encore à définir : la mise en oeuvre obligatoire de standards élevés de cybersécurité dans les logiciels et services des grandes entreprises informatiques, pour enlever cette charge des PME,  est une première piste qui reste encore à être opérationnalisée.

Copyright Philippe HUGUEN / AFP