Laëtitia Berché

Il est vrai qu’il était temps pour le gouvernement de marquer son soutien à notre chère souveraineté, lorsqu’il y a peu le large projet d’hébergement des données de santé des français était confié à Microsoft, que Renault choisissait Google Cloud pour la sécurité de ses données industrielles ou plus récemment, lorsqu’à la fin de l’année 2021, la SNCF annonçait avoir choisi le Cloud d’Amazon pour l’hébergement de la quasi-totalité de ses 7000 serveurs physiques et virtuels et 250 applications de son usine digitale. Un revirement qui a même de quoi en étonner plus d’un.

« Pour retrouver sa souveraineté numérique, la France doit valoriser tout l’écosystème mais aussi, et surtout, ses éditeurs de solutions logicielles. Et, à plus court terme, elle doit protéger l’émergence de solutions souveraines ou de confiance car les données traitées sont la véritable valeur des entreprises et des citoyens » selon Eric Houdet, Vice-président sales et marketing chez Quarkslab.

D’autres mesures devraient être annoncées dans les prochaines semaines, notamment autour du futur schéma de certification européen. Cette nouvelle législation inclurait de fortes exigences en matière de souveraineté numérique. Après les difficultés rencontrées par le projet GAIA-X, la filière attend avec impatience les mesures pour une UE indépendante des prestataires étrangers.

La pandémie nous a montré à quel point le numérique était un enjeu vital pour la résilience de notre économie, mais également à quel point nous en étions dépendants. La France est une puissance mondiale, et cela depuis la révolution industrielle du début du XXe siècle. « Mais nous avons manqué, il y a déjà bien longtemps, le virage de la révolution du numérique sur laquelle les États-Unis et la Chine se sont de leur côté très bien positionnés » selon Georges Lotigier, PDG de Vade.

1000 licornes en 2030. C’est l’objectif du nouveau ministre délégué au Numérique.

Avec six fois plus de fonds levés en un an, 160 start-up françaises cyber, soit 10 de plus en un an, selon la dernière édition du radar des start-up françaises de la cybersécurité réalisé par Wavestone, l’objectif est-il atteignable ? Le dynamisme des startups n’est plus à prouver et les entrepreneurs français brillent par leur capacité à innover sur différents sujets de la cybersécurité. Les levées de fonds des start-up européennes ont atteint un nouveau record en 2021, avec près de 2 milliards d’euros. Mais celles-ci sont encore loin derrière les Etats-Unis, avec plus de 17 milliards. 

La création du poste de Secrétaire d’État à la Cybersécurité vise à favoriser l’écosystème et créer un véritable cercle vertueux voire une consolidation du secteur. Cette nouvelle fonction peut encourager les commandes et signatures de contrats avec des éditeurs français, inciter à une consommation locale du numérique et ainsi booster l’économie. Une PME ou un hôpital qui choisit une solution cyber française profite à tous car la société éditrice de cette solution va payer ses impôts en France, va payer les salaires de ses collaborateurs, qui eux-mêmes vont consommer majoritairement local … Cependant, le marché des solutions françaises n’est que résiduel. « Nous sommes trop prudents et perfectionnistes et vraiment trop frileux dans les notions de marketing et ou de packaging comparé aux Américains. Nous n’avons clairement pas à rougir devant les produits étrangers mais juste à oser. Aussi, il est temps de mettre fin à l’exode de nos ingénieurs et commerciaux. Si l’enseignement est de très bon niveau nous allons cruellement manquer de main d’œuvre dans les années à venir. Il est l’heure d’attirer et de fidéliser » ajoute Eric Houdet, Quarkslab.

De son côté, Georges Lotigier, Vade lance un appel : « Plusieurs grands fonds d’investissement de croissance devraient être spécialisés dans la cybersécurité et la Deep Tech des infrastructures IT et capables d’investir de 50 millions à 200 millions d’euros dans des sociétés de croissance qui ne sont pas encore à l’équilibre car en conquête de marché ». 

L’élargissement de la fonction de Bruno Lemaire va dans le bon sens. L’un des objectifs est de développer le tissu industriel français, qui est un levier formidable de croissance. Encore faut-il le faire de façon pérenne.

A moyen terme, pour retrouver la souveraineté numérique, il est donc clé de développer les éditeurs de solutions logicielles français et européens. Et, à plus court terme, il faut protéger la data avec des solutions souveraines ou de confiance, c’est une priorité : la data est maintenant la véritable valeur des entreprises françaises.

Georges Lotigier, Vade : « Il faut améliorer l’accès à la commande publique aux scale-up stratégiques et faciliter l’exit en Europe »

Zeina Zakhour, Atos « La souveraineté numérique est vitale pour que les organisations – qu’elles soient publiques ou privées – conservent le contrôle de leur environnement numérique, données, applications, logiciels et hardware. Pour faire de cette souveraineté une réalité, nous avons besoin d’une politique industrielle cohérente et ambitieuse. Celle-ci doit porter de forts investissements en R&D, mais aussi accélérer l’industrialisation des solutions de cybersécurité et développer les normes, certifications, réglementations nécessaires aux besoins de souveraineté. »

Eric Houdet, Quarkslab : « Le poste de Secrétaire d’Etat à la cybersécurité verra-t-il enfin le jour ? »

Les cybercriminels du groupe Lockbit n’ont pas attendu longtemps avant de mettre leur menace à exécution : ils ont diffusé une partie des données (11 Go de contenus sensibles) volées lors de la cyberattaque de l’hôpital de Corbeil-Essonnes révélée fin août. 

Comme si cela ne suffisait pas d’être à l’arrêt pour cause de données chiffrées, les cybercriminels utilisent la double extorsion : menacer publiquement de publier les données (bien trop souvent sensibles) volées pour les revendre au plus offrant. Les victimes de fuites de données ne se comptent plus : Samsung, MBDA, Orange Cyberdefense, Uber, le Pôle universitaire Léonard de Vinci… Pour les entreprises victimes, cette situation peut constituer un risque de violation majeure des réglementations RGPD de l’UE et des lois sur la confidentialité des données. Les groupes de ransomware Conti et REvil figurant parmi les plus actifs en 2021 sont par exemple connus pour publier des données divulguées sur le Darknet si des rançons ne sont pas payées.

« 63 % des fuites de données sont le fait d’acteurs internes. Avec l’essor du télétravail, les entreprises peinent à gérer l’explosion à la fois des données et des identités ayant accès à leurs serveurs. Nous avons constaté que 85 % des employés ont un accès qui dépasse les besoins de leur rôle » complète Hicham Bouali, directeur technique One Identity. 

La dernière étude de ThreatQuotient, dont la publication intégrale est prévue pour la fin de l’année 2022, montre une progression de l’adoption de l’automatisation des opérations de sécurité, comme en témoigne l’augmentation des budgets y afférents dans 98 % des entreprises. Les statistiques indiquent également que les entreprises font de plus en plus confiance à l’automatisation. Elles sont plus de 88 % à être raisonnablement confiantes, contre seulement 59 % l’année précédente. En revanche, 98 % d’entre elles ont rencontré des problèmes lors de l’implémentation.

Si le rançongiciel semble être sur toutes les lèvres et la menace qui occupe tous les esprits, les organisations estiment d’ailleurs que les menaces externes font peser le risque le plus important à 49 % (IDC), elles sont 14 % à créditer les menaces internes d’un niveau de gravité supérieur. 

Les menaces internes ont un avantage énorme du simple fait qu’il est dans la nature humaine de présumer de bonnes intentions de son entourage. Mais le fait est que personne ne peut embaucher 50 ou 100 salariés sans courir le risque bien réel de tomber sur un ou deux collaborateurs malveillants. 

Or, un employé mécontent, qui veut nuire à son entreprise, peut enregistrer des fichiers sensibles sur une clé USB avant de claquer la porte. On craint même de plus en plus qu’il introduise des logiciels corrompus dans le système.

Aujourd’hui, un grand nombre d’attaques par ransomware pourraient en fait émaner de l’intérieur de l’organisation. Il est très facile pour un administrateur informatique de se créer un profil sur le Dark Web, de lui donner accès au système pour y installer un logiciel malveillant, puis de demander une rançon et, en tant qu’administrateur, de conseiller à l’entreprise de la payer. Et s’il ne le fait pas, d’autres pourront lui demander de le faire pour eux, moyennant rémunération (ce qui s’est déjà vu, notamment aux Etats-Unis où un salarié de la Giga Factory de Tesla s’est vu offrir un million de dollars pour ouvrir les portes du système d’information).

A titre d’exemple, selon un rapport de Varonis, un nouvel employé dans le secteur de la santé a accès à 31 000 fichiers sensibles dès son premier jour de travail. Un chiffre qui fait froid dans le dos… « Il s’agit donc de réduire au maximum le rayon d’action -les utilisateurs ne peuvent accéder qu’à ce dont ils ont besoin- et à détecter les accès inhabituels qui pourraient indiquer qu’une attaque est en cours. Chaque étape de validation supplémentaire est une nouvelle façon d’éloigner un attaquant ou un initié et ainsi potentiellement de contrecarrer une attaque » explique Damien Frey, expert en cybersécurité chez Varonis.

Selon le dernier rapport de Varonis, toute entreprise ayant des données hébergées dans le cloud est confrontée à un risque de fuite de données dont le coût est estimé à 28 millions de dollars. L’étude indique qu’une gestion collaborative mal sécurisée, que des droits d’accès complexes et des configurations erronées telles que des comptes administrateur sans authentification multifactorielle (MFA), ont exposé une grande quantité de données hébergées dans le cloud à des menaces internes et à des cyberattaques.

Modèle éprouvé pour la mise en œuvre d’une sécurité robuste à grande échelle, le modèle Zero-Trust s’est rapidement imposé comme une nécessité pour la résilience des entreprises. Il y a quelques mois, une étude menée par One Identity révélait que 75 % des RSSI considéraient l’approche Zero Trust comme cruciale – ou à minima très importante – dans le renforcement de leur stratégie de cybersécurité globale. 

La première étape pour initier une telle démarche consiste à faire l’inventaire des données les plus critiques, c’est-à-dire celles que les attaquants chercheront à atteindre. Où se trouvent la propriété intellectuelle, le code source, les dossiers clients et employés ? L’étape suivante consiste à faire l’inventaire des contrôles qui entourent les données critiques. Les bonnes personnes y ont-elles accès, tant à l’intérieur qu’à l’extérieur de l’entreprise ? Êtes-vous en mesure de repérer toute activité inhabituelle sur ces données critiques ? Si une configuration critique était modifiée, qu’est-ce qui permettrait de la repérer et de la rétablir ? « Une fois que vous avez fait l’inventaire de vos données critiques et de leur contrôle, vous pouvez vous concentrer sur des mesures concrètes pour optimiser et maintenir ces contrôles » explique Damien Frey, expert en cybersécurité chez Varonis.

Damien Frey, Varonis : « Lorsque les équipes IT ne maîtrisent pas la gestion et la protection des données issues des applications utilisées en mode SaaS et IaaS, il leur est alors presque impossible d’empêcher les fuites de données »

Hicham Bouali, One Identity : « Aujourd’hui, près de la moitié des entreprises utilisent plus de 25 systèmes différents pour gérer les droits d’accès, ce qui se traduit par une approche fragmentée de la sécurité des identités et une vulnérabilité importante aux attaques » 

Olivier Prompt, Atos : « L’IDaaS est l’un des segments de marché en plus forte croissance, car il offre des intégrations adaptées au cloud pour étendre les contrôles IAM d’une entreprise et répondre aux exigences de sécurité d’un portefeuille SaaS en pleine expansion »

Dans un contexte où les modes opératoires des cybercriminels sont largement automatisés afin de rendre les attaques largement profitables, que les attaquants s’appuient sur une gamme d’outils de test offensifs industrialisés pour analyser les surfaces d’attaque de leurs cibles et se propager à l’intérieur de leur réseau, les organisations doivent elles aussi automatiser leur sécurité informatique, dans le but d’accélérer la détection et le traitement des incidents, et automatiser une gestion simplifiée de ses différents outils de sécurité.

« Alors que le paysage des menaces poursuit son expansion et gagne en complexité, et que la pénurie de talents dans le domaine de la cybersécurité continue de s’aggraver, les entreprises vont être amenées à s’appuyer de plus en plus sur des processus de sécurité automatisés. Elles pourront ainsi libérer des ressources en automatisant certaines fonctions de sécurité, notamment celles liées aux tâches routinières et répétitives », précise Laurent Tombois, Country manager France chez Bitdefender.

La dernière étude de ThreatQuotient, dont la publication intégrale est prévue pour la fin de l’année 2022, montre une progression de l’adoption de l’automatisation des opérations de sécurité, comme en témoigne l’augmentation des budgets y afférents dans 98 % des entreprises. Les statistiques indiquent également que les entreprises font de plus en plus confiance à l’automatisation. Elles sont plus de 88 % à être raisonnablement confiantes, contre seulement 59 % l’année précédente. En revanche, 98 % d’entre elles ont rencontré des problèmes lors de l’implémentation.

La recrudescence d’attaques de plus en plus sophistiquées, parfois automatisées, a remis en cause la pertinence du modèle du SOC traditionnel. Mais face à l’évolution de la menace, le SOC se transforme lui aussi. La “nouvelle génération”, automatisée, intégrant plus systématiquement le renseignement sur la menace, plus proactive donc, permet de mieux prévenir et anticiper les attaques et d’y répondre plus rapidement et plus efficacement. Les SOC “next gen” sont ainsi censés réduire les coûts opérationnels, humains et financiers liés au traitement des incidents. 

« Le temps et l’argent consacrés à l’automatisation sont considérés comme des mesures clés de la réussite. Celle-ci peut se mesurer en déterminant dans quel délai il est possible de neutraliser une attaque à compter de sa détection et en s’assurant qu’elle ne se propage pas » explique Cyrille Badeau, Vice-Président of International Sales chez ThreatQuotient.

D’autres considèrent comme une réussite le simple fait que le système de l’entreprise fonctionne toujours le lendemain d’une attaque. Le but n’est pas de neutraliser tous les dangers, mais de s’assurer que la menace pour l’entreprise est grandement réduite. L’absence de faux positifs peut en être un indicateur. Elle est également perçue comme une mesure de la réussite dans certaines entreprises.

Des tâches qui étaient autrefois assurées par des professionnels hautement qualifiés, telles que la recherche de vulnérabilités, l’analyse de journaux de logs et la mise en conformité peuvent être standardisées et exécutées de manière automatique, avec pour effet de réduire les temps de détection et de réponse aux incidents.

Laurent Tombois, Bitdefender : « Les attaques sont souvent complexes, multidimensionnelles et lancées en plusieurs étapes, rendant difficile pour les équipes de sécurité de les identifier et de les stopper »

Cyrille Badeau, ThreatQuotient : « Le temps entre lever une alerte et le temps d’informer le client doit être d’une heure » 

David Bernard, Atos : « L’avenir du SOC, basé sur des solutions MDR – Managed Detection and Response – passe par une practice de renseignement automatisée »

La forte sinistralité enregistrée sur les risques cyber affecte la rentabilité des assureurs. À ce point tel que certains grands acteurs ont déjà abandonné leurs premières offres de garanties. Le volume des primes a bondi de 49 % et le ratio des sinistres sur primes a atteint 167 % en 2020, contre 84 % l’année précédente. Conséquence : les primes d’assurance pour couvrir les risques cyber explosent à la hausse, parallèlement aux niveaux de couverture qui, eux, sont revus à la baisse. 

Pour les entreprises déjà assurées, c’est-à-dire majoritairement les grandes entreprises (87% des grandes entreprises seraient couvertes, estime l’AMRAE), le coût d’une assurance cyber s’est envolé, en offrant, moins de garanties pour une franchise plus élevée. Onze grandes entreprises françaises ont ainsi stoppé leur assurance cyber en 2021. L’État cherche donc à mieux encadrer ce marché pour à la fois aider les assureurs à mieux cerner les risques et à partager le risque, et convaincre les plus petites entreprises d’y souscrire.

Le 22 août 2022, les médias s’emparent de ce qui semble être la plus grande demande de rançon à ce jour : l’hôpital de Corbeil-Essonnes est paralysé et le groupe LockBit lui demande de payer une rançon de 10 millions de dollars s’il veut récupérer les données de ses patients, sous peine de les voir publier sur le darkweb. Le GIGN est appelé pour négocier, faisant tomber les exigences à 1 million de dollars. Bien loin du montant médian d’une rançon de 6400 € selon les données de la police et de la gendarmerie en 2021 (mais qui inclue les “petites” rançons de quelques milliers d’euros demandées à de très petites entreprises). Mais entre-temps, la menace a commencé à être mise à exécution et des données administratives, dont le numéro de sécurité sociale des patients se sont retrouvées sur le darkweb.

« En dehors de la rançon, les données personnelles sont un business lucratif et la quantité d’informations privées que détiennent les hôpitaux – adresse, pathologie, pièce d’identité, carte vitale – peut se revendre à bon prix », indique Damien Frey, Varonis. 

Le projet de loi du ministère de l’Intérieur présenté le 7 septembre dernier acte le principe d’indemniser les rançons demandées par les cybercriminels aux organisations frappées par un ransomware. Seule condition : l’entreprise doit porter plainte. Les objectifs de ce projet de loi : éviter que les entreprises souscrivent des contrats auprès d’acteurs non régulés en France, éviter que les entreprises françaises ne soient attaquées dans leurs implantations à l’étranger et créer un observatoire de la menace cyber ont, en effet, de quoi surprendre.

« En l’état et sans un encadrement strict, c’est la porte ouverte au cybercrime. Ce texte va à l’encontre des chiffres : toutes les 11 secondes, un rançongiciel frappe une organisation, y compris des hôpitaux, des collectivités et des PME et la cybercriminalité va doubler d’ici 2025 » souligne Adrien Merveille, Check Point. 

Sans compter que l’écart entre les grandes entreprises, structurées pour leur permettre de déposer plainte et les plus petites, en manque de moyens ne pourra que se creuser, en l’état du projet de loi. Si le dépôt de plainte permet d’agréger des données et enrichir les dossiers des enquêteurs, jusqu’à parvenir à des arrestations, les forces de l’ordre et les autorités compétentes sont-elles prêtes pour faire face à une déferlante de dépôts de plaintes ? Autant de questions auxquelles le groupe de travail sur l’assurance du risque cyber qui sera mis en place fin septembre devra répondre pour tenter de convaincre les acteurs de la cybersécurité encore surpris par l’annonce de ce projet de loi.

« Déployer des solutions anti-ransomware efficaces est plus facile à dire qu’à faire, et les pirates le savent bien. Après avoir subi une première attaque par ransomware, les organisations ont besoin de temps pour évaluer leur niveau de sécurité, déterminer quels sont les bons outils à déployer, puis trouver le budget pour payer » explique Joël Mollo, Cybereason.

Sans compter que ce projet de loi vient en quelque sorte anéantir les nombreux efforts de sensibilisation et les recommandations des professionnels de la filière, qui s’accordent à dire que payer la rançon revient à financer l’industrie du cybercrime. 

A contrario, s’assurer d’une sauvegarde régulière permet, même en cas d’attaque, de recouvrer ses données sans céder au double chantage (payer une rançon pour récupérer ses données et se voir menacer que celles-ci soient publier sur le darknet) – sensibiliser ses collaborateurs aux risques cyber et notamment sur une porte d’entrée bien connue des cybercriminels : la messagerie, via les e-mails de phishing – rappeler régulièrement l’importance de choisir des mots de passe forts – mettre à jour les logiciels pour limiter les vulnérabilités… permet d’éliminer une large majorité des attaques.

Les spécialistes appellent également à investir massivement dans la prévention et la détection des attaques. « 100 % des entreprises et des collectivités vont se faire attaquer. La question n’est pas de savoir si cela va arriver, mais quand. Les cas du CHU de Corbeil-Essonnes et de la Ville de Caen montrent bien qu’on est dans une phase ascendante du nombre d’attaques et cela ne va faire que s’intensifier », met en garde Joël Mollo, Cybereason.

Joël Mollo, Cybereason : « Dans plus de 60 % des cas, lorsqu’une entreprise se fait attaquer, elle subit une deuxième attaque voire trois ou quatre après avoir payé la rançon »

Damien Frey, Varonis : « Généralement, les malfaiteurs commencent par du chantage en publiant quelques extraits sur un site ou un forum, avant de discuter avec d’autres groupes pour voir les plus offrants »

Adrien Merveille, Check Point : « Le montant réclamé par les attaquants est parfois bien moins élevé que les pertes financières liées à l’arrêt de l’activité »

Un email de phishing avec une pièce-jointe vérolée envoyé à des centaines d’employés, un ordinateur mal sécurisé ou des failles de sécurité applicative non corrigées sur un VPN… le ransomware n’a que l’embarras du choix pour arriver à ses fins et faire chanter ses victimes. « Le principal accès pour une cyberattaque, c’est la messagerie » indique Adrien Gendre, Chief Tech & Product Officer chez Vade. 

Fin août, le CH Sud Francilien de Corbeil-Essonnes en fait les frais. Et il est loin d’être le seul : « 80 piratages d’hôpitaux officiellement revendiqués par des pirates pour le premier semestre de l’année » révèle Félix Aimé, chercheur en cybersécurité chez Sekoia.io.

L’appât du gain. A n’en pas douter, c’est la motivation des groupes de cybercriminels bien rodés, qui agissent comme de véritables entreprises. Avec l’industrie du ransomware as a service, les logiciels de rançon sont commercialisés clé en main sur le darkweb, avec même un support technique par chat pour les victimes ! Pendant que certains développent les attaques, d’autres les vendent et d’autres encore les exécutent. Avec le RaaS, n’importe quel escroc sans compétence informatique peut devenir un cybercriminel. Cependant, la riposte s’organise. « Des outils de détection permettent de stopper et de contrer les attaques au plus tôt, tandis que des plans de continuité renforcent la résilience des organisations », précise Laurent Tombois, Country manager France Bitdefender.

Perçues comme l’évolution naturelle des technologies EDR, les technologies XDR doivent permettre de faire face à des attaques toujours plus ciblées, parfois simultanées, et utilisant des TTPs (techniques, outils et procédures) de plus en plus sophistiqués. Les promesses des technologies XDR sont nombreuses : surface de protection étendue, vision complète et en temps réel du paysage des menaces, capacités de détection augmentées, réponse à incident plus cohérente, investigations et remédiation plus efficace, optimisation des ressources et réduction des coûts opérationnels… si bien que tous les spécialistes de la détection et de la réponse à incident sont loin d’être tous d’accord sur sa définition. Alors, comment le RSSI peut-il s’y retrouver ? Selon David Bizeul, Chief Scientific Officer chez Sekoia.io : « Les clients ne se soucient pas d’un produit de cybersécurité, ils se soucient de ne pas avoir à s’en soucier ».

Ainsi, le XDR doit réunir trois fonctions indissociables : « Une détection efficace – capable de repérer dans les événements du système d’information ceux qui sont les plus intéressants et qui présentent une caractérisation de menace. L’investigation simplifiée – i.e. permettant de resserrer progressivement les mailles du filet jusqu’à cibler la cause initiale de la menace. Et la réponse rapide et complète – i.e. disposer de plans de réponses automatisables et pouvant s’appliquer à tous les composants du système d’information ».

Les menaces modernes étant plus insaisissables que jamais, de nouvelles technologies telles que l’XDR collectent et mettent en corrélation des données depuis plusieurs couches de sécurité : les emails, les endpoints, les serveurs, les charges de travail dans le cloud et le réseau. Laurent Tombois, Country manager France Bitdefender : « Avant de procéder à la protection et à l’application de correctifs, il est également extrêmement important pour les organisations de disposer d’un inventaire exhaustif des actifs et de leur état – vous ne pouvez pas protéger ce que vous ne savez pas que vous possédez ».

Adrien Gendre, Vade : « Une entreprise aura beau mettre en place le système de sécurité anti-ransomware le plus sophistiqué qui soit, il ne la protégera pas si les collaborateurs ne savent pas comment éviter les risques » 

David Bizeul, Sekoia.io : « Les solutions actuelles de détection et de réponse centrées exclusivement sur le poste de travail ne sont pas suffisantes en termes de couverture et de performance, tout simplement parce qu’il existe, dans la plupart des infrastructures modernes, des objets d’intérêt cyber que les EDR ne peuvent tout bonnement pas voir ».

Laurent Tombois, Bitdefender : « L’XDR offre aux équipes de sécurité une visibilité totale sur leur organisation et les aide à minimiser les temps de réponse aux cyberattaques ».

En 2021, l’ANSSI relevait en moyenne un incident par semaine dans un établissement de santé. L’attaque récente subie par l’hôpital de Corbeil-Essonnes et celle qui a frappé les institutions gouvernementales du Monténégro ne laissent aucun doute : les cybercriminels n’ont pas de scrupules. Et ils frappent là où « c’est facile ». Avec des infrastructures informatiques vieillissantes, les hôpitaux (entre autres) sont des cibles de choix. 

« C’est un travail de longue haleine qui prend parfois des mois, voire des années. Ils attendent un maximum de temps pour avoir un maximum d’emprise sur l’entreprise qu’ils attaquent. Ensuite, ils arrivent à bloquer le réseau en entier, dans son intégralité » explique Adrien Merveille, expert en cybersécurité chez Check Point.

Face à une numérisation qui progresse et à la croissance du nombre de secteurs touchés par la numérisation, l’Union européenne a décidé d’élargir le périmètre de la première directive NIS de 2016 en ajoutant à la liste des OSE de nouveaux secteurs comme l’agroalimentaire, le traitement des déchets, l’industrie pharmaceutique ou les services numériques grand public. Aves NIS 2, qui vraisemblablement verra le jour en 2024, l’UE vise le renforcement des obligations en matière de cybersécurité des entreprises et des collectivités essentielles : gestion des risques cyber, sécurisation de la chaîne d’approvisionnement, programmes de sensibilisation, notification obligatoire des incidents et encourager la divulgation des vulnérabilités… tout (ou presque ?) des priorités du volet cyber y est, pour permettre aux entreprises et aux collectivités européennes de faire face à la menace cyber.  

« Avec la directive NIS 2, le durcissement des obligations de cybersécurité décidées par l’UE vise non seulement à consolider la transformation numérique des entreprises mais aussi à faire prendre conscience de l’ampleur des attaques et de l’urgence de la situation » précise Adrien Merveille, expert cybersécurité chez Check Point.

Au-delà de vouloir faire peur, NIS 2 devrait pouvoir faire prendre conscience aux dirigeants de la nécessité d’augmenter les budgets alloués à la cybersécurité.

Et le texte prévoit un vrai régime d’obligations, y compris pour les États avec par exemple une stratégie nationale tous les 5 ans – et de sanctions (pouvant aller jusqu’à 2 % du chiffre d’affaires annuel mondial). A l’UE maintenant de veiller à une transposition homogène entre les États membres si elle veut parvenir à une solidarité et coopération européenne.

« Les agences de sécurité nationales auront les moyens de réaliser des audits sur les entreprises concernées et les sanctions pourront aller jusqu’à l’interdiction d’exercer pour les dirigeants » indique Jean-Baptiste Guglielmine, expert en cybersécurité chez Cybereason.

Ne pas rester les bras croisés. Alors que les menaces informatiques se multiplient, les organisations (entreprises, institutions, associations…) doivent se tenir prêtes pour faire face aux crises d’origine cyber. Une seule solution : anticiper et s’entraîner pour ne plus subir. « Mais aussi être capable de maintenir ses activités face à une cyberattaque et réduire les impacts en cas de crise » précise Félix Aimé, expert en cybersécurité chez Sekoia.io. L’amélioration de la résilience numérique par l’entraînement à la gestion de crise est une nécessité pour toutes les organisations ». 

Au coeur de la crise, improviser n’est pas une solution. Lors d’une attaque réussie, pas le temps de paniquer ou de réfléchir trop longtemps. La moindre seconde peut faire la différence, et pour l’entreprise, cela se chiffre en centaines de milliers ou en millions d’euros de dommages. Il faut absolument disposer d’un plan de réponse aux incidents clairement défini, de procédures, de responsabilités et de contacts précis… et l’avoir testé lors d’exercices réguliers !

Enfin, la communication ne doit pas être le parent pauvre de la gestion de crise cyber, au risque que l’absence de communication, ou pire, une mauvaise communication, nuise à la confiance dans l’organisation et à sa réputation.

Félix Aimé, Sekoia.io : « Il y a ceux qui vont commettre l’attaque, il y a des développeurs qui vont créer des programmes malveillants, et un service qu’on pourrait appeler ‘service après-vente’ qui va marchander avec la victime » 

Guillaume Valadon, Quarkslab : « Le risque cyber fait partie de la gouvernance stratégique des entreprises ce qui revient pour les équipes IT, produits et métiers à plébisciter une approche offensive pour colmater les brèches, mais surtout à imaginer et donc à anticiper les nouvelles formes d’attaque”

Adrien Merveille, Check Point : « De nombreuses attaques sont automatisées, de sorte qu’elles ne sont pas nécessairement dirigées contre une entreprise en particulier. D’ailleurs, près de la moitié des cyberattaques visent les petites entreprises »

“Nous luttons contre des campagnes d’espionnage de long terme particulièrement évoluées, difficiles à détecter” (Guillaume Poupard)

Selon le directeur général de l’ANSSI, l’espionnage étatique est aujourd’hui la principale menace, et représente 80% du travail de l’agence. 

Les acteurs malveillants, qu’ils s’agissent de cybercriminels attirés par l’appât du gain ou d’attaquants plus sophistiqués, menant des campagnes d’espionnage ou de déstabilisation, ne faiblissent pas et mobilisent quotidiennement les équipes de l’ANSSI. Toutes les 11 secondes, un rançongiciel frappe une organisation.

“Au niveau national, on peut être satisfait de ce qu’on a construit avec les OIV” (Opérateurs d’Infrastructures Vitales), souligne Guillaume Poupard. Le niveau de sécurité de ces infrastructures ayant progressé, la menace affecte désormais l’ensemble des acteurs : PME, ETI, grands groupes, institutions, organisations publiques ou privées.

“Construire une sécurité de bout en bout, jusqu’à l’utilisateur final” (Guillaume Tissier)

Pour assurer la sécurité du dernier, ou plutôt du premier kilomètre évoqué par Guillaume Tissier, co-organisateur du FIC et associé AVISA Partners, lors de l’ouverture du Forum, Guillaume Poupard souhaite ce que l’on n’a « jamais réussi […] à faire véritablement » : une vraie campagne nationale de sensibilisation. « Mon rêve, c’est d’avoir 5 minutes du temps de cerveau de chaque Français à peu près au même moment”. 

Cette prise de conscience doit être accompagnée d’une augmentation massive des formations spécialisées et de ressources humaines qualifiées avec 15 000 postes manquants en France dans le domaine. La labellisation du Campus Cyber Hauts-de-France s’inscrit dans cette montée en puissance. Ce premier campus régional labellisé par le Campus Cyber national accueillera notamment le nouveau Centre National de Formation Cyber du Ministère de l’Intérieur (CNF-Cyber).   

Cet effort d’attractivité des métiers et compétences liées à la cybersécurité s’est incarné pendant 2 jours au travers de l’EC2 (European Cyber Cup), compétition de hacking éthique, qui a vu s’affronter 180 joueurs, tant étudiants que professionnels, au cours de 8 épreuves. 

Le FIC 2022, qui symboliquement vient clore la Présidence française du Conseil de l’Union Européenne (PFUE) a permis de souligner de belles avancées au niveau communautaire, notamment l’accord provisoire sur la révision de la directive NIS “un texte très ambitieux qui va permettre de sécuriser dix fois plus d’acteurs en France, dont les hôpitaux, collectivités, ETI…” selon Guillaume Poupard, directeur général de l’ANSSI.

Margrethe Vestager, Vice-présidente exécutive de la Commission européenne, présente pour l’ouverture officielle de l’événement, a souligné l’avancée des dernières régulations, dont le Digital Market Act et “l’importance pour les entreprises d’être conformes à celui-ci d’ici début 2023”. Elle a également annoncé la construction d’une plateforme commune d’entraide entre pays-membres qui devrait voir le jour en 2023. “C’est la priorité dans les mois à venir : on a besoin de pouvoir aider un Etat membre attaqué. Pour cela, il faut impérativement s’appuyer sur le secteur privé”, confirme Guillaume Poupard, directeur général de l’ANSSI.

Alors que la crise Covid et le conflit ukrainien ont montré nos multiples dépendances, il est nécessaire de construire un environnement numérique qui corresponde à nos valeurs et à nos intérêts. D’où l’urgence de mobiliser tous les leviers disponibles en matière de politique industrielle : politique de la concurrence (Digital Market Act), politique commerciale, soutien à l’investissement, financement de l’innovation…

Au cœur des priorités, la cybersécurité, qui représente un marché de 146 milliards € au niveau mondial en 2022, en croissance de 10% par an, dont 34 milliards pour l’Europe et 8 milliards pour la France. 

“Le FIC, c’est VOUS !” – Général Marc Watin-Augouard, fondateur du FIC.

Près de 14 000 visiteurs étaient présents à Lille (+35 % par rapport à l’édition 2021) et 550 exposants. Près de 5 000 participants ont également assisté aux échanges en ligne. Avec cette 14ème édition, le FIC, co-organisé par la Gendarmerie nationale et AVISA Partners, avec le soutien de la Région Hauts-de-France, confirme sa dimension internationale. La présence des plus hautes autorités européennes, Margrethe Vestager, Vice-présidente exécutive de la Commission européenne, et Margaritis Schinas, Vice-président de la Commission européenne, ainsi que de nombreuses délégations internationales et institutions européennes (Europol, DG HOME, DG CONNECT, ENISA, ECSO…), soulignent l’importance de l’ambition européenne sur les enjeux de sécurité et de confiance numériques. Outre l’Europe, le FIC s’étend également à l’international en lançant un premier FIC Amérique du Nord.

Le FIC renforce enfin son ouverture vers des thématiques sectorielles grâce à de nombreux événements associés : ID&KYC Forum, Cybersecurity For Industry, e-CPF, Trust&Safety Forum et une journée OSINT qui a rassemblé plus de 300 personnes.

Prochains rendez-vous : les 1er et 2 novembre 2022, pour le premier FIC Amérique du Nord à Montréal et le FIC 2023, les 5, 6 et 7 avril à Lille.

Que peuvent nous apprendre les récentes attaques de Kaseya ou de Solarwinds ?

Des attaque cyber dans lesquelles des éditeurs de logiciel ont été compromis non pas pour les atteindre eux-mêmes, mais pour cibler leurs clients.

D’abord qu’il existe bel et bien deux niveaux d’attaque cyber aujourd’hui. Si l’actualité est monopolisée par les attaques de type ransomware, force est de constater que celles-ci sont rarement très avancées techniquement, et qu’elles reposent plutôt sur des vulnérabilités connues et tirent parti de mauvaises pratiques de la part des victimes.

Plutôt que de réagir une fois l’impact de l’attaque découvert… mieux vaut être en capacité de détecter les comportements suspects

Tandis que les opérations d’espionnage sont conduites par des équipes motivées qui n’hésitent pas à dérouler leur attaque sur plusieurs mois jusqu’à arriver à leurs fins. « Des opérations comme celles de Kaseya et SolarWinds démontrent qu’il n’est pas toujours possible de contrer de telles attaques, et que face à de tels adversaire il vaut mieux se mettre en capacité de détecter les activités suspectes et d’y répondre immédiatement, sans laisser le temps à l’attaquant de dérouler son playbook » explique Julien Billochon, Cybereason.

La capacité de détection des anomalies est vitale face à de tels acteurs malveillants, car ils n’utilisent pas ou peu d’outils ou de codes aisément repérables. Leurs traces seront plutôt liées à des signaux faibles, une suite de petits incidents ou d’actions anormales mais bénignes. « Les RSSI doivent être conscients de ce type d’attaque et de la difficulté à les contrer. Ils devraient suivre l’approche « assume breach ». C’’est-à-dire partir du principe que tout et tout le monde peut être compromis à tout moment. Une fois cet état de fait accepté, ils pourront commencer réduire l’impact et les dégâts d’une attaque de ce type réussie. Notamment en améliorant la capacité de détection des activités anormales des applications ou des technologies dont ils dépendent et qui pourraient se retourner contre eux », conseille Jérôme Soyer, Varonis.

Enfin, au-delà de ces exemples, les entreprises devraient mettre en œuvre de vrais programmes de suivi du niveau de sécurité de leurs fournisseurs ou de leurs sous-traitants les plus critiques (notamment ceux qui disposent d’un accès ou d’une interconnexion forte avec leurs propres systèmes). Une première approche de type déclaratif peut être suffisant pour amorcer le programme, mais il faudra à terme aller plus loin, notamment en cas d’incident chez les fournisseurs : « Il est important d’être informé rapidement des incidents de sécurité qui peuvent se produire chez les fournisseurs et les sous-traitants, et de prendre connaissance des techniques utilisées par l’attaquant, du mode opératoire et bien entendu des indicateurs de compromission. En centralisant toutes ces informations au sein d’une plateforme unique de partage de l’information, le donneur d’ordre sera en mesure de croiser des indicateurs ou des modes opératoires et, peut-être, identifier une opération dirigée contre lui-même menée par un acteur identique contre plusieurs de ses partenaires », explique Cyrille Badeau, ThreatQuotient.

Julien Billochon, Cybereason : « Nous devons passer d’une réponse réactive aux attaques à une posture d’anticipation par l’identification des comportements suspects dès les premiers stades de l’opération malveillante. Il faut s’intéresser aux débuts de l’attaque »

Jérôme Soyer, Varonis : « La chaîne d’approvisionnement de l’entreprise représente une surface d’attaque énorme, qui expose de nombreux points d’entrée : la vulnérabilité du produit lui-même, mais aussi toute l’infrastructure du fournisseur, le processus CI/CD pour les applications SaaS et en bout de chaîne, le prestataire qui distribue et gère la technologie chez ses clients »

Cyrille Badeau, ThreatQuotient : « De multiples petits incidents chez plusieurs fournisseurs peuvent être le signe d’une attaque coordonnée contre le donneur d’ordre. Il est important de centraliser et d’enrichir ces informations afin qu’une équipe d’analystes cyber puisse travailler de concert sur ces différentes alertes en apparence distinctes »