Le coût des attaques et les réglementations stimulent la cybersecurité

Certains se rappelleront sans doute le film Wargames qui mettait en scène un jeune pirate informatique  qui accédait à un supercalculateurdes forces armées américaines. En 1983, date de sortie du film, l’histoire faisait figure de science-fiction. Aujourd’hui les cyberattaques font régulièrement parlées d’elles et leurs effets sont de plus en plus inquiétants pour l’économie, la sécurité et la démocratie et incitent à renforcer les mesures de cybersecurité.

Les dépenses en sécurité n’ont jamais été aussi élevées. Le cabinet Gartner les estime à 124 milliards de dollars pour 2019 au niveau mondial. La prise de conscience est réelle. Elle a muri progressivement depuis la cyberattaque contre l’Estonie en 2007 pour éclater sans doute en 2017 avec les ransomwares Wannacry et NotPetya. La leçon a été violente et immédiate. Les entreprises ont compris que les menaces pouvaient se propager extrêmement rapidement (en moins d’une heure pour NotPetya), s’étendaient au-delà des frontières (150 pays concernés par Wannacry) et touchaient tous types d’organisations et d’entreprises. On a surtout pu mesurer à cette occasion l’ampleur des dégâts en termes financiers. Pour Wannacry et NotPetya les estimations sont de l’ordre de 14 à 18 milliards de dollars sans compter les effets sur l’image des entreprises. Saint Gobain a reconnu avoir subi 220 millions de pertes avec Wannacry et l’armateur de containeurs maritimes Maersk les estime à 300 millions de dollars dus à NotPetya. En 2019 on a assisté avec « Locker Goga » à des approches beaucoup plus ciblées comme l’ont constaté à leur dépends Altran et Norsk Hydro. Cette dernière entreprise a constaté dès la première semaine des dégâts d’environ 40 millions de dollars. Ces montants font l’effet d’un électrochoc qui ne peut qu’inciter à investir dans la cybersécurité. Une étude Accenture a révélé qu’en France le cout des attaques avait progressé de 27,4% en un an et de 72% en 5 ans.

Les sources des attaques sont majoritairement à l’extérieur des frontières. La lutte contre les pirates informatiques est d’autant plus complexe que l’on a souvent affaire à des organisations structurées et compétentes qui lancent leurs attaques à partir l’étranger.  Une grande partie des attaques de phishing (hameçonnage) proviennent par exemple du Nigeria. Bien qu’il soit toujours difficile d’affirmer catégoriquement l’origine des attaques on soupçonne la Chine et la Russie (source Carbon Black) d’en être les responsables les plus importants.  A l’approche des élections européennes on s’inquiète des activités des groupes APT 28 et Sandworm Team (source Fire Eye) proches de la Russie. Ces deux groupes ciblent des organisations gouvernementales et des organismes de presse avec des méthodes de « spear phishing » (harponnage) pour extraire des données en vue de nuire à des candidats ou à des partis politiques.

La réglementation s’organise et s’harmonise au niveau européen.L’arsenal réglementaire s’est étoffé ces dernières années pour renforcer la confiance dans le numérique et s’adapter à la typologie des entreprises, organisations et institutions. Les opérateurs d’importance vitales (OIV), dont l’activité touche à la sécurité nationale, doivent respecter les règles fixées par certains articles de la loi de programmation militaire (LPM). Les Opérateurs de services essentiels (OSE) concernent d’avantage l’économie du pays et disposent depuis mai 2018 de la directive européenne NIS fortement inspirée de la LPM. Le même mois était publié le règlement européen RGPD qui porte sur la protection des données personnelles et oblige les entreprises à notifier toute violation de données, auprès des autorités de contrôles et des personnes concernées, au maximum 72h après avoir découvert la violation. Auparavant cette notification avait lieu en moyenne 49 jours après la découverte. Un progrès en termes d’information mais l’attaque a pu avoir eu lieu bien avant sans que personne ne s’en soit rendu compte. Pour compléter le paysage réglementaire on peut citer également le règlement européen eIDAS qui traite de l’identification électronique et des services de confiance.

La cybersécurité va au-delà de la, protection des données et des actifs d’une entreprise. Il s’agit d’instaurer la confiance. Les solutions de cybersecurité mises en place sont encore trop souvent un empilement de produits. La nature des menaces et leurs sophistications nécessitent non seulement d’investir mais également de reconsidérer les méthodes.