Cybersécurité : de l’attaque banale à la sûreté de l’Etat

Xerfi Canal TV a reçu Thierry Jardin, directeur des activités Sécurité et Gestion des risques chez CGI Business Consulting, pour nous parler de l’actualité qui nous rappelle tous les jours que la cybersécurité est devenu un sujet incontournable.

Une interview menée par Thibault Lieurade.

"En 2015, il y a notamment eu, par exemple, le piratage du site de rencontres extraconjugales Ashley Madison ou encore l’attaque contre la chaîne de télévision TV5 Monde. Quelles réflexions ces cas vous inspirent-ils ?

Eh bien, ils révèlent deux choses à mon sens. Dans le cas d’Asley Madison nous sommes face à de la cybercriminalité. L’objectif est de dérober de l’information afin de l’exploiter financièrement pour son propre usage ou pour le revendre. Dans le cas de TV5 monde nous sommes face à du cyberterrorisme. Elle démontre une professionnalisation des attaques ou les commanditaires ne sont pas forcément ceux qui effectuent l’attaque directement et dont les objectifs sont à but idéologique.

Peut-on trouver un point commun aux deux affaires ? 

Ce qui lie ces deux affaires, c’est qu’elles font appel à un marché noir qui se structure le « Black Market ».  Sur ce marché, commanditaires et Hackers se côtoient afin de faire affaire et  il est possible d’acheter des données personnelles pour usurper des identités ou des numéros de carte bancaire afin d’acquérir frauduleusement des biens et des services.

Les cyberattaques demandent donc un véritable savoir-faire technologique…

Oui, mais il faut souligner que certaines cyberattaques ne sont pas forcément très compliquées. Et elles peuvent être très efficaces. Par exemple, la technique la plus basique, c’est le phishing.  Il suffit de demander un login et un mot de passe à l’utilisateur via un mail contrefait : eh bien cela fonctionne presque une fois sur 4 d’après nos études !

Mais alors, si l’organisation d’une cyberattaque est presque accessible à tous, comment peut-on se défendre ? 

Aujourd’hui, il faut avoir conscience que la protection de l’entreprise passe par  la protection  d’un écosystème devenu mondial (clients, prestataires IT ou partenaires)  Il est important aujourd’hui de sensibiliser l’ensemble de l’écosystème et pas uniquement les salariés de l’entreprise !

Mais comment se traduit ce principe dans les faits ?

Eh bien le futur règlement Européen propose de renforcer la protection des données personnelles des citoyens Européens en imposant des obligations en matière de protection du patrimoine informationnel. Il y a aussi la LPM de 2013 : L’Etat, conscient que les activités sensibles des entreprises pouvaient avoir un impact sur sa propre sureté, identifie désormais les entreprises comme étant un OIV. L’ANSSI est chargé de s’assurer que des mesures concrètes de sécurité sont mises en œuvre par ces entreprises afin de protéger les intérêts vitaux de l’état. Dans les deux cas l’obligation de notification des attaques aux autorités est un principe de base, sachant que plus tôt l’attaque est détectée, plus tôt les entreprises seront en capacité de réagir. Par ailleurs les cellules de crise doivent prendre en compte cette dimension cyber. 

Mais l’ANSSI (et donc l’Etat) peut-elle tout contrôler ?

Effectivement, sur les OIV qui représentent plus de 200 organisations, l’ANSSI ne dispose pas de capacités suffisantes pour aller auditer l’ensemble des opérateurs. Mais dans le cadre de la qualification PASSI  que CGI vient d’obtenir, elle pourra faire appel à des prestataires de qualité et de confiance afin de conduire- des audits pour vérifier le renforcement des défenses de ces opérateurs. 

Est-ce que cette réponse vous paraît suffisante ? A la hauteur des enjeux ?

L’effort est louable mais on oublie souvent que la cybersécurité, c’est un triptyque. Il y a la technologie, qui n’est finalement qu’un moyen ; En second l’exploitation des faiblesses introduites par la transformation digitale sur les processus métiers. Pensez aux faux ordres de virement internationaux, ce que l’on appelle l’arnaque au président, il n’est pas question de technologie, mais d’exploitation de processus défaillants. Enfin l’Humain, c’est le troisième élément. Tout passe par l’humain – même s’il n’a aucune intention malveillante. Il convient de sensibiliser l’ensemble de l’écosystème au fait que la sécurité  à un cout mais elle n’a pas de prix."

Thierry Jardin, Cybersécurité : de l’attaque banale à la sûreté de l’Etat, une vidéo Xerfi Canal TV