Cybersécurité : Sommes-nous de taille ?

05 janvier 2020 – Auteur : Jérémy B.

Cette dernière décennie, l’innovation technologique n’a cessé d’accélérer, sans répit, afin de pallier les besoins toujours plus grandissants de nouveauté, de capacité de stockage et de gestion de données massives (Big Data).

L’accès au très haut débit, aux quatre coins du monde, est également au centre de nos préoccupations. Et ce n’est pas en ces périodes de confinement que la tendance risque de s’inverser. D’après l’Omdia, entreprise britannique spécialisée dans l’analyse stratégique concernant l’industrie des réseaux et des télécommunications, le trafic Internet mondial aurait subi une hausse de plus 70% au cours de cette année (2020).

Cela entraîne bien des bouleversements en ce qui concerne notre rapport à la protection de nos données personnelles, mais aussi et surtout envers les stratégies mises-en-place en milieu professionnel, tant leurs besoins en sécurité varient fortement en fonction de la sensibilité de leurs données.

Mais sommes-nous préparés à ces besoins humains et techniques ? Où en sont actuellement les entreprises vis-à-vis des “bonnes pratiques” à adopter dans le domaine de la cybersécurité ? Ont-elles les cartes en main pour résister aux attaques ?

Mais au fait, une cyberattaque, c'est quoi?

Fraudes sur le web, sabotages professionnels, espionnages, tentatives d’extorsion via ransomware,… l’actualité est tristement riche en événements marquants relatifs à la cybersécurité. Les méthodes employées sont vastes et ces attaques perpétrées ciblent divers organismes et sociétés, sans distinction de domaines de compétences.

Depuis ces 30 dernières années et l’apparition du premier virus sur le web, Morris Worm, les méthodes d’attaques ont bien évidemment changé. Mais les plus couramment employées sont référençables : 

  • Phishing d’identifiants 
  • Attaques par force brute visant des appareils (accessible via le protocole RPD ou Remote Desktop Protocol)
  • Exploitation de failles dans les applications exposées sur internet, notamment les VPN (Virtual Private Network ou Réseau Virtuel Privé) 

Ces vecteurs d’intrusions fréquemment employés par les “hackers” ne sont pourtant pas une surprise.

A titre d’exemple, plusieurs vulnérabilités, censées être corrigées dans des produits VPN n’ayant parfois simplement pas été mis à jour par les entreprises qui les déploient, peuvent ainsi être exploitées par des cybercriminels pour s’infiltrer dans les réseaux professionnels.

Le piratage via Javascript, un langage de programmation principalement employé pour les pages web, est, quant à lui, toujours d’actualité. Cette méthode, active lors d’une visite de sites internets frauduleux, ou simplement détournée à leur insu, a été fonctionnellement adaptée afin de pouvoir être utilisée via des E-mails tout aussi malveillants (notamment grâce aux pièces-jointes) et souvent ouverts par inadvertance.

Ces attaques, généralement transparentes, permettent l’intrusion de logiciels de nouvelle génération, comme les malwares de Cryptojacking, utilisant les ressources matérielles des futures machines “piratées” (processeur, cartes graphiques,…). Ces programmes exploitent ainsi leur puissance de calcul, augmentant par la même occasion la consommation d’énergie des propriétaires selon leurs installations.

Un marché plus que lucratif

Vincent Meysonnet, spécialiste en cybersécurité, responsable technique “avant-vente” chez Bitdefender (société éditrice de solution de sécurité informatique, basée à Bucarest), tentait de mettre en lumière ces attaques par Cryptojacking lors de son interview en janvier 2019 par Yann Serra, journaliste/chroniqueur dédié à l’informatique.

D’après son expertise, le constat est sans appel ; la finalité première des hackers mondiaux n’est pas simplement le vol de données, mais bel et bien majoritairement à but lucratif, via génération de monnaies virtuelles, ou crypto-monnaies, à partir de cette fameuse puissance matérielle fournie par leurs “victimes”. 

Pour clarifier, une crypto-monnaie peut être générée via deux méthodes bien distinctes. 

La première consiste à les “miner”, c’est-à-dire fournir un service au réseau de ladite monnaie, en échange d’une récompense pécuniaire, généralement en devise de celle-ci. Dans les cas les plus simples, il est seulement question de vérifier la validité et la conformité d’un ensemble de transactions.

La seconde, plus répandue historiquement grâce aux devises traditionnelles, consiste à procéder au trading de ces crypto-monnaies, à négocier sur les mouvements de leur cours en bourse au moyen d’un compte de trading, ou tout simplement à acheter et/ou vendre les monnaies sous-jacentes via une plateforme d’échange.

L’illustration présentée durant cet interview, lors du FIC 2019, le Forum international de la Cybersécurité, nous permet d’estimer l’argent engendré via la première méthode, et ce grâce au Cryptojacking. Actuellement, c’est un montant de 0,25 dollars en moyenne qu’il est possible de générer, par machine et par jour, sous forme de Monero.

Pour 2000 machines enrôlées, il est donc possible d’atteindre la somme de 500 dollars par machine détournée et par jour, soit un montant de 182.500 dollars par an.

Les pirates du web sont en phase avec leur temps. Leurs outils et méthodes sont de plus en plus sophistiqués mais surtout se démocratisent davantage, notamment depuis 2010, avec l’émergence au grand public des darknets ; cesréseaux superposé qui utilisent des protocoles spécifiques intégrant des fonctions d’anonymat. Leur contenu, appelé “Dark Web”, est abordé dans les médias de culture de masse depuis quelques années. Celui-ci devient de plus en plus accessible puisque son utilisation, notamment via le navigateur “Tor“, associé à son réseau informatique éponyme de celui-ci, est reconnue légale dans la plupart des pays, et ce malgré son passé plutôt sulfureux dans le domaine de la criminalité au sens large. 

La raison de ce paradoxe est simple : en réalité, seulement 7% des utilisateurs et utilisatrices de “Tor” se connectent à des sites malveillants, portant un nom de domaine très spécifique. Le célèbre navigateur, à l’emblème d’Oignon, symbolique du routage en plusieurs couches, assure un réel anonymat, contrairement à la navigation classique. 

En effet, les connexions à des services “cachés” semblent bien plus élevées dans les pays dits plus «libres». Mais le terrain de jeu des usagers dans les pays connus pour leurs mécanismes de censure est bien différent. Ce navigateur leur permet simplement la visite du web classique tel que nous le connaissons. Il est question de Facebook, Youtube, d’autres navigateurs comme Google, mais aussi des sites de journalisme indépendant, qui dans la majorité des cas, sont reconnus comme illégaux par la justice de leurs états.

Pour autant, un gigantesque marché de la fraude apparaît peu à peu, se transformant en business lucratif et atteignant des sommes que l’on peut qualifier d’astronomiques. En 2016, le dernier rapport de l’ONDFP (l’Observatoire national de la délinquance et des réponses pénales) faisait état d’une fraude à la carte bancaire en nette progression sur 5 ans, passant de 500.000 en 2011 à 1,1 millions de victimes en 2015.

Cette forme d’impuissance est malheureusement aujourd’hui ressentie à plusieurs niveaux, jusqu’à atteindre les hautes sphères de la législation française.

En 2019, le site Next INpact faisait état d’un rapport alarmant publié par Hadopi, la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet. Ainsi, depuis sa création, ce comité, d’autorité publique et indépendante, a coûté pas moins de 82 millions d’euros à l’État, dont 9 millions pour l’année 2019. Sachant que le montant total des amendes prononcés par cette commission s’élève à 87 000 euros, dont près du tiers pour la seule année 2019, on estime à près d’un euro sur 942 le rapport “amendes empochées”/”dépenses investis”. Ce résultat souligne l’effet peu dissuasif des lois mises-en-place, pourtant modifiées courant 2019-2020, et coïncide avec la recrudescence des agissements frauduleux.

En effet, la CESIN évaluait à 80% le pourcentage d’entreprises françaises victimes d’attaques jusqu’en 2018. Ce club d’experts “Made in France”, regroupant 280 responsables d’entreprises, notamment celles du CAC 40, semblait cependant regorger d’optimisme deux ans plus tôt. En 2016, il estimait à 52% la proportion de responsables en sécurité des systèmes d’information d’entreprises françaises (RSSI) pouvant faire obstacle aux risques d’intrusions. Cela représentait une hausse de 5% par rapport à 2015. 

Aujourd’hui, la situation ne joue clairement pas en leur faveur et ces estimations se montrent bien loin de la réalité actuelle.

Pénurie de main d'oeuvre à l'horizon

De ce fait, les besoins en recrutement de professionnels qualifiés en cybersécurité deviennent de plus en plus évident. L’augmentation mondiale de ces cyberattaques est telle que le phénomène est devenu la préoccupation N°1 des entreprises. Or un nouvel obstacle vient s’ajouter à la longue liste des contraintes à résoudre : le recrutement de professionnels.

Mais où en sont nos chères têtes grises?

Le secteur informatique étant en plein essor, des formations sont de plus en plus proposées dans les universités françaises. Les embauches dans le domaine sont régulièrement en hausse, ce qui est profitable aux jeunes diplômés. Cependant, les recruteurs peinent à trouver certains profils pour leurs entreprises, notamment en ce qui concerne la branche sécurité.

D’après Pôle Emploi, plus de 91% des entreprises sur le marché français disent être en difficulté de recrutement, seulement 25% des besoins  seraient pourvus. Une pénurie de débutant dans cette filière se fait clairement ressentir.

En début d’année, c’est même un directeur en cybersécurité, travaillant pour un célèbre groupe du CAC40, qui s’exprimait à ce sujet auprès de la rédaction du site L’Usine Nouvelle. D’après lui, Il leur aura fallu dix mois d’attente afin de pouvoir recruter un expert, référent en cybersécurité industrielle : « (…) Aucun des dix candidats sélectionnés au départ ne s’est présenté à l’entretien. Même l’Agence nationale pour la sécurité des systèmes d’information (Anssi) court après ces perles rares (…)”. 

Pourtant, même en tant que débutant dans le domaine, un technicien peut espérer toucher un salaire entre 2500€ et 3000€ nets par mois.

Selon les dernières estimations du service statistique ministériel en charge de l’enseignement supérieur, de la recherche et de l’innovation (la sous-direction des Systèmes d’Information et des Études Statistiques, SIES), entre 2018 et 2019, 2,7 millions d’inscriptions ont été enregistrées dans l’enseignement supérieur en France métropolitaine et dans les départements d’outre-mer (hors inscriptions simultanées en licence et en C.P.G.E). Plus de 190 000 étudiants choisissent la voie du numérique, soit un total de 7.11 % des effectifs. Notons la part tristement minoritaire de 11% de ce total attribuée aux étudiantes dans un domaine toujours plus prisé par la gente masculine. 

Malgré tous ces efforts, le manque de futurs experts en Cybersécurité dans le monde est estimé à 4 millions d’experts d’après I’(ISC)².  Cet organisme est chargé de valider les compétences des professionnels en sécurité de l’information en fournissant les certifications SSCP et Certified Information Systems Security Professional (CISSP). 

Voici ce qui ressort de ces différentes études concernant les profils recherchés et les métiers proposés :

– Les principaux recruteurs sont notamment les agences gouvernementales, les entreprises de services, principalement sous le sigle ESN, et les banques.

– Les postes proposés sont divers et d’une importance généralement reconnue et valorisante, comme analyste/consultant, chef de projet, architecte en système et réseau, administrateur de ces mêmes architectures.

– Ces métiers clefs sont bien souvent transversaux et demandent une certaine polyvalence, ou du moins un minimum de connaissance, concernant les autres domaines de compétences auquel se rattachent leurs propres tâches.

– Et quelles sont ces fameuses compétences recherchées?

  • Soft skills (gestion du stress, du temps, réactivité, confiance,…)
  • Un niveau de langue professionnel relativement correct (notamment en anglais)
  • Un goût prononcé pour la créativité, l’innovation et le sens de la veille technologique

Bien des efforts sont encore à fournir pour combler ces besoins. Mais une chose est sûre ; c’est généralement grâce à notre expérience, aux échecs et incidents rencontrés, que nous sommes à même de mieux comprendre aujourd’hui ce qui nous a manqué durant des 10 dernières années, en s’appuyant sur des constats et bilans solides.

"Une plongée dans le chaos" comme expérience utilisateur

En témoigne l’une des dernières attaques d’ampleurs internationales, appelée “Crise NotPetya” – une CyberAttaque mondiale de type ransomware – évoquée lors de la conférence du CLUSIF et touchant de très importantes entreprises, et ayant, par effet dominos, causé des dommages collatéraux à des structures de plus petites tailles, en relation directe via divers systèmes d’information, et victimes d’un manque de moyen, de clairvoyance, ou tout simplement fagilisé par l’insouciance.

Le thème : Gestion des incidents de sécurité – Résilience et Amélioration

L’accusé : un Virus de type « wiper », malware dont l’objectif principal est d’effacer les données du disque dur de l’ordinateur infecté.

Angeline Vagabulle, écrivaine et ancienne professionnelle dans les systèmes d’information, témoignait, à l’occasion d’une conférence portée à ce sujet, quant à l’événement vécu, pour sa part, de l’intérieur :

Son expérience, comparable à un utilisateur lambda, met en lumière un sentiment d’impuissance ; conséquence du manque de préparation et de connaissance des personnes pourtant adeptes d’un environnement de travail ultra-connecté, en immersion totale avec le virtuel et ses outils numériques et collaboratifs.

Elle souligne justement, et malgré tout, une capacité souvent commune à tenter de faire face à ces conséquences, le plus souvent grâce à la volonté de collaboration, qualité propre au milieu de l’Open Space. Elle évoque notamment la recherche de stratégie alternative, le retour aux méthodes plus anciennes, en mode « débrouille ».

Cette fragilité face aux nouvelles technologies tranche avec une gestion pourtant correcte de sociétés « qui marchent bien » mais avec une rentabilité fragile. Le personnel, opérationnel et hyper concentré sur leur business, est en fait très jeune, avec peu de recul sur le risque encouru, passionné par leur métier mais en plein essor vis à vis de leur organisation et infrastructure, très dépendantes des outils digitaux, et peu conscientes de leur vulnérabilité. Il est même admis un certain manque de considération envers le service informatique du groupe, peu pris au sérieux lors des audits de sécurité.

Cet événement a débuté le 27 juin 2017, alors même que l’actualité connaissait une période de méfiance, où circulait le virus Wannacry (WanaCrypt0r 2.0), un logiciel malveillant de type ransomware auto-répliquant.

Angeline Vagabulle, nommée de par son pseudonyme d’écrivaine lors de cette conférence, évoquait un blocage du réseau de l’entreprise durant plusieurs heures afin d’éviter une propagation plus massive du virus. Mais cette intervention finit par durer plusieurs jours consécutifs, bloquant par la même occasion les lignes téléphoniques, puisque fonctionnant via les réseaux VoIP – dérivé du protocole IP que nous utilisons pour les ordinateurs ou sur l’Internet –  ce qui provoqua l’arrêt total de l’activité de tout le personnel.

S’ensuit une longue période d’attente et d’impatience. Un passage obligé vers la remise en question avant d’enfin tenter de nouvelles approches. Un contournement du problème est élaboré grâce à la cohésion d’équipe ainsi qu’à l’utilisation d’anciennes méthodes, notamment les téléphones portables individuels et les carnets de contacts.

  • « (…) La performance est plus délicate mais on arrive à travailler; c’est le système D ».
  • L’identification des niveaux de vulnérabilité, en fonction de son poste, est l’un des premiers axes évoqués sur lequel il sera prévu de travailler selon elle. La simulation en environnement réel, telle une formation incendie, est la méthode la plus évoquée durant et après cet incident de grande envergure.

  • « (…) Il ne faut pas négliger “l’après”, c’est traumatique pour des opérationnels de vivre cela brusquement du jour au lendemain (…) »

Le Panorama de la Cybercriminalité du CLUSIF s’est imposé depuis plusieurs années comme un événement incontournable dans le monde de la sécurité de l’information.

Cette conférence dresse le bilan en matière de cybercriminalité mais également en matière d’événements sociétaux, parfois accidentels, en relation avec la sécurité de l’information. Des experts reconnus en la matière, adhérents du CLUSIF mais aussi des invités pour l’occasion au sein d’un comité de programme particulièrement pointu, y sélectionnent tous les faits de l’année écoulée qui ont marqué l’actualité et qui auront de potentielles répercussions sur les années suivantes. L’occasion pour eux de revenir sur des sujets, très médiatisés ou rester dans l’ombre, qui présentent, pour le CLUSIF, un intérêt vis-à-vis de la problématique de la sécurité de l’information du futur. Un futur toujours plus dur à anticiper, mais face auquel nous pouvons d’ores et déjà faire front grâce à une arme faisant l’unanimité auprès de tous ; notre expérience.