2021 - ATELIER 1

La prochaine pandémie mondiale sera cyber, comment les entreprises peuvent-elles s’y préparer ?

 

 

A mesure que nous numérisons l'ensemble de nos activités, nous faisons face à une prolifération des piratages (ransomwares, phishing, etc.) et à une course de vitesse entre cyberattaquants et cybergardiens. Le résultat est une augmentation sans fin des moyens de cybersécurité et de couvertures de risques. Comment sortir de cette spirale infernale et mieux prévenir ces attaques ?

Et aussi : L’ère des cyberattaques sonne-t-elle le glas du libre accès à Internet ? Quels rôles et responsabilités des Etats dans les stratégies de cybersécurité des entreprises ?

 

-Deux experts sont venus nourrir nos réflexions :
 

Cécile WENDLING, directrice de la stratégie de sécurité, de l’anticipation des menaces et de la Recherche chez AXA
 

-Pascal GUILLET, auditeur en intelligence économique à l’Institut des hautes études de défense nationale (IHEDN)
 

Ce premier atelier de l’Expédition 2021 du Club  a donc porté sur la cybersécurité. Il s’est déroulé comme pour habitude en deux temps : l’intervention de deux experts du domaine pour éclairer le contexte  et identifier risques et enjeux ; ensuite un travail en atelier pour une mise en situation prospective.

 

Interventions des deux experts

 

Cécile Wendling (directrice de la stratégie de sécurité, de l’anticipation des menaces et de la Recherche chez AXA) a mis l’accent sur les risques croissants de cyberattaque auxquels sont soumis les entreprises. Deux raisons à cela. Premièrement, le marché de la donnée est florissant ; l’activité se professionnalise et les plateformes de revente sont beaucoup plus structurées. Deuxièmement, il est bien plus facile pour les organisations criminelles de rançonner une entreprise en paralysant son système d’information que de se livrer aux différents trafics dont elles sont coutumières, comme l’ont montré les demandes de rançon qui ont touché très récemment plusieurs hôpitaux de France.
Par ailleurs, le cyberespace est un lieu d’influence et on ne sait jamais si les attaquants sont dirigés par un Etat, par une entreprise criminelle ou par un cyber activiste.

Le plus souvent – 70 % des cyberattaques - la porte d’entrée des hackers est ouverte (volontairement ou non) par le comportement inapproprié d’un salarié. Outre la formation des salariés pour éviter le « phishing », les entreprises cherchent à sécuriser au maximum les points d’entrée et/ou à entraîner des IA à détecter des comportements non conformes.
 

Autre point important :  la solution n’est pas que technique. Les menaces se diversifiant, la diversité des profils dans la sécurité devient très importante, en termes de genre, d’âge, de formation, d'origine géographique ou sociale : il faudra de plus en plus faire preuve d’imagination, d’anticipation. Il est aussi possible d’aborder ces menaces par une approche assurantielle. AXA reçoit de plus en plus de demandes de couverture du risque cyber.
Mais, pour que la demande soit recevable, il faut
1) vérifier que le système soit sécurisé
2) pouvoir évaluer la valeur du risque. Or, il existe peu de données disponibles sur les dégâts causés par les attaques, sur les amendes payées, etc., car les entreprises qui sont victimes d’une attaque communiquent rarement sur ce qu’elles ont subi en raison du risque d’image et les Etats sont tout aussi réticents à délivrer des données pour des raisons stratégiques et diplomatiques.
Ces données, même consolidées et anonymisées, sont pourtant essentielles pour évaluer le risque et donc permettre le développement d'assurances cyber. En outre, certains niveaux de risque dépasseront les capacités d’un seul assureur, il serait alors envisageable d’adopter une approche mutualisée dans des pools « public-privé », comme dans le cas de catastrophes naturelles.

Mais, au-delà des mesures de sécurité et de prévention, il faut aussi penser aux « angles morts » : être capable de résilience en utilisant « papier-crayon » si le système informatique fait défaut ; penser aux dégâts psychologiques ; et impliquer toute l’organisation, car la sécurité ce n’est pas seulement l’affaire du département de sécurité.

 


Pascal Guillet (auditeur en intelligence économique à l’Institut des hautes études de défense nationale – IHEDN)

Pascal Guillet a cacepté de diffuser son excellente présentation

 

90 % des entreprises françaises ont été victimes de cyberattaques en un an. Le coût de la cybercriminalité est estimé à 5 200 milliards de dollars par l’ONU pour l’économie mondiale entre 2020 et 2025. La cybercriminalité est un écosystème très complexe où se retrouvent de nombreux acteurs, allant du loup solitaire à des organisations étatiques. Les attaquants sont en effet de nature diverse : hackers, cybercriminels, cyberterroristes, attaquants pour le compte d’un État (APT ou Advanced Persistent Threat), ces derniers étant de plus en plus actifs : Chine, Russie, Corée du Nord, Iran…

 

 

La pandémie actuelle a conduit les cybercriminels à changer de cible et à attaquer les grandes sociétés, les gouvernements et les infrastructures essentielles (hôpitaux, par exemple) plutôt que les PME et les particuliers. Le tout a été favorisé par le développement du télétravail (risques cyber en augmentation de 300 %) : les malfaiteurs exploitent à la fois les vulnérabilités accrues en matière de sécurité pour dérober des données, générer des profits et provoquer des perturbations mais aussi profitent d’une forme de chaos liée à la crise. L’activité s’est largement industrialisée.

 

En 2030, on peut s’attendre à une professionnalisation accrue des activités, à une explosion des différentes typologies d’attaques ; au développement de l’Intelligence Artificielle au profit des hackers, à des attaques sur les objets connectés, à des attaques d’Etats plus imposantes et encore mieux orchestrées. Différentes parades et ripostes sont à prévoir. Parmi elles, la mise en place de plateformes intelligentes anti-attaques, la formation des utilisateurs, l’émergence de protocoles plus sécurisés (faudra-t-il repenser le WWW ?), et, pour l’Europe, reprendre le contrôle de la normalisation.

 

Existe-t-il un risque pandémique numérique de grande ampleur ? Le risque n’est pas totalement négligeable…

 

Travail en atelier

 

 

 

 

 

 

 

 

 

 


Capture d’écran de l’espace de travail sur Klaxoon.

Pour y accéder : https://app.klaxoon.com/join/kzVCBwz

 

Les participants ont été séparés en trois groupes. Il a été proposé à chaque groupe une mise en situation (réponse à une cyber-attaque) afin de poser les bases d’une stratégie de cybersécurité, telle qu’on pourrait l’imaginer en 2035.


Première situation : « Une campagne de phishing a ciblé la messagerie mail d’une entreprise de cybersécurité, LunarHurricane, provoquant la plus grosse cyberattaque de l’histoire. Touchée durement par l’attaque, votre entreprise décide de s’allier à d’autres entreprises, elles aussi victimes, pour imaginer une nouvelle philosophie cyber qui permettrait de se protéger durablement contre ce type de menace. »

Philosophie cyber proposée par les participants : La cyber ZAD ou le cyber club. S’organiser avec d’autres entreprises pour mettre en place des bulles numériques dans lesquelles elles peuvent s’interconnecter en toute sécurité (écosystème d’outils et d’échanges). Cela implique de mettre en place des méthodologies de qualification à l’entrée de ces cercles de confiance. Mutualisation des moyens de stockage des données (ZAD : zone de données à défendre), de formation et relation d’entraide au sein de ces cercles en cas d’attaque.

 

Capture d’écran de l’espace de travail sur Klaxoon.

Pour y accéder : https://app.klaxoon.com/join/kzVCBwz

 

Les participants ont été séparés en trois groupes. Il a été proposé à chaque groupe une mise en situation (réponse à une cyber-attaque) afin de poser les bases d’une stratégie de cybersécurité, telle qu’on pourrait l’imaginer en 2035.

Première situation : « Une campagne de phishing a ciblé la messagerie mail d’une entreprise de cybersécurité, LunarHurricane, provoquant la plus grosse cyberattaque de l’histoire. Touchée durement par l’attaque, votre entreprise décide de s’allier à d’autres entreprises, elles aussi victimes, pour imaginer une nouvelle philosophie cyber qui permettrait de se protéger durablement contre ce type de menace. »

Philosophie cyber proposée par les participants : La cyber ZAD ou le cyber club. S’organiser avec d’autres entreprises pour mettre en place des bulles numériques dans lesquelles elles peuvent s’interconnecter en toute sécurité (écosystème d’outils et d’échanges). Cela implique de mettre en place des méthodologies de qualification à l’entrée de ces cercles de confiance. Mutualisation des moyens de stockage des données (ZAD : zone de données à défendre), de formation et relation d’entraide au sein de ces cercles en cas d’attaque.

 

Deuxième situation : « Votre entreprise est victime pour la 4e fois cette année d’un ransomware. Votre PDG décide que ce sera la dernière, il ne paiera plus. Il vous demande donc de trouver une autre manière de gérer cette cybercriminalité afin de sortir de cette spirale infernale, sachant que les budgets cybersécurité de l’entreprise sont déjà au maximum. »

Philosophie cyber proposée par les participants : La cyber culture. développer la culture « sécurité » du personnel ; accroître la résilience de l’organisation en développant des moyens alternatifs de sauvegarde ; création de groupes d’intérêts sectoriels pour mutualiser les expériences et les savoir-faire.

 

Troisième situation : « Une nouvelle mise à jour du plan européen pour le climat vous impose de réduire de moitié la consommation électrique liée aux usages numériques de votre entreprise d’ici trois ans. Le département de cybersécurité, jusqu’ici le seul épargné par les mesures de réduction d’énergie, va, cette fois-ci, devoir supporter l’essentiel de la baisse. Dans cette perspective, le programme d’IACyberPatrol ne pourra pas continuer. Vous devez alors repenser entièrement votre philosophie cyber… »

Philosophie cyber proposée par les participants : le cyber Jugaad. Organiser une frugalité des données (segmentation des risques, archivage automatique) ; s’appuyer sur les individus (formation, prévention, sanction), sur la communauté (mutualisation, cluster de défense) et sur les clients (transparence, aide à la détection des risques).

: « Votre entreprise est victime pour la 4e fois cette année d’un ransomware. Votre PDG décide que ce sera la dernière, il ne paiera plus. Il vous demande donc de trouver une autre manière de gérer cette cybercriminalité afin de sortir de cette spirale infernale, sachant que les budgets cybersécurité de l’entreprise sont déjà au maximum. »

Philosophie cyber proposée par les participants : La cyber culture. développer la culture « sécurité » du personnel ; accroître la résilience de l’organisation en développant des moyens alternatifs de sauvegarde ; création de groupes d’intérêts sectoriels pour mutualiser les expériences et les savoir-faire.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Pour aller plus loin sur le sujet ….
 

- Emission complément d’Enquête «  les nouveaux braqueurs »  1h 08

https://drive.google.com/file/d/1tZYYCjB6aBFRp4pAwVvp5ReIapw4uDLT/view?usp=sharing


- La cybercriminalité, principal risque économique pour la Fed

 

Nicolas Rauline Bureau de New York

Jerome Powell, le patron de la Réserve fédérale américaine, est plus inquiet du risque d'une cyberattaque à grande échelle que d'une crise financière mondiale semblable à celle de 2008.
 

Les autorités américaines se préparent au pire, en matière de cybersécurité. Le président de la Fed, Jerome Powell, a confié dimanche, dans l'émission de CBS « 60 Minutes », qu'il s'agissait là du risque le plus grand pour l'économie américaine, qu'il redoute davantage encore qu'unecrise similaire à celle de 2008. « Le monde change. Le monde évolue. Et les risques aussi. Et je dirais que le risque que nous surveillons le plus est le cyber risque », a-t-il expliqué, indiquant qu'il s'agissait aussi du domaine dans lequel les institutions et les entreprises investissent le plus.

Face au cyber risque, la Réserve fédérale envisage différents scénarios. Comme un cas de figure dans lequel « le système de paiements ne peut pas fonctionner. Les paiements ne peuvent pas être effectués ». Ou encore une situation où « une grande institution financière perdrait la capacité de suivre les paiements qu'elle effectue », a-t-il ajouté.

Des agences gouvernementales visées

La Fed envisage aussi la possibilité qu'une partie du système financier puisse s'arrêter. « Nous passons donc beaucoup de temps, d'énergie et d'argent pour nous prémunir contre cela », a souligné le patron de la Fed, en rappelant que des cyberattaques visent de grandes institutions « tous les jours ».

L'an dernier, de nombreuses agences gouvernementales américaines ont été l'objet d'attaques et les regards se sont portés vers la Russie, soupçonnée d'avoir orchestré cette vague sans précédent. Jusqu'ici, la Réserve fédérale a réussi à limiter les dégâts mais la paralysie de son système provoquerait un chaos sur les marchés et pour les entreprises américaines. Lorsque son système de paiement, par lequel transitent 3.000 milliards de dollars tous les jours, a été victime d'une panne pendant quatre heures, en février, des milliers d'entreprises ont vu certaines transactions retardées.

Un piratage de ce système pourrait avoir des conséquences désastreuses, d'autant que la Fed a aussi accru son rôle dans l'économie américaine durant la pandémie. La banque centrale a soutenu les marchés, racheté de la dette aux entreprises et opéré en direct des programmes du Trésor. Une mine d'informations qui pourrait tomber dans des mains malveillantes...

La cybersécurité n'est pas le seul chantier de Jerome Powell en matière de nouvelles technologies. Le patron de la Fed s'intéresse aussi de près aux cryptomonnaies et il se pose la question d'un « dollar virtuel ». La Chine est devenue le mois dernier la première grande puissance économique mondiale à dévoiler une cryptomonnaie et Jerome Powell a souligné que la Fed évaluait cette possibilité.

L'institution développe un logiciel et conçoit l'apparence d'un dollar numérique américain. Mais la décision finale de le rendre public ne sera prise qu'une fois son impact pleinement compris. La secrétaire au Trésor, Janet Yellen, avait récemment estimé, dans un entretien au « New York Times », que la création d'un dollar numérique pourrait être bénéfique à l'économie américaine.


- La meilleure façon de ré pondre à la déferlante future de s cyberattaques

 

Gilles Babinet

Cliniques, hôpitaux, entreprises de BTP, plateforme laitière, fabricant de bateau, services d'embarquement de passagers aériens… on ne compte plus le nombre d'organisations qui ont récemment été la cible de cyberattaques. Même l'opération militaire française Barkhane, se déroulant pourtant au coeur du Sahel, une zone particulièrement à l'écart de la technologie, fait l'objet de cyberattaques en constante augmentation. Selon la ministre de la Défense, le nombre de ces attaques a été multiplié par quatre en moins d'un an.

Beaucoup sont le fait d'organisations délinquantes plus ou moins structurées, d'autres sont d'origine étatique et ont tout autant l'objectif de tester nos défenses que de déstabiliser notre nation.

Si la France ne découvre pas les cyberattaques, les moyens qu'elle a mis en place pour y répondre ont sensiblement évolué au cours de ces récentes années. D'abord au travers de l'augmentation forte et continue du budget de l'Agence nationale de la sécurité des systèmes d'information (ANSSI).

De même, l'exécutif a initié le projet d'un cybercampus dont l'ambition sera de « clusteriser » l'innovation en cybersécurité, c'est-à-dire de mettre en un même espace start-up, fonds d'investissement, grandes entreprises et chercheurs. Une initiative qui devrait voir le jour cette année à La Défense.

Il n'en reste pas moins que la situation, de l'aveu même du directeur de l'ANSSI, reste préoccupante : nombre d'entreprises, usines, chaînes logistiques, institutions publiques… restent insuffisamment protégées, aux systèmes informatiques souvent vétustes et dont les salariés ne bénéficient le plus souvent que de formations rudimentaires, lorsque c'est le cas.

On peut certes améliorer ce dispositif : doter l'Etat d'un fond de capital-risque dédié, à l'image de In-Q-Tel aux USA ; accroître les salaires accordés aux jeunes codeurs qui iraient rejoindre les institutions publiques, ou encore flexibiliser le cadre de travail de ceux-ci, des mesures souhaitables mais insuffisantes. En réalité, l'enjeu central s'exprime ailleurs, essentiellement dans le temps long, celui d'un changement d'ère qui voit les technologies informationnelles prendre une place première dans notre organisation sociale et économique.

Dans ce monde en devenir, la qualité de l'éducation dans son ensemble est déterminante. Souhaiter le renforcement de notre cyberdéfense est in fine lié à notre capacité à créer un système éducatif de qualité, où les mathématiques et dans une certaine mesure la programmation sont des compétences solidement acquises. Dans le supérieur, si les grandes écoles françaises sont d'une qualité incontestable, elles ne sont pas parvenues à accroître fortement leurs effectifs et à toucher autre chose qu'une infime part de la population ; un rôle que beaucoup de systèmes universitaires des pays leaders dans le digital et la sécurité informatique ont réussi à tenir.

Mais, ce qui probablement représente pour l'Etat le plus important défi serait de créer une nouvelle forme de lien entre les institutions publiques et les citoyens. Tout comme les codeurs ont été capables de se liguer pour réaliser d'importantes cathédrales de l'open source (par exemple Linux, un système d'exploitation qui équipe désormais 90 % des serveurs dans le monde), les institutions publiques devraient réussir à fédérer des mouvements citoyens créant de ce fait plus qu'une maîtrise de la technologie : une culture commune de la technologie, une dynamique qui aiderait, d'une part, à maintenir l'équilibre des pouvoirs entre un Etat par définition de plus en plus technologique et la société civile et, d'autre part, à créer un niveau de jeu sensiblement amélioré sur le plan de la cybersécurité.

A cet égard, on soulignera l'initiative initialement promue par l'association de codeurs-citoyens Bayes Impact, consistant à créer une forme de réserve citoyenne, ou de Service public citoyen, qui aurait la vertu, non plus de mettre les experts face à l'Etat, comme chacun d'entre nous l'est aujourd'hui, mais au coeur de celui-ci, lui donnant d'un coup une dynamique d'une modernité très propre au XXIe siècle.

 

Une cyberattaque a frappé des entreprises et des institutions françaises

Ce que l'on sait de la cyberattaque massive frappant les États-Unis en quatre questions


Vous êtes régulièrement témoins dans ces lignes d’attaques informatiques de grande ampleur sur des bases gigantesques de données. Cette fois, nous progressons dans les impacts s’il en était possible en découvrant que les instances les plus stratégiques de plusieurs pays sont infiltrées par un groupe de pirates d’une puissance dont seul un Etat peut se targuer. Il faut juste savoir que la supervision centralisée des cyber menaces au sein des grandes entreprises est réalisée par quelques logiciels spécialisés : Orion pour Solarwinds (US), Centreon pour la France. Airbus, Air France, EDF, Orange, Total sont autant d’entreprises françaises qui utilisent ce logiciel. Les pirates s’étant infiltrés dans ce logiciel redistribué aux entreprises, ont une place de choix pour observer, dérober des informations précieuses, voire nuire aux entreprises et États par des manipulations ciblées.

 

 

- Le nombre d'attaques informatiques a quadruplé depuis le début de la crise sanitaire. Des opérations invasives qui augmentent de 80% le risque de défaillances des entreprises dans les trois mois qui suivent l'incident.
 

Depuis le début du confinement, les entreprises, et particulièrement les PME, ont été la cible des hackers. L'agence nationale de la sécurité des systèmes d'information (Anssi) a enregistré depuis mars 2020 une hausse de 400 % de tentatives de phishing.

Le nombre d'attaques de rançongiciels a par ailleurs été multiplié par quatre en un an. 192 attaques ont été répertoriées en 2020 contre 54 sur toute l'année 2019. " Le télétravail, mis en place dans des conditions d'urgence avec un niveau de sécurité pas toujours optimal, a accéléré la menace et augmenté la surface d'attaque des assaillants ", rapporte Jean-Philippe Pagès, directeur de Bessé Industrie & Services.

Ce spécialiste du courtage et du conseil en assurances auprès des entreprises a publié une étude sur l'impact d'une attaque informatique sur la valorisation des entreprises non cotées, PME et ETI. Les données sont éloquentes. Sur l'échantillon des seules entreprises françaises victimes d'une attaque (15 sur les 30 entreprises internationales étudiées), le risque de défaillance augmente en moyenne de 80% dans les trois mois qui suivent l'annonce de l'incident cyber. Chiffre étayé par une dégradation de la valeur patrimoniale de l'ordre de 8 à 10% et une augmentation de 55 % du nombre de jours de retard de paiement six mois après l'attaque. " Le temps de récupération est très élevé. Plus l'entreprise est de petite taille, plus elle est vulnérable car moins équipée en compétences et en moyens cyber sécurité. L'attaque peut alors lui créer des préjudices économiques forts, qui peuvent aller jusqu'à l'arrêt total de l'activité ", ajoute Jean-Philippe Pagès.

Sur le panel étudié, deux entreprises ont dû cesser leurs activités. Selon Justine Gretten, responsable communication de Mailinblack, spécialiste de la protection des messageries professionnelles, " une attaque représente en moyenne, en plus des vols de données et de réputation mise en jeu, 100 000 euros de perte de chiffre d'affaires pour une PME*. Les frais en réparation et de formation des équipes n'étant pas négligeables. "

Empêcher l'accès aux données

Les attaques par e-mail de type phishing ou hameçonnage ont été massives et ont touché beaucoup de PME et d'ETI. Le but du jeu de cette attaque est de dérober des informations confidentielles (mots de passe, informations personnelles ou bancaires) en usurpant l'identité d'un tiers de confiance. Conséquences possibles : le piratage de comptes professionnels de messagerie ou d'accès aux systèmes d'information de l'organisation, l'intrusion sur le réseau de l'entreprise ou encore la fraude aux faux ordres de virement.

" Un malfaiteur fait passer pour légitimes des messages frauduleux qui semblent provenir d'une source de confiance. 90% de ces attaques impliquent une erreur humaine. La victime d'une attaque par hameçonnage se fait ainsi piéger lorsqu'elle clique sur l'email et partage des informations personnelles ou professionnelles de manière involontaire. Si l'e-mail est le mode de communication privilégié des hameçonneurs, d'autres techniques peuvent être utilisées comme les applications de messagerie instantanée, les réseaux sociaux, les appels téléphoniques ", explique Justine Gretten, responsable communication chez Mailinblack.

Une autre cyberattaque a littéralement explosé pendant les deux premiers mois de confinement : il s'agit du ransomware. Cette attaque consiste à chiffrer et empêcher l'accès aux données de l'entreprise et à généralement réclamer une rançon pour les libérer. Ce type d'attaque s'accompagne de plus en plus souvent d'un vol de données et d'une destruction préalable des sauvegardes.

Ces attaques sont généralement rendues possibles par une intrusion sur le réseau de l'entreprise, soit par ses accès à distance, soit par la compromission de l'équipement d'un collaborateur. " Si un hacker pénètre dans le système d'information, l'ensemble du fonctionnement d'une entreprise peut être arrêté, y compris le fonctionnement des ordinateurs et des lignes téléphoniques. Les conséquences peuvent être dramatiques. Un hôpital en Allemagne, et d'autres plus récemment à Dax dans les Landes et à Villefranche-sur-Saône dans le Rhône, ont été la cible d'un ransomware. Il n'y avait plus de communication possible et une perte des données, ce qui a entraîné dans certains cas le décès de patients... ", rappelle Justine Gretten.

Mener des exercices de gestion de crise

Les pratiques étant de plus en plus inventives, la gestion de la crise cyber et la prévention semblent essentiels. " Il faut définir une gouvernance du risque de façon transverse, impliquer l'ensemble des fonctions clés de l'entreprise et alerter les salariés sur le risque. Les attaques sont devenues si fréquentes que la question pour les dirigeants n'est plus de se demander si leur entreprise peut être victime d'une crise cyber mais plutôt de se préparer à y répondre lorsqu'elle surviendra ", estime Jean-Philippe Pagès.

Les entreprises doivent par ailleurs déployer des actions simples comme la mise au point de systèmes de sauvegarde de données fréquentes et périodiques, ou une politique de mot de passe efficace avec des changements réguliers.

Une autre technique peut également reposer sur du test and learn. L'employeur réalise une fausse campagne de phishing pour mettre en situation les salariés. Ils sont ainsi sensibilisés sur les bons réflexes à adopter, et l'importance de vérifier l'adresse de l'expéditeur ou la présence de fautes d'orthographe dans les mails. Un apprentissage régulier permettant aux collaborateurs de mieux reconnaître les tentatives d'usurpation d'identité.

* étude sur la vulnérabilité des entreprises face aux cyberattaques menée par Mailinblack du 10 novembre au 31 décembre 2020 auprès de 700 dirigeants

Chiffres

12% des entreprises de plus de 100 salariés ont connu des attaques par rançongiciel, le vecteur d'attaque le plus préoccupant, avec pour 38 % d'entre elles un impact fort, selon l'enquête 2020 Clusif sur les menaces informatiques et les pratiques de sécurité.

80% des PME et ETI françaises n'ont pas de plan de réponse aux incidents robustes, selon l'étude menée en 2020 par Ponemon Institute et IBM. Il n'est soit pas assez complet (24 %), soit pas assez formalisé (31 %), soit inexistant (25 %).

1 milliard

Le gouvernement a annoncé le 18 février 2020 un plan de soutien d'1 milliard d'euros d'ici à 2025 pour renforcer la protection des administrations, des entreprises et faire émerger les champions français de la cybersécurité.

39%

Plus d'un tiers des ETI sondées par le cabinet de conseil Bessé - PwC en mars 2018 avaient mis en place une organisation transversale associant les fonctions finance, juridique, RH, opérationnelles, SI et RSSI pour piloter le risque cyber.



- La tech sous la pression de cyberattaques de plus en plus sophistiquées

Florian Dèbes Les Echos

Le numéro deux de Microsoft s'inquiète d'attaques comme celle qui a abusé l'éditeur de logiciels SolarWinds, puis les clients de ce dernier. La confiance s'érode entre fournisseurs et utilisateurs de technologies.

Les hackers ne se contentent plus des failles de sécurité nées de la négligence des codeurs. Ils les développent désormais eux-mêmes et parviennent à les faire distribuer par les éditeurs de logiciels aux nez et à la barbe de ces derniers… C'est cette tactique qui a bluffé l'américain SolarWinds, dont la compromission du logiciel Orion a permis la plus vaste opération de cyberespionnage officiellement recensée à ce jour aux Etats-Unis.

Depuis la découverte en décembre de cette attaque de haut vol l'an dernier, la pression monte sur les acteurs de la tech et pour les entreprises qui s'appuient de plus en plus sur leurs logiciels. Cette semaine, même le numéro deux de Microsoft s'en est ému. « Il est probablement juste de dire qu'il s'agit de l'attaque la plus grande et la plus sophistiquée que le monde ait jamais vue », a déclaré Brad Smith sur CBS. Victime dans cette affaire, Microsoft utilisait Orion en interne et a constaté des intrusions sur son réseau, sans gravité apparente.

Mi-décembre, le dirigeant s'inquiétait déjà au nom de tous les clients du secteur : « Les attaquants ont utilisé une technique qui a mis en danger la chaîne d'approvisionnement technologique pour l'économie au sens large », écrivait-il sur un blog de Microsoft. En clair, les hackers ont réussi à éroder la confiance entre les éditeurs de logiciels et leurs clients qui se protègent mais n'imaginaient pas jusqu'ici devoir se méfier des premiers, leurs alliés naturels dans l'espace cyber.

Sans être totalement nouveau, ce type d'attaques fait aujourd'hui davantage peur car elles ont permis le vol de secrets appartenant à la première puissance mondiale elle-même, au sein du ministère de la Justice américain et d'autres administrations fédérales.

Menaces sur les systèmes critiques

Par le passé, l'éditeur d'antivirus Avast avait distribué une version modifiée par des hackers mal intentionnés de son logiciel CCleaner. La cyberattaque NotPetya, qui avait mis au tapis de nombreuses sociétés ukrainiennes et, par effet de bord, les groupes Saint-Gobain et Maersk, était aussi partie d'une mise à jour malveillante d'un logiciel de facturation. Mais cette fois-ci, l'attaque a frappé en plein coeur, sur un système critique pour l'informatique d'entreprise, à savoir le serveur de supervision qui diagnostique en permanence l'état du système. « C'est probablement la machine qui permet de s'immiscer le plus loin dans un réseau car elle doit avoir accès à tous les autres serveurs », note Stéphane Reytan, le directeur de l'activité d'audit et de stress test de cybersécurité d'ITS Group.

En France, c'est cette même machine qui est au coeur des inquiétudes de l'Agence nationale de la sécurité des systèmes d'information (Anssi) quand elle a alerté il y a quelques jours sur des vulnérabilités présentes dans une version gratuite, obsolète et modifiée du logiciel Centreon. Même si, dans ce cas-là, l'éditeur français concurrent de SolarWinds réfute toute faiblesse de sa part sur les versions qu'il commercialise, ce que l'Anssi a confirmé.

Dans ce contexte, le rapport entre les services achats des entreprises et des administrations, et les commerciaux des sociétés technologiques, pourraient bien se teinter de suspicion. « L'attaque sur SolarWinds forcera une évaluation approfondie des éditeurs de logiciels. […] La réglementation sur le risque cyber devrait s'accroître pour la chaîne d'approvisionnement, en particulier pour les fournisseurs des gouvernements », indique l'agence de notation Moody's dans une note publiée la semaine dernière. Avec le risque que les petits acteurs du marché ne puissent satisfaire toutes les exigences et perdent du terrain face aux leaders.

Ce nouveau danger s'ajoute à la menace déjà très importante des attaques par rebond, c'est-à-dire qui passent par le réseau informatique d'un fournisseur. Dans la tech française, une vague d'attaques a ainsi touché l'an dernier les entreprises de services numériques, de Sopra-Steria à Umanis. Mais ces derniers assurent que les hackers n'ont pas pu accéder aux données des clients. Sans rassurer tous les directeurs informatiques.


 

-Dark Data, une mine « explosive » pour les entreprises

Jacques Henno

Plus de la moitié des données stockées par les entreprises seraient non répertoriées et non utilisées. L'exploitation de ces données « sombres » exige la mise au point d'outils d'intelligence artificielle toujours plus puissants.

Le pire cauchemar que puisse faire un gestionnaire de données ? Voir son data lake (lac de données) se transformer en data swamp (marais de données) envahi par les dark data (données sombres) ! Traduction ? Encouragés par la baisse régulière du prix du stockage numérique, de plus en plus de grands groupes et d'entreprises de taille moyenne stockent dans un « data lake », situé sur leurs propres serveurs ou dans le cloud, toutes leurs données. Et ce, quels que soient leurs formats : bases de données structurées mais aussi courriels, fichiers Word ou PDF, images, vidéos, enregistrements des appels des clients… Et quelles que soient leurs sources : postes numériques de travail des collaborateurs, objets connectés, logiciels SAS (as a service), CRM pour les relations clients, ERP pour la gestion opérationnelle, réseaux sociaux…

Or toutes les études estiment que plus de la moitié (52 % selon, par exemple, la société californienne Veritas Technologies) des données des entreprises sont en réalité des « dark data », c'est-à-dire des « données non structurées qui ne sont ni utilisées ni analysées, mais simplement stockées au fur et à mesure qu'elles sont générées par l'entreprise et son écosystème », explique Philip Carnelley, vice-président adjoint logiciels et analyses du cabinet d'études IDC Europe. Autrement dit, « ce sont des données sous le radar, qui ne sont pas exploitées ou valorisées par les entreprises », précise Véronique Mesguich, consultante et formatrice, spécialisée dans la veille stratégique. Exemples ? « Les rapports annuels téléchargés par les analystes d'une banque, les multiples versions des contrats échangées par mail au format PDF entre les commerciaux et les clients d'une entreprise et stockés sur les ordinateurs de ces collaborateurs… », illustrent Grégoire Colombet, spécialiste de l'IA pour les services financiers, et Guilhaume Leroy-Meline, expert de la transformation cognitive, tous deux d'IBM France.

Autre possibilité : des données, après avoir été utilisées, tombent dans l'oubli. C'est le cas des informations liées à de nombreux projets de recherche dans des laboratoires universitaires ou des entreprises : si ces travaux sont abandonnés, leurs résultats passent sous le tapis. « Conséquence, dans de nombreux organismes, y compris ceux appartenant au complexe militaro-industriel, on doit réinventer la roue en reprenant les recherches à zéro », constate Bryan Heidorn, directeur du centre pour la société et les études numériques, à l'université de l'Arizona (Etats-Unis), et théoricien des dark data, en particulier dans le monde académique.
 

Meilleure connaissance du client

Pour prouver la valeur financière de ces « Belles au bois dormant » du numérique, Bryan Heidorn leur a appliqué le concept de la « long tail ». D'habitude, cette « longue traîne » prouve que sur Internet, quelques ventes d'un très grand nombre de produits peu connus représentent un marché aussi lucratif que celui des très importants volumes générés par quelques best-sellers. Transposée aux « dark data », la « long tail » montre que l'exploitation et l'interconnexion d'une grande quantité de données sombres constituent une opportunité de croissance, permettant un meilleur management, la généralisation de la maintenance prédictive, une meilleure connaissance client… IDC a chiffré ces gains de productivité à 430 milliards de dollars (365 milliards d'euros).

« Autre exemple de dark data : vos logs de connexion au site web d'une entreprise - quelles pages vous avez visitées, combien de temps vous y êtes restés. Imaginez que l'on puisse les relier à votre carte de fidélité enregistrée sur votre smartphone : on pourrait alors vous identifier, grâce à des capteurs, lorsque vous entrez dans un magasin et vous proposer un parcours client personnalisé, à base de coupons de réduction », s'enthousiasme Raphaël Savy, vice-président Europe du Sud chez Alteryx. Alteryx fait partie avec Alfresco, Blue Prism, IBM, Invenis, M-Files, Splunk et beaucoup d'autres, des éditeurs de logiciels qui ont mis au point des dark analytics, des outils capables, grâce aux progrès de l'IA, de repérer les dark data et de les structurer ou tout au moins d'en reconnaître la nature (un contrat…) et d'en extraire quelques informations : la date du document, les différentes parties prenantes…

Manquements à la compliance

Ce qui peut déboucher sur de mauvaises surprises. « Les dark data constituent aussi des casseroles potentielles tant sur le plan législatif qu'environnemental ou cybersécuritaire », met en garde François Royer, directeur-fondateur de Guanxi Labs, à Toulouse, spécialisé dans l'accompagnement de la transformation numérique. L'examen attentif de ces données peut révéler des manquements graves à la compliance (voir encadré). « Leur stockage sur des serveurs gourmands en climatisation nuit aussi à l'empreinte écologique… », rappelle George Parapadakis, directeur chez Alfresco. Et si des dark data sont piratées, personne ne s'en aperçoit…

Aussi les recherches se poursuivent dans le monde entier, pour gagner en rapidité et en finesse d'analyse. Divesh Srivastava (AT&T Labs Research, Etats-Unis), spécialisé dans l'analyse en temps réel des données, Juliana Freire (université de New York) ou Renée J. Miller (université de Toronto, au Canada) font partie des scientifiques qui explorent des pistes, en amont ou en aval du phénomène. En amont, « une des approches consiste à installer des logiciels d'analyse de données directement sur leurs lieux de stockage, explique Guilhaume Leroy-Meline, d'IBM. Cela permettrait de repérer et de qualifier toute donnée entrante et ainsi de la mettre en lumière. » En aval, l'exploitation croisée des données sombres permettrait de mieux les qualifier. En France, la DGA (Direction générale de l'armement) et l'ANR (Agence nationale de la recherche) financent à hauteur de 700.000 euros le projet « Sources Say » dirigé par Ioana Manolescu, directrice de recherche à Inria et professeur à Polytechnique. « Il s'agit d'extraire très rapidement les entités nommées - personnes, organisations, lieux… - dans des documents non structurés ou structurés, tels que des réseaux sociaux ou des textes, de repérer tous les fichiers qui citent ces mêmes entités et d'établir des liens entre eux pour obtenir plus d'informations sur ces entités », conclut Ioana Manolescu. La chasse aux « dark data » ne fait que commencer.

 

Concepts clés

Données structurées Un exemple classique de données structurées sont les données d'un tableur dont les intitulés des colonnes et des lignes définissent précisément la nature du contenu quantitatif de chaque case. Une base de données structurées peut être assimilée à un immense tableur. Chaque donnée est précisément identifiée et « calculable ».

Données non structurées Ce sont généralement des données qualitatives, de tailles et de formes variables, contenues dans des fichiers textes, des vidéos, des fichiers sons, ou publiées sur les réseaux sociaux…

Données non épurées Ce sont des données dont la valeur n'est pas fiable, à la suite d'une mauvaise méthode de calcul ou de biais méthodologiques.

Dark data Données captées mais non recensées et non utilisées.

Information noire Ce terme est plutôt utilisé en veille stratégique pour désigner une information protégée par le secret, à laquelle seules quelques personnes peuvent accéder et qui peut faire l'objet de tentatives de piratage ou d'espionnage de la part des concurrents.

 

Les risques de la compliance

Le marché de l'identification et de l'analyse des dark data est d'autant plus porteur que ces fichiers non identifiés et non utilisés peuvent constituer de véritables bombes à retardement, s'ils peuvent servir à prouver que leur propriétaire enfreint une législation. C'est le risque de « non-compliance ». « Le RGPD oblige les entreprises à recenser tous leurs fichiers contenant des données à caractère personnel », rappelle Grégory Serrano, directeur commercial et marketing, d'Invenis, un éditeur de logiciels. « Une fois analysées, les dark data peuvent révéler aux dirigeants d'une banque que celle-ci est en relation avec un tiers à risque : par exemple, un armateur qui commerce régulièrement avec des pays sous embargo américain », illustre Thomas Knidler, directeur commercial de Blue Prism (logiciels d'automatisation des processus métiers) pour le secteur bancaire. Si cette relation était portée à la connaissance de l'OFAC, l'organisme américain chargé de l'application des sanctions internationales, la banque pourrait se voir infliger une très lourde amende.

AT1.png
AT11.png
AT14.png
AT13.png
ATELI5.png

Titre 2