Anticiper l’avenir des cyber-attaques grâce à la vigilance “in real life” : Bienvenue dans le futur

Par: Dr. Cécile Wendling, Directrice de la Stratégie de sécurité, de l’Anticipation des menaces et de la Recherche, Mathieu Cousin, AXA Security et Lou-Anne Ducos, AXA Security.  

“Les rumeurs infondées de piratage mettent en danger les multinationales: les médias sociaux désormais sous contrôle gouvernemental” (4 décembre 2023).

Installé à votre bureau dans l’open-space, vous essayez de mettre les bouchées doubles pour pouvoir aller chercher vos enfants à la sortie de l’école. Mais vous n’arrivez pas à vous concentrer: sonneries des téléphones, bourdonnement des conversations, on se croirait dans une cour de récréation. Découragé, vous décidez de rentrer finir votre travail à la maison lorsque vous croisez un de vos collègues dans l’ascenseur: “Tu es au courant?” vous demande-t-il. N’ayant aucune idée de ce dont il vous parle, vous finissez par consulter votre portable et, soudain, tout s’éclaire: Facebook, Instagram, Twitter et TikTok s’enflamment au sujet de votre entreprise.

Un célèbre groupe de cyber-criminels a déclaré avoir piraté votre système pour accéder à toutes vos informations clients, et en a même diffusé certaines sur les réseaux sociaux en guise de preuve. Les hackers laissent 24 heures à votre entreprise pour payer la rançon: dans le cas contraire, ils publieront toutes les informations dont ils disposent. C’est un vrai cauchemar: vous venez de passer six mois à travailler sur une importante fusion-acquisition, le régulateur a donné son feu vert, cette opération qui doit changer la donne de l’économie nationale était sur le point d’aboutir. Votre entreprise connaît l’existence des cyber-attaques, elle aurait dû s’y préparer, surtout en ce moment crucial. Au bord de l’exaspération, vous cherchez à en savoir plus auprès de votre direction. Tous sont unanimes: aucune cyber-attaque n’est en cours, il s’agit d’une fake news. Vous vous dites avec soulagement que le service des relations publiques n’a plus qu’à communiquer cette bonne nouvelle.

Mais c’est trop tard: le cours de l’action de votre entreprise a déjà commence à chuter. Le premier communiqué officiel, indiquant que “l’entreprise enquête sur une éventuelle violation”, et le second, affirmant que les “échantillons” rendus publics par les hackers étaient de fausses informations, passent complètement inaperçus. Personne n’y prête attention, et la panique l’emporte sur la raison. Ce n’est qu’à la fin du délai imparti pour payer la rançon, lorsqu’on se rend compte que les hackers n’ont pas bougé, que tout le monde finit par comprendre qu’il s’agissait d’une supercherie. Mais cette affaire a coûté cher à l’entreprise, et votre fusion-acquisition est grandement compromise.

Le gouvernement, qui vous soutenait dans ce projet de fusion-acquisition, décide de prendre des dispositions pour qu’un tel scénario ne se reproduise pas. Dans un premier temps, tous les réseaux sociaux sont soumis à des mesures restrictives et de nombreux utilisateurs voient leurs comptes fermés sans préavis. Même si vous comprenez la raison de ce durcissement, vous vous endormez en vous demandant quel sera l’avenir de votre liberté d’expression. 

“In real life”

Ce scénario pourrait déjà s’envisager aujourd’hui, et devenir une réalité dans les mois et les années à venir. La désinformation est en effet une préoccupation croissante pour les acteurs du secteur public comme du secteur privé. Selon Europool, les réseaux sociaux favorisent “la prolifération de la désinformation et des théories conspirationnistes[1]”. A titre d’exemple, les récentes cyber-attaques russes, dont l’objectif était de s’immiscer dans les élections américaines par le biais des réseaux sociaux[2], soulignent l’influence grandissante de ces plateformes sur nos opinions et nos comportements. Par ailleurs, au-delà des coûts directs, les cyber-attaques entraînent des coûts indirects ou accessoires non négligeables, comme l’érosion de la marque, la perte de confiance des clients, des partenaires ou des investisseurs.  Selon les conclusions de l’enquête mondiale menée depuis 2016 par le Ponemon Institute sur les violations de données, le coût moyen des atteintes à la réputation représente plus de 40 % de l’ensemble des coûts[3].

Pour limiter l’impact des fake news, le risque de réputation (ou risque d’image) tend à devenir une partie intégrante des stratégies d’entreprise. Il inclut notamment la détection rapide des tentatives de désinformation via la surveillance des réseaux sociaux, ainsi que la mise en place d’un plan de communication grâce au contrôle centralisé de tous les canaux de communication de l’entreprise et des moyens dont disposent le public et la presse pour vérifier les informations qui circulent. 

Les fake news peuvent également affecter les individus, avec des conséquences très diverses. A ce jour, la sensibilisation reste l’un des meilleurs moyens de s’en prémunir.

“Le changement climatique entraîne la paralysie de tout le système de santé à travers le pays” (15 septembre 2022)

Cela fait 45 minutes que vous patientez dans la salle d’attente de votre médecin. Vous avez eu le temps de lire tous les magazines empilés sur la table basse. Pour passer le temps, vous consultez les dernières actualités sur votre portable. Manifestations contre les réformes du travail... Croissance économique à la traîne... Un article sur les catastrophes naturelles attire votre attention: des incendies sont en train de ravager des quartiers entiers à l’ouest, tandis qu’à l’est un ouragan dévastateur fait suite aux récentes inondations. Rien de vraiment surprenant, pensez-vous, puisque le changement climatique provoque partout d’importants dégâts.

Votre médecin finit par vous faire entrer dans la salle de consultation. Vous sentez tout de suite que quelque chose ne va pas. Il vous explique que, depuis ce matin, il n’arrive à avoir accès à aucun de ses dossiers, car tout le système médical est en panne. “Mais comment est-ce possible?” lui demandez-vous. Il se met alors à vous parler de catastrophes naturelles et de centres de traitement des données. A un moment, vous êtes obligé de l’interrompre: vous ne voyez pas le rapport entre les catastrophes naturelles et l’évaporation de vos données médicales. Il vous demande si vous avez entendu parler des incendies dans le sud-ouest et du récent ouragan survenu sur la côte Est, et vous répondez fièrement que vous venez justement de lire un article détaillé sur leurs conséquences sur les infrastructures du pays. Cependant, ce que vous ne saviez pas, c’est que plusieurs des principaux centres de traitement des données ont été détruits, empêchant une partie du pays d’accéder à certaines données médicales. Vous réalisez alors, pour la première fois, à quel point notre monde numérique est dépendant des structures matérielles.

Même si les conséquences de cet incident ne sont pas gravissimes en ce qui vous concerne, vous ne pouvez vous empêcher de penser aux patients en attente de soins urgents et aux répercussions dévastatrices de ces catastrophes climatiques sur l’ensemble du corps médical. Qu’allons-nous devenir si les secteurs vitaux de notre société peuvent être mis hors service à tout moment en raison d’incidents matériels?  ?

“In real life”

Ce scénario pourrait déjà s’envisager aujourd’hui, et devenir une réalité dans les mois et les années à venir. Nos infrastructures les plus critiques sont menacées par des attaques malveillantes, comme les ransomwares lancés en mai 2021 à l’encontre de l’un des plus importants pipelines américains et contre le système de santé irlandais, et c’est sans compter avec la menace physique qui pèse aussi sur eux en raison du changement climatique. L’augmentation du nombre de catastrophes naturelles a poussé l’Information Security Forum (ISF) à reconnaître l’existence de “perturbations et dommages majeurs causés aux systèmes et matériels informatiques après la survenue d’une catastrophe naturelle” comme l’une des principales menaces pour l’année 2022. Les cas de pannes et d’attaques contre les infrastructures critiques, notamment cyber et interconnectées, sont amenés à devenir de plus en plus fréquents et doivent donc faire l’objet de la plus grande vigilance.

Outre la mise en place de mesures proactives pour lutter contre le changement climatique à l’échelle mondiale, les responsables et les usagers de ces infrastructures critiques peuvent limiter l’impact des cyber-risques et des risques naturels en sécurisant l’accès à distance, notamment par le biais de la protection des points de terminaison, d’une utilisation judicieuse des mots de passe et des protocoles de sécurité, ou encore par le recensement actualisé et précis du matériel et la détection de la moindre anomalie. Il est également conseillé de dupliquer les données et de les stocker à différents endroits pour éviter leur perte, comme lors de l’incendie de la société française de services OVHcloud en mars 2021.

“Grâce à une IA artisanale, des hackers s’emparent de plusieurs millions de dollars lors du cyber-braquage d’une grande banque” (21 juin 2028)

Rien ne vous destinait à cette voie professionnelle, mais la crise économique, les désillusions et la nécessité de subvenir aux besoins de votre famille ont fait de ce job une opportunité à ne pas manquer. Lorsque votre ami vous a parlé de ce poste, vous avez hésité, convaincu de ne pas posséder les compétences en informatique requises, mais il vous a promis que ce serait facile et il avait raison. Aujourd’hui, vous gagnez plus d’argent que vous ne l’auriez jamais imaginé, en lançant simplement des cyber-attaques contre des entreprises ayant pignon sur rue.

L’intelligence artificielle permet désormais d’automatiser les cyber-attaques, qui n’exigent plus un niveau de compétence très élevé. Des gars que vous avez rencontrés sur le dark web vous ont expliqué comment accéder à l’outil dont vous aviez besoin. Vous faites partie d’une équipe de 30 personnes, chacune avec sa propre spécialisation, et votre nouvel emploi ne vous paraît finalement pas si différent du précédent. Aujourd’hui, votre mission consiste à utiliser un puissant outil d’IA contre un organisme bancaire. Vous savez que vous allez être confronté à leur dispositif “Endpoint Detection and Response”, capable en théorie de détecter les menaces directement sur les systèmes d’information, mais qu’importe: l’outil dont vous disposez est assez efficace pour le contourner. Il détecte rapidement les failles de sécurité informatique passées inaperçues par l’éditeur du logiciel ou le fournisseur du service, ces fameux “zero-days”, et vous permet de les trier et de les exploiter, rendant ainsi inutiles les systèmes de protection des banques. Grâce à l’automatisation, l’IA accélère également la rapidité des cyber-attaques: ce soir encore, vous allez pouvoir rentrer plus tôt chez vous.

Tout ce que vous avez à faire, c’est de lancer l’attaque; l’intelligence artificielle se chargera du reste. IA contre IA, c’est la vôtre qui a gagné. Vous avez repéré cinq failles dans le système, qui vous permettront de voler des données, de les revendre ou de les utiliser pour mettre au point de nouvelles cyber-attaques. Vous n’auriez jamais cru que les data vous rendraient riche, et pourtant elles sont bel et bien devenues les nouveaux puits de pétrole.

“In real life”

Ce scénario pourrait se produire dans les mois et les années à venir, car les attaques élaborées grâce à l’IA peuvent prendre des formes très diverses, de la conception d’une  attaque basée sur la vitesse de la compromission des postes informatiques, jusqu’à l’imitation des communications conventionnelles, en passant par le masquage des attaques en cours.

L’IA permet également d’accéder à des outils de surveillance contre les cyber-attaques: scans, analyses, et même automatisation de la réponse pour contrer le plus vite possible une cyber-attaque. Le perfectionnement continu des systèmes de cyber-sécurité et la recherche des failles potentielles contribuent aussi à limiter l’impact des attaques basées sur l’IA. On assiste actuellement à la mise en place de cyber-écosystèmes au sein des différents secteurs ou chaînes économiques en vue de faciliter le partage d’informations relatives aux cyber-attaques.

“Une cyber-attaque utilisant l’informatique quantique anéantit l’espoir d’une société automobile de dominer le marché. Les experts affirment qu’elle n’était ‘pas du tout préparée’”. (5 novembre 2031)

Demain est un grand jour pour l’équipe technique dont vous faites partie: votre entreprise lance une nouvelle série de voitures équipées de technologies révolutionnaires qu’aucun de vos concurrents ne maîtrise. Après des années de travail, vous avez bien mérité de fêter ça; vous plaisantez entre collègues sur les millions que vous allez bientôt empocher. Aujourd’hui, rien ne pourrait gâcher votre joie.

Mais l’un de vos collègues vient vous prévenir que le PDG a besoin de vous parler de toute urgence: votre principal concurrent vient d’annoncer le lancement d’une nouvelle gamme de véhicules en tous points similaires aux vôtres. Vous n’en croyez pas vos oreilles, car cela fait 15 ans que vous travaillez dans le plus grand secret pour déveloper ces technologies. Comment ont-ils pu concevoir exactement le même modèle et, pire encore, avec un jour d’avance sur vous? Les notifications s’accumulent sur votre téléphone et vous êtes bien obligé de vous rendre à l’évidence. Furieux, vous réunissez vos équipes: “Nous avons été espionnés! Comment avez-vous pu laisser faire cela?”

L’un de vos collaborateurs, surpris, assure que toutes les informations confidentielles ont pourtant été cryptées selon la procédure. Un peu à l’écart, un jeune stagiaire du service informatique semble un peu embarrassé. Lorsque vous lui demandez son avis sur la situation, il vous explique que votre concurrent a peut-être réussi à détruire vos protocoles et algorithmes cryptographiques grâce à l’informatique quantique. Il avoue avoir été assez étonné, au début de son stage, de constater que vous n’utilisiez aucune solution de cryptage des données résistant à la technologie quantique.

Vous réalisez à ce moment-là que vous avez effectivement entendu parler d’un algorithme de cryptage de ce genre il y a quelques mois; mais il coûtait très cher et vous ne vous attendiez pas à ce que la technologie quantique devienne une vraie menace avant plusieurs décennies. Quelques années plus tôt, le data center de votre fournisseur informatique a été cambriolé; parmi les nombreux serveurs dérobés, certains vous appartenaient.  Grâce aux centres de données de backup, qui permettent de dupliquer les données et de les localiser ailleurs, cela n’a pas affecté vos activités et, à l’époque, les enquêteurs et les consultants vous avaient assuré qu’il faudrait au moins 100 ans pour décrypter ces données volées. En faisant confiance à ces prévisions, vous avez commis une erreur qui va vous coûter 15 ans de travail et, sans doute, votre place de leader sur le marché.

“In real life”

Tous les experts ne s’accordent pas sur le moment où les différents champs que recouvre l’informatique quantique atteindront une maturité suffisante pour être utilisés par le grand public, mais cette technologie pourrait déjà porter ses fruits dans les 10 prochaines années. Les importantes répercussions de l’informatique quantique sur la cyber-sécurité exigent que l’on s’y prépare dès maintenant. En effet, les ordinateurs quantiques et certains algorithmes, pour le moment sécurisés, pourraient briser les protocoles cryptographiques dans un délai assez raisonnable et sans efforts démesurés. En outre, il est probable qu’un grand nombre de structures, des gouvernements jusqu’aux organisations criminelles, stockent actuellement des données cryptées qu’elles ont interceptées, dans l’intention d’en forcer le cryptage le moment venu.

Il est cependant indéniable que les technologies quantiques ont également permis des progrès incontestables en matière de cyber-sécurité, grâce à la cryptographie post-quantique et à la sécurité quantique physique. En évoluant vers un cryptage quantique plus résilient et en surveillant toutes les violations de données pouvant être utilisées contre une organisation si elles étaient déchiffrées, le risque quantique pourrait être significativement atténué. 

À propos des auteurs

Le Dr. Cécile Wendling est Directrice de la Stratégie de sécurité, de l’Anticipation des menaces et de la Recherche chez AXA. Auparavant, elle était Directrice de la Prospective du groupe et chercheuse associée en sociologie des risques et des catastrophes au Centre de sociologie des organisations (CNRS - Sciences Po Paris). Elle est titulaire d’un doctorat sur la gestion des crises au niveau de l’UE délivré par l’Institut universitaire européen, et donne des conférences sur les méthodes de prospective et la gestion des risques et des crises, entre autres thématiques.

Mathieu Cousin dirige les activités d’Anticipation des menaces chez AXA Security depuis le 1er janvier 2020. Avant de rejoindre le groupe en août 2016 au titre de chercheur en sécurité dans l’équipe Stratégie, Architecture et Recherche, Mathieu a occupé durant quatre ans le poste d’analyste en recherche et chercheur dans le domaine de la sécurité.  

Etudiante en master Relations internationales à Sciences Po Saint-Germain-en-Laye, Lou-Anne Ducos est depuis mars 2021 analyste stagiaire en Sécurité au sein de l’équipe d’Anticipation des menaces du groupe AXA Security.