La montée en puissance de la cyber criminalité

Cyber-day c’est 8 conférences, 5 master-class et 4 ateliers sur le thème de la cyber sécurité organisée par Veille Magazine chaque année. L’édition 2019 s’est déroulée dans les locaux de l’école de guerre économique (EGE) et s’est achevée sur un constat sans appel : la cyber criminalité augmente et se diversifie de façon conséquente depuis le début des années 2010 pour atteindre aujourd’hui un triste record. 87% des grandes entreprises et grosses PME disent avoir été touchées en 2018 par au moins une cyber-attaque ayant une réelle répercussion sur leur activité. Les chiffres communiqués par Alain Bouillé du Cesin établis avec OpinionWay sont édifiants.

La malveillance est dans l’air du temps. On pense bien sûr aux dégradations orchestrées sur la voie publique ou sur les biens privés par ceux qui inscrivent des tags hideux ou rayent au diamant les vitres d’un RER tout neuf, juste pour montrer qu’ils peuvent nuire à la société. Il en est de même de ceux qui incendient des voitures, détruisent des devantures de magasins lors des manifestations, là aussi pour défier la société. Cette malveillance devient un état commun. Quand un individu n’a pas les compétences ou la possibilité de s’exprimer par la construction, il le fait par la destruction, il active sa capacité de nuisance, c’est sa manière d’exister. Et nous savons pertinemment qu’il faut beaucoup d’efforts pour construire alors que détruire est si facile.

Ce climat de malveillance devenue conventionnelle, associé à un sentiment d’impunité induit par le laxisme des états, créé des vocations. Le milieu de l’informatique n’échappe pas à ce fléau, c’est même un milieu particulièrement favorable comme le montre Philippe Chabrol d’Affinis Conseil au cours des audits de sécurité qu’il mène auprès des entreprises révélant les nombreuses menaces contrées. En effet, un hacker dispose de moyens bons marchés, il suffit d’un ordinateur. Il dispose d’une capacité d’action mondiale, une cyber-attaque peut concerner des milliers d’entreprises en une fois. Et enfin il dispose de techniques permettant de se camoufler derrière des serveurs faisant office d’écrans. Et là il ne s’agit plus de petits voyous, il s’agit d’ingénieurs informaticiens parfaitement conscients de leurs actes.

La violence des black box, mais aussi celle des terroristes et des intégristes de tout poil, ou celle des hackers sont de même nature et dirigées vers la même cible : nos institutions et nos entreprises qui constituent notre espace de vulnérabilité.

Le rôle des états

Cela fait une trentaine d’années que l’on parle de cyber-attaque et une dizaine que l’on parle de cyber-arme. Il ne faut pas être naïf, les moyens techniques mis en œuvre pour concevoir, déployer et exploiter des cyber-armes du niveau de celles qui circulent, révèlent le rôle prégnant des états comme le rappelle Emmanuel Meneut expert et enseignant en cybersécurité.

On voit même des états mettre en œuvre des cyber-armes dirigées contre des entreprises d’autres états, en atteste les condamnations aux USA à l’encontre de dignitaires chinois accusés d’avoir fomentés des cyber-attaques contre des entreprises américaines. Il ne fait aucun doute que des actions soient orchestrées potentiellement par tout état envers d’autres états du monde y compris ceux réputés amis.

Nous sommes véritablement entrés dans une cyber-guerre où se mêlent aux petits hackers individuels, de gros acteurs privés et des états dans un feu d’artifice de malveillances.

Se protéger

La première réaction pour se protéger est naturellement de se doter de moyens de lutte contre les cybermenaces. Il faut les détecter et les éradiquer. Dans ce domaine de nombreuses solutions existent mais au fil des conférences cyber-day on comprend que ces moyens de protection sont nécessaires mais insuffisants. Les éditeurs, s’ils veulent opérer aux Etats Unis, ont par exemple l’obligation de « laisser passer » les investigations émises par les autorités américaines. L’attitude consistant à se croire protégé et abaisser sa garde peut être fatale à une entreprise.

Pour amoindrir le risque, les entreprises empilent les couches de protection en sélectionnant des outils créés par différents éditeurs. Elles évitent ainsi une grande quantité de cybermenaces identifiées et dont la probabilité et la criticité ne sont pas simultanément importantes. Mais les vraies cyber-attaques orchestrées par des organisations malveillantes puissantes ne sont pas concernées par ces filtres.

Le principal risque face à ces cyber-armes réside dans le comportement des hommes comme le rappelle Victor Waknine de Mozart Consulting. Il peut s’agir d’employés inattentifs ou complices, ou bien de visiteurs indélicats ou inconscients du danger dont ils sont le véhicule.

Détecter des personnes à risques

Nous avons été chargés d’animer un workshop au cours duquel nous avons présenté notre processeur d’intelligence artificielle différenciative « newrails » conçu par m8 sarl et développé par cleverm8, destiné à révéler des traits de personnalité des acteurs de l’entreprise. Ce processeur, dans le cas d’une application à la cybersécurité, permet de détecter des profils à risques.

Nous avons présenté les résultats d’une analyse effectuée auprès d’une entreprise mettant en évidence que des collaborateurs déjà sensibilisés révélaient des attitudes risquées ou crédules pour plus de la moitié d’entre eux. Une attitude risquée est par exemple l’ouverture d’un mail de phishing, une attitude crédule est par exemple l’excès de confiance accordée dans un firewall.

Point n’est besoin de solliciter les employés sur le sujet même de la cybersécurité pour évaluer le risque qu’ils représentent. Au contraire ce sujet les placerait dans un mode connectant leur champ de conscience aux procédures apprises et ne testerait que leurs connaissances. L’investigation effectuée par « newrails » se mène sur des sujets anodins faisant entrer les employés en résonnance par rapport a des attitudes qu’ils sont susceptibles de reproduire face à des cybermenaces.

L’intelligence artificielle différenciative, parce qu’elle s’intéresse aux singularités plus qu’aux catégories, permet de mieux cerner chaque personnalité. Et ce, afin de disposer des informations utiles pour accompagner les employés individuellement dans un parcours de sécurisation de leurs attitudes ou pour les affecter à des postes moins exposés aux cybermenaces.

Respecter quand même la GDPR

La tâche est difficile comme nous le rappelle Alexandre Diehl du cabinet Lawint, chaque entreprise doit aussi définir précisément les limites de ses actions, y compris en matière de suivi des activités de son personnel. Les référentiels de compliance, tel le GDPR, sont constitués de règles, d’un régulateur et de sanctions. Ils sont contraires aux principes judiciaires basés sur l’avis d’un juge exprimé au terme d’une procédure longue pouvant atteindre une dizaine d’années dans les faits. Le non-respect de la compliance est audité rapidement (2 mois environ), est fortement sanctionné et touche généralement aussi la responsabilité personnelle du dirigeant. Il n’est donc pas question pour une entreprise de ne pas rester dans le cadre strict de la compliance.

Cette disposition peut apparaitre comme un handicap pour les sociétés européennes devant respecter un cadre auquel leurs concurrentes ne seraient pas contraintes. Il s’agit plutôt d’une arme protégeant l’Europe et permettant de condamner des entreprises étrangères agissant sur le territoire européen en ne respectant pas nos directives, en témoigne les sanctions prononcées récemment à l’égard de certains des GAFAM.

La compliance est une pratique anglo-saxonne qui a fait ses preuves. Pourquoi ne pas l’appliquer aux cyber-attaques ? En établissant un référentiel excluant les pratiques malveillantes sur le net, il serait possible de sanctionner les individus, les entreprises et les états, agissant contre les intérêts de nos entreprises et institutions. Le véritable défi est de détecter les véritables auteurs des cyber-attaques. Or le cyberespace a justement été créé sur des principes d’anonymat et d’opacité qui ont contribué à son essor mais dont on mesure aujourd’hui aussi les effets nocifs.

Jean Pierre MALLE