Y a-t-il au fond un risque réel ou est-on plutôt dans la paranoïa exagérée ?
Les entreprises de par le monde qui vivent en dehors de tout environnement informatique, comme les gens d’ailleurs, sont toujours moins nombreuses puisque, aujourd’hui, depuis le petit commerce jusqu’à la grande industrie, à des degrés et pour des besoins divers, les ordinateurs sont absolument partout ! Il en résulte que le monde économique est devenu un vrai vivier pour tous ceux qui gravitent dans ces métiers, d’abord parce qu’il faut s’équiper, ensuite parce qu’il faut entretenir et réparer un matériel dont l’obsolescence apparaît parfois au bout de deux ou trois ans seulement…
C’est comme ça, c’est l’ère des nouvelles technologies dont chacun sait que le spectre d’utilisation est nécessairement limité. On s’y habitue, point. Par contre, on s’habitue moins bien à la criminalité qui accompagne désormais l’évolution informatique. Les journaux s’en délectent, certes, mais personne ne s’en réjouit. D’autant que, vous le savez, l’actualité regorge de ces récits (de plus en plus) médiatisés – souvent inquiétants ! – qui relatent l’aventure parfois dramatique d’entreprises paralysées, ou presque, par ce que l’on nomme communément des cyberattaques. Le phénomène n’est pas vieux. Mais il se répand, il s’amplifie même depuis deux ou trois ans au point d’inquiéter tout le monde, absolument tout le monde. Et vous, la cybercriminalité, ça vous parle ?
Cybercriminalité quesako ?
Concrètement, la question que de plus en plus de gens se posent est de savoir si nous faisons en fait face à une dérive des médias en quête de sensations, ou si nous vivons plutôt hélas un phénomène illustrant les changements profonds auxquels les sociétés et les citoyens font face. Pas facile de se positionner sur un tel sujet, n’est-ce pas ! Sauf à se replonger dans l’histoire récente de la fameuse cybercriminalité, en remontant à l’époque qui a précédé la crise d’il y a une douzaine d’années. C’est en 2007 en effet que les experts ont identifié, pour la première fois, une croissance significative de la quantité de programmes malveillants. Pour tout dire, cette année-là, la croissance en question est même vite devenue exponentielle puisqu’on est passé de 167.000 attaques en 2006 à 700.000 en 2007, rien que ça ! Evidemment, au regard des chiffres actuels (on estime aujourd’hui qu’il faut tabler sur au moins 150 millions de nouveaux codes malveillants par an(1) !), c’était alors le temps de la petite criminalité désorganisée…
Il y a une douzaine d’années…
Pourtant, en juin 2010, le monde se réveille déjà un peu groggy en apprenant qu’un virus a été introduit dans une centrale(2) d’enrichissement d’uranium en Iran. À l’époque, cette annonce et les dégâts très graves causés aux centrifugeuses des centrales inquiètent le citoyen lambda qui n’imaginait aucunement qu’une quelconque attaque informatique pouvait mettre sa vie en danger. Pour la première fois, les médias relatent alors qu’une cyber-attaque a été menée, avec des impacts potentiels sur la vie des êtres humains, une attaque qui touche ce qu’on appelle de nos jours « les objets connectés » !
Rançons !
En janvier 2015, « The Economist », hebdomadaire bien connu de la presse économique anglo-saxonne, publiait un article intitulé : « Your money or your data »(3), faisant référence à une « cyber-attaque » d’un genre nouveau : les ’ransomware’ ou ‘rançonlogiciels’ ! On est aux prémices d’un nouveau genre, mais le monde va vite comprendre que les individus malveillants sont prêts à tout et bien équipés. Ce type d’attaque se répandrad’ailleurs bien vite comme un fléau, faisant de nombreuses victimes aux quatre coins du monde, y compris encore en 2020(4) (l’entreprise Picanol a ainsi fait la une en ce début d’année(5))…
Des listes oui… mais qu’en faire ?
Pour les spécialistes, il en résulte non seulement que l’environnement a changé, mais surtout que la cybercriminalité s’est organisée. Face à un tel phénomène, il convient donc de répondre de manière structurée, logique et en déployant des outils adaptés. Malheureusement, les réponses aux attaques n’ont pas été aussi méthodiques. Ainsi, alors qu’on estime qu’au moins 4 attaques sur 10, depuis 2015, sont non référencées(6) – c’est-àdire qu’elles émanent de sources inconnues ! – les solutions IT adoptées par les entreprises et les organisations pour les contrer sont, elles, toujours basées sur le concept de la liste noire (fortement utilisée par les programmes antivirus traditionnels) ! Un peu comme si des pompiers tentaient d’éteindre un feu de forêt avec des bouteilles d’eau…
Quid du « Cloud Computing » ?
Pour faire court, nous dirons que les entreprises qui ont migré vers l’informatique sans se rendre compte des dangers qui pouvaient les menacer – parce que trop occupées, parce que mal conseillées, parce que non conscientes des armes des cybercriminels – n’ont en fait aucunement adopté les mesures de sécurité adéquates. Ce qui a fait le jeu des malfrats en tous genres, qui ont dès lors commencé à multiplier les actes malveillants en développant une nouvelle arme quasi infaillible, surtout vis-à-vis de gens non protégés: le « hacking » – traduisez piratage – à grande échelle(7&8).
Cela coûte beaucoup d’argent !
Pour faire face à cette guerre, car c’en est une, il faut absolument que les patrons d’entreprise et les utilisateurs de tout poil prennent enfin conscience du risque qu’ils encourent. Non, le piratage informatique n’est pas réservé aux grandes entreprises, non il ne se limite pas aux Etats-Unis ou aux grands pays, non il n’est vraiment pas anodin. Et si les conséquences d’un piratage peuvent être catastrophiques, elles sont au moins toujours pénalisantes… et coûtent (beaucoup) d’argent. Alors, autant se protéger, autant prévenir le risque, autant anticiper. Dans ce cadre, un audit de sécurité est à coup sûr la première étape à mettre en oeuvre. Il ne solutionne rien d’emblée, mais au moins permet-il de mettre en lumière les forces et les faiblesses rencontrées. Il fournira aussi, vous vous en doutez, les recommandations quant à la situation… avec les pistes d’amélioration ad hoc. Dans certains cas, l’audit permettra même de mettre en lumière des phénomènes curieux, voire inquiétants, qui existent sur le réseau et mettent en danger l’organisation.
Le danger menace tout le monde… et partout !
Cette première étape permettra donc de prioriser les actions et de mobiliser un budget adéquat pour faire face à un des risques les plus sous-estimés, surtout par les PME. Pour remédier à ces situations délicates, la Wallonie accorde des subsides qui permettent de financer au minimum 50 % des frais d’accompagnement, démontrant que nos Autorités ne sont pas insensibles aux dangers qui guettent le monde économique. Parce qu’aujourd’hui, au niveau informatique, c’est là que le bât blesse et pas ailleurs. En effet, le chiffres le prouvent, les plus vulnérables de nos entreprises sont bel et bien les TPE et PME qui ne soucient que trop peu de la sécurité informatique et n’anticipent aucunement les affres d’une cyber-attaque qui leur semble à la fois improbable et peu réaliste.
Anticiper !
Que feriez-vous, demain, si une attaque ciblée venait à toucher votre serveur paralysant votre activité, mettant à mal votre fonctionnement en posant le grappin sur vos données administratives, comptables et financières, bref vous contraignant à devoir tout arrêter en échange d’une somme conséquente en bitcoins ? Est-il envisageable, pour une quelconque organisation qui cherche toujours la performance, d’oser ainsi naviguer sans protection en comptant sur la chance ? Non, convenons-en ensemble, il n’est même pas possible d’envisager les choses de la sorte. Il est donc temps d’agir, rapidement même, en embrassant le conseil de Sun Tzu dans « L’Art de la guerre » : « Qui connaît son ennemi comme il se connaît, en cent combats ne sera point défait ! Qui se connaît, mais ne connaît pas l’ennemi, sera victorieux une fois sur deux ! Qui ne connaît ni son ennemi ni lui-même est toujours en danger… »
En collaboration avec Grégorio Matias (MCG -www.mcg.be)
1-Symantec : Internet Security Threat Report 2018, February 2019.
2-Symantec, February 2011 : W32.Stuxnet Dossier – Version 1.4.
3-The Economist, Ransomware – Your Money or Your Data, 17 janvier 2015.
4-Datanews : Une cyber-attaque en cours chez l’intégrateur IT belge SPIE ICS, 27 janvier 2020 (article on-line)
5-Echo : Picanol au point mort une semaine à cause d’une cyber-attaque, 15 janvier 2020.
6-Echo : Picanol au point mort une semaine à cause d’une cyber-attaque, 15 janvier 2020.
7-https://www.theguardian.com/business/2017/sep/25/deloitte-hit-by-cyber-attack-revealingclients-secret-emails – 25 September 2017
8-IT for Business, Cloud & Sécurité – Beaucoup de Progrès à faire, avril 2019.