La cybersécurité : un problème mondial qui nécessite une réponse mondiale

Les gouvernements du monde entier sont préoccupés par les risques croissants de cyberattaques contre leurs infrastructures critiques. Récemment, les agences de cybersécurité des pays de l'alliance "Five Eyes" averti d'une éventuelle recrudescence de ces attaques « en réponse aux coûts économiques sans précédent imposés à la Russie » suite à l'invasion de l'Ukraine par ce pays. 

L'avis notait que "certains groupes de cybercriminalité ont récemment promis publiquement leur soutien au gouvernement russe", la menace de telles cyber-opérations venant "en représailles à des cyber-offensives perçues contre le gouvernement russe ou le peuple russe". 

Selon Andy Garth, responsable des affaires gouvernementales d'ESET, une telle activité est "un problème mondial avec les acteurs étatiques et leurs mandataires, certains États étant disposés à fournir des refuges sûrs dans lesquels les groupes criminels peuvent opérer en toute impunité".  

«Dans le cas du conflit ukrainien, certains groupes criminels se livrent désormais au cyberespionnage, prétendument à la demande de leurs hôtes russes. En effet, il est également prudent de se préparer à une augmentation des incidents de cybersabotage et de perturbations à mesure que les cyberattaques s'ajoutent à la boîte à outils de représailles et que le risque de débordement augmente », explique Garth. Il existe également un risque accru de conséquences inattendues lorsque des groupes d’autodéfense entrent dans la mêlée des deux côtés. 

Une nouvelle approche de la cyber-résilience 

Avant l’invasion, les gouvernements du monde entier envisageaient déjà des stratégies de cybersécurité pour contrer les cybermenaces toujours croissantes émanant d’acteurs étatiques et de groupes criminels. Mais les nouveaux risques perçus par les gouvernements depuis février alimentent une nouvelle urgence de renforcer la cyber-résilience. 

Le 15 Marsth, le président américain Joe Biden signé le Strengthening American Cybersecurity Act de 2022, obligeant les entreprises gérant des infrastructures critiques à signaler les cyberattaques importantes au Agence de cybersécurité et de sécurité des infrastructures (CISA) dans les 72 heures et tout paiements de ransomware dans un délai d'un jour. Plus qu'une simple loi sur la divulgation, le nouveau règlement vise à faire passer la perception d'une cyberattaque d'une entreprise privée à une menace publique. Cette législation s'inscrit dans une tendance, suite à la Attaque du pipeline colonial en mai 2021 lorsque le président Biden signalé un nouveau rôle pour la cybersécurité et a demandé une approche pangouvernementale des cybermenaces. 

Outre de nouveaux pouvoirs, la CISA devrait également voir son budget passer l'année prochaine à 2.5 milliards de dollars, ce qui est 486 millions de dollars supplémentaires par rapport au niveau de 2021. En plus de cela, Biden facture d'infrastructure alloue 2 milliards de dollars à la cybersécurité, dont 1 milliard de dollars est affecté à l'amélioration de la cybersécurité et de la résilience des infrastructures critiques. 

En parallèle, l'Union européenne a suivi une voie similaire avec plusieurs nouvelles directives et réglementations et des financements supplémentaires visant notamment à renforcer la cyber-résilience de l'UE et le rôle des institutions européennes, ainsi qu'à faciliter une plus grande coopération entre les organes des États membres. Sur le plan opérationnel, en réponse à l'invasion russe, l'UE a déployé pour la première fois le Équipe de réponse rapide cybernétique pour aider l'Ukraine à atténuer les cybermenaces. 

La proposition de l'UE Directive NIS2 vise à renforcer les exigences de sécurité, à assurer la sécurité des chaînes d’approvisionnement et à rationaliser les obligations de déclaration. NIS2 élargit également considérablement le champ d’application des entités critiques relevant d’exigences obligatoires de sécurité de haut niveau. Des secteurs tels que la santé, la R&D, l’industrie manufacturière, l’espace ou les « infrastructures numériques », y compris les services de cloud computing ou les réseaux publics de communication électronique, nécessiteront désormais des politiques de cyber-résilience plus fortes. De même, la Commission européenne propose une nouvelle législation axée sur le secteur financier, Loi sur la résilience opérationnelle numérique (DORRA) ainsi que le Les appareils IoT avec le Cyber ​​Resilience Act, qui sera présenté après l'été. 

La nécessité d'un partage des renseignements et d'une coopération plus étroite dans la détection des menaces est également l'objectif sous-jacent du projet Unité conjointe cyber de l'UE, qui vise à protéger les infrastructures critiques de l'UE contre les cyberattaques. Bien que son le rôle et la structure exacts sont encore en cours de décision, il devrait avoir un caractère opérationnel qui assurers un meilleur échange de renseignements sur les menaces de cybersécurité entre les États membres, la Commission européenne, l'ENISA, le CERT-EU et le secteur privé.  

La Commission a également proposé de nouveaux règlements pour renforcer le CERT-EU, transformant la structure en «Centre de cybersécurité», dans le but de renforcer les postures de sécurité des institutions de l'UE. 

Garth souligne que ces efforts constituent une « reconnaissance au sein des gouvernements (et des institutions européennes) de l’ampleur du défi que représente la protection des actifs numériques des États-nations contre les cybermenaces croissantes et évolutives ». Il souligne la nécessité d’une « approche pansociétale et de partenariats avec le secteur privé en son cœur », « aucun gouvernement ne peut faire face seul à ces menaces ». citant le Stratégie nationale de cybersécurité du Royaume-Uni 2022 où ce type de collaboration peut être observé dans des domaines tels que l’éducation, le renforcement de la résilience, les tests et la réponse aux incidents. 

Mais à quels risques les gouvernements sont-ils confrontés ? 

Les gouvernements ont une particularité unique : ils stockent toutes les données concernant leur activité ainsi que celles de leurs citoyens. Ils constituent donc une cible des plus souhaitables. Cette menace commune contre les États est amenée au niveau des Nations Unies à convenir de zones « interdites » dans lesquelles les cyberopérations ne devraient pas être menées, comme les systèmes de santé. La réalité a divergé de celle-ci, avec une cybercontestation en cours entre les grandes puissances et des accords [non contraignants] à UN niveau étant ignoré. 

Ces concours jouer dans la "zone grise" où les États peuvent s'engager sous la prémisse d'un déni plausible et d'un jeu constant du chat et de la souris dans le domaine du cyberespionnage, y compris le vol d'informations et les attaques contre des infrastructures critiques, provoquant parfois des perturbations réelles dans le monde des pays entiers. Des cas récents tels que l'utilisation du logiciel espion Pegasus illustrent que l'écoute clandestine est bel et bien vivante même parmi les États amis. Comme le dit Garth, "l'espionnage existe depuis longtemps... comme de nombreux praticiens du renseignement sont susceptibles d'en convenir, il peut fournir des renseignements utiles avec un risque modeste tant que vous ne vous faites pas prendre". 

De même, ciblé les attaques de rançongiciels sont une préoccupation croissante – non seulement pour obtenir le plus gros paiement, mais pour maximiser la valeur des données volées sur des criminels bien établis marché plates-formes 

Attaques contre les chaînes d'approvisionnement peut mettre en danger non seulement les agences gouvernementales ou une institution spécifique, mais aussi des secteurs critiques de l'économie d'un pays. L'impact généralisé d'attaques comme celui contre Kaseya rendent plus difficile la réaction des gouvernements, créant des conséquences véritablement perturbatrices pour les entreprises et les citoyens. Mais comme certains États se contentent de risquer des perturbations et des dommages aveugles, d'autres lancent des attaques ciblées ciblant des unités et des systèmes industriels spécifiques dans le but de détruire des parties de l'infrastructure critique d'une nation. 

Faire travailler tout le monde ensemble est le vrai défi 

Les gouvernements n’ont pas la tâche facile : entretenir les systèmes existants, lutter contre la pénurie de compétences, renforcer la cybersensibilisation sur le lieu de travail, gérer une surface d’attaque croissante, intégrer de nouvelles technologies et faire face aux attaques sophistiquées. La préparation prend du temps et il est nécessaire d'adopter une approche zéro confiance, en comprenant que des attaques se produiront et doivent être atténuées là où elles ne peuvent être évitées.  

Il est difficile d'appliquer l'infrastructure généralement multicouche des bureaux gouvernementaux. Malgré leur taille, il est souvent plus facile de protéger les systèmes des autorités centralisées mais faire face à l'immense nombre de bureaux locaux et déconcentrés en fait une mission presque impossible. Malgré l'augmentation progressive du financement, il y a trop peu de professionnels de la cybersécurité, ce qui rend beaucoup plus difficile la défense contre l'évolution des menaces. 

Les citoyens sont de plus en plus conscients des cybermenaces, souvent en raison des reportages très médiatisés et fréquents dans les médias ; en gardant le problème sous les projecteurs, le financement des programmes de sensibilisation – en particulier ceux destinés aux moins experts en technologie et aux personnes vulnérables – est essentiel au succès. Malgré cela, les erreurs humaines restent le principal point d’entrée pour les cybercriminels. C’est pourquoi il est désormais essentiel de tirer parti des progrès de l’apprentissage automatique et de l’intelligence artificielle, généralement déployés dans des produits et services tels que l’EDR et la veille sur les menaces en temps réel. 

Un problème commun nécessite une action conjointe 

Les synergies entre les secteurs public et privé constituent une réaction indispensable à la menace croissante que représentent les cyberattaques. La crise ukrainienne et les travaux antérieurs effectués pour protéger les infrastructures critiques ukrainiennes sont un exemple important de ce qui peut être atteint.  

En parallèle, Garth suggère d’impliquer dynamiquement des organisations telles que l’ONU, l’OCDE et des groupes comme le G7 et le G20, afin que « la communauté internationale braque les projecteurs sur la cyberactivité des États, en dénonçant et en prenant des mesures si nécessaire contre ceux qui ignorent les normes établies et brisent les normes établies ». contre les groupes criminels et leur capacité à monétiser leurs activités criminelles… mais travaille également ensemble pour renforcer la cyber-résilience à travers le monde, y compris dans les pays en développement ».