Cybersécurité : Un enjeu toujours plus critique
Le numérique offre des opportunités multiples et il apporte des solutions aux entreprises depuis le début de la crise sanitaire. Mais plus l’économie en devient tributaire, plus les questions sécuritaires prennent de l’ampleur, car en parallèle, la cybercriminalité tend à devenir une véritable industrie.
Par Guy de Rougemont, journaliste
Le parlement norvégien, le service de santé irlandais, le plus grand opérateur d’oléoducs des États-Unis, la Banque centrale de Nouvelle-Zélande, le FBI, ou encore le ministère des Finances (Bercy), Microsoft et le groupe de lingerie Lise Charmel ont un point commun : tous ont été victimes d’une cyberattaque en 2021. Dès le début de l’année, le « Rapport sur les risques mondiaux » du Forum économique mondial classait la cybercriminalité parmi les quatre menaces majeures qui pèsent sur le monde de demain. Et des personnalités du monde de la finance comme Christine Lagarde ou Jerome Powell, le président de la FED américaine, vont jusqu’à prédire qu’elle pourrait être l’élément déclencheur d’une nouvelle crise financière systémique. « Cette menace n’est pas nouvelle », commente Gilbert Réveillon, président du groupe TIC et Économie Numérique des CCE. « Ce qui l’est, c’est la fréquence et la sophistication croissantes des cyberattaques. Les pirates sont extrêmement bien équipés et ils utilisent les technologies les plus avancées, comme l’intelligence artificielle. Cela leur donne une longueur d’avance sur ceux qui les combattent. Et l’écart tend à se creuser ».
De l’avis de nombreux experts, on assiste depuis quelque temps à une professionnalisation de la cybercriminalité, et même à l’émergence d’un modèle économique. Des réseaux se sont constitués, qui proposent sur le darkweb des kits de cyberattaque « tout-en-un », souvent accompagnés de services optionnels comme la formation, les mises à jour ou l’assistance client. Avec de telles offres, « n’importe quel escroc sans compétence informatique peut devenir un cybercriminel », expliquait en septembre dans La Tribune le directeur de l’Agence nationale de la sécurité des systèmes d’information, Guillaume Poupard. « La conséquence de cette industrialisation de la cybercriminalité est l’explosion du nombre d’attaques. Entre le premier semestre 2020 et le premier semestre 2021, l’ANSSI évalue la progression à + 60 % ! ». Parmi les nombreux types de cyberattaques (déni de service, hameçonnage, virus, cheval de Troie), celui qui a le plus fait parler de lui en 2021 est le rançongiciel ou ransomware, un logiciel malveillant qui permet aux pirates de crypter les données d’un réseau d’entreprise, les rendant ainsi inaccessibles jusqu’au paiement d’une rançon, la plupart du temps sous forme de cryptomonnaie. Depuis quelque temps, la «prise en otage » des données s’accompagne fréquemment d’un chantage à la divulgation d’informations sensibles sur Internet.
Un phénomène en forte croissance
Les attaques au rançongiciel ont largement augmenté en 2021. Le département du Trésor américain en a recensé plus de 450 pour le seul premier semestre aux États-Unis. Le total des sommes demandées s’élève à 590 millions de dollars, soit une augmentation de 40 % par rapport à l’ensemble de l’année 2020. Sur ce montant, près de 400 millions ont été versés. Selon les estimations des cabinets spécialisés, le coût annuel mondial pour les entreprises se situerait entre 350 et 1 000 milliards de dollars. Si la tendance ne s’inverse pas, les analystes de Cybersecurity Ventures affirment que ce chiffre pourrait atteindre les 10 000 milliards en 2025.
En juillet dernier, l’une des attaques au rançongiciel les plus médiatisées a pris pour cible Kaseya, une société américaine gérant les services informatiques de quelque 40 000 clients. Des entreprises, des écoles et des chaînes de magasins, dans des lieux aussi éloignés que la Nouvelle-Zélande et les Pays-Bas, ont été affectées. Deux mois plus tôt, un autre groupe de hackers s’était attaqué à Colonial Pipeline, gestionnaire texan d’oléoducs dont le réseau fournit près de la moitié du carburant vendu sur la côte Est des États-Unis. La société a dû interrompre ses acheminements pendant près d’une semaine, provoquant un début de pénurie et un vent de panique qui ont amené Joe Biden à déclarer l’état d’urgence. Une partie de la rançon de 4,4 millions de dollars a été récupérée quelques semaines plus tard par le département de la Justice, grâce à une analyse des transferts de bitcoins. Dans les deux cas, des groupes de hackers russes ont été incriminés.
Ces attaques d’envergure ont poussé le gouvernement américain à intensifier encore ses efforts pour parer au risque cyber. Joe Biden a contacté directement Vladimir Poutine au moment de l’affaire de Kaseya. L’entreprise a obtenu peu après une clé de décryptage par l’intermédiaire d’un « tiers de confiance » non identifié. En septembre, le Trésor américain a gelé les actifs d’une plateforme de cryptomonnaies soupçonnée de faciliter les transferts de rançons de pirates informatiques russes. En parallèle, un consortium public-privé, le Joint Cyber Defence Collaborative, a été créé. Il réunit des agences gouvernementales comme le FBI, la NSA et la Direction du renseignement, et de grands acteurs de l’économie numérique tels que Google, Microsoft ou Amazon, en vue d’élaborer des plans de cyberdéfense coordonnés à l’échelle nationale.
Enfin, en octobre, Washington a organisé un sommet virtuel sur la question, auquel l’Union européenne et une trentaine de pays allant du Brésil à l’Ukraine ont participé. La Russie n’y était pas conviée, pas plus que la Chine, souvent citée elle aussi comme pays d’origine de nombreuses attaques.
La réponse européenne
Tout en se concertant avec les États-Unis (Europol a récemment annoncé l’arrestation de sept hackers affiliés au groupe responsable de l’attaque contre Kaseya), l’Europe s’efforce d’acquérir son autonomie en matière de cybersécurité. « Le moment est venu de passer à la vitesse supérieure », a martelé Ursula van der Leyen en septembre, lors de son discours annuel sur l’état de l’Union au Parlement européen.
Depuis le début de la pandémie, les opérations d’extorsion et de vol de données se multiplient dans l’UE. En 2020, l’Agence européenne de cybersécurité, l’ENISA, a recensé 949 incidents au sein du marché unique, touchant en particulier le secteur de la santé mais aussi les transports, l’énergie et la finance, ainsi que des collectivités locales, des services publics et des institutions. Le chiffre devrait être encore plus élevé en 2021.
« Comme les ressources sont rares, nous devons regrouper nos forces », a insisté Ursula von der Leyen. En effet, la filière de la cybersécurité est encore peu développée dans l’Union. Gilbert Reveillon, qui a organisé une conférence sur le sujet à l’ambassade de France à Washington en octobre dernier, déplore le retard pris par l’Europe, notamment dans le domaine de la R&D, par rapport aux États-Unis ou à la Chine. Un Centre européen de compétences devrait ouvrir ses portes l’an prochain à Bucarest, avec pour mandat de coordonner la recherche et d’inciter à une mise en commun des investissements des États membres et des acteurs du numérique, pour faire émerger un « tissu industriel de confiance ».
Ursula von der Leyen a également promis une loi sur la « cyber-résilience » qui établira des règles communes en matière de cybersécurité pour tous les appareils connectés. Cette législation devrait compléter le cadre de certification établi en 2019 par le Cybersecurity Act. Une nouvelle version de la directive sur la sécurité des réseaux est par ailleurs en cours d’examen. De l’aveu même du Parlement européen, le texte original, adopté en 2017, était largement inefficace : « les pays e l’UE l’ont mise en oeuvre de diverses manières, fragmentant ainsi le marché unique et causant des niveaux insuffisants de cybersécurité ». Baptisée NIS2, cette nouvelle mouture vise à imposer des exigences plus strictes pour les services numériques des administrations, les services publics et les secteurs les plus sensibles de l’économie (banques et marchés financiers énergie, eau potable, santé, réseaux télécoms et fournisseurs d’accès, transport, grands distributeurs alimentaires, services postaux et de gestion des déchets).
Reste à savoir si l’ensemble des membres de l’Union entreront dans cette logique d’harmonisation et de coopération renforcées. Selon l’ENISA (l’agence européenne de cybersécurité), certains États l’accueillent avec tiédeur, soucieux de préserver leurs prérogatives dans ce domaine stratégique. La promotion d’une véritable cybersécurité européenne est annoncée comme un des objectifs prioritaires de la présidence française du Conseil de l’Union, au premier semestre 2022.