Blog GlobalSign

02 févr. 2018

Effet domino : cybercrime, attaques, infrastructure critique et décrets présidentiels

L’été dernier s’était achevé en grande pompe, différents pays roulant des mécaniques nucléaires, tandis que la cybercriminalité et la Bourse connaissaient un franc succès. Le tout dans la foulée du décret sur la cybersécurité de l’infrastructure critique et des réseaux fédéraux qui a été signé par le président des États-Unis au printemps dernier. Nous nous sommes alors demandés si tout n’était pas lié. En somme, impossible de ne pas penser au fameux effet domino. Regardons-y de plus près...

Dans un article de Forbes consacré au coût de la cybercriminalité, Ariel Evans, experte américano-israélienne, entrepreneur et directrice générale, avait fait part de son point de vue : « … la décennie à venir sera marquée par trois grandes pistes de croissance : les cyber-risques, la cyber-assurance et la sécurité de l’Internet des objets. Ces trois pistes restent encore assez peu explorées et fourniront chacune des garanties renforcées dans le cyberespace. » Voilà également trois bonnes raisons de tous nous pencher dès maintenant sur l’exposition de nos infrastructures de sécurité internes.

L’élément déclencheur

Dans le rapport 2017 de Thales sur les menaces informatiques, plus de la moitié des personnes interrogées indiquaient qu’il leur arrivait de déployer de nouvelles technologies dans toute leur entreprise avant même d’atteindre les niveaux de sécurité interne suffisants. CHOQUANT, n’est-ce pas ? On comprend mieux pourquoi le cybercrime et le piratage se développent à une vitesse fulgurante.

2017 thales global data threat report

En outre, si ces chiffres sont avérés, ils ne font que confirmer l’hypothèse d’Ariel Evans. Pour Mme Evans, hormis le fait que tout reste à faire dans le domaine de l’évaluation des cyber-risques, le manque d’examen et de contrôle sur ces risques représente à lui seul une source de catastrophe imminente. Les attaques de pirates opérant depuis la Russie, la Chine, voire la Corée du Nord, se révèlent en effet extrêmement préoccupantes. Quand on pense que peut-être plus de la moitié des entreprises et administrations sont aujourd’hui prêtes à risquer la confiance du public, la protection de la vie privée, leurs revenus, la sécurité nationale… tout cela, dans l’idée de profiter à tout prix des avantages, quels qu’ils soient, d’un déploiement technologique précoce et non sécurisé. L’idée est tout simplement effrayante. La référence d’Ariel Evans à un « cybergeddon » prend alors tout son sens.

En matière de couverture des cyber-risques, comme avec la plupart des assurances, si vous pensez bénéficier d’une indemnisation suffisante... vous êtes dans le faux. Comme le fait remarquer l’auteur de l’article de Forbes sur le récent piratage d’un géant de la grande distribution, « Target avait contracté une cyber-assurance de 100 millions de dollars et a perdu plus de 450 millions…. » La grande enseigne était donc loin du compte. D’où la nécessité non seulement de pouvoir évaluer vos cyber-risques, mais aussi de les limiter à l’aide de mesures de sécurité intégrées à votre infrastructure dès sa création (comme l’infrastructure PKI), plutôt que bricolées après le premier incident venu.

Actuellement, presque tous les secteurs d’activité connaissent une croissance rapide. Le commerce en ligne explose, de même que le marché associé des fournisseurs de services et de cloud. Le transfert de données et les transactions financières correspondantes s’effectuent à l’international à un rythme effréné. Nul besoin de s’appeler Adam Smith pour faire le calcul. Si les infrastructures technologiques, l’économie marchande mondiale et les places boursières poursuivent leur essor sans mettre en place des solutions de sécurité adaptées, elles s’exposent à une explosion cataclysmique de leurs cyber-risques.

Réaction en chaîne

Le dernier décret présidentiel américain sur la cybersécurité de l’infrastructure critique et des réseaux fédéraux fait implicitement référence aux « autres » capacités destructrices. Il émet des recommandations en lien avec le cœur de métier de GlobalSign, à savoir l’authentification, le contrôle des accès et la gestion des identités.

Ce décret fait réellement écho aux nombreux efforts, certes longtemps sans effet, des administrations américaines précédentes pour renforcer l’infrastructure critique des cyber-systèmes des organismes fédéraux et grand public – notamment ceux liés aux services d’utilité publique, au commerce/à la finance, aux transports, à la santé et à la sécurité. Pendant des années, les administrations avaient été averties du danger présenté par les tentatives de piratage de ces systèmes et d’autres infrastructures associées pour de nombreuses vies à l’échelle globale. Le dernier projet de loi consacré aux infrastructures critiques a été voté par la Chambre des représentants en 2015 avant de se heurter au Sénat, si bien que rien n’a été mis en œuvre. La nouvelle mouture 2017 de ce projet est actuellement soumise à l’examen de la Chambre.

(ii) Pendant trop longtemps, l’exécutif s’est contenté de systèmes IT archaïques et difficiles à protéger.

11 mai 2017 — décret présidentiel sur le renforcement de la cybersécurité de l’infrastructure critique et des réseaux fédéraux

Nous attendons toujours une politique claire de mise à niveau des systèmes et processus pour les systèmes d’information et autres infrastructures critiques au niveau fédéral. Ce nouveau décret présidentiel renouvelle la tentative de la précédente administration pour procéder à une évaluation immédiate des risques (revoilà nos cyber-risques !), recenser les stratégies de gestion des risques à implémenter et identifier les mesures de protection de l’infrastructure critique pour une remédiation instantanée.

D’autres sections du décret désignent et détaillent les pans d’infrastructure critique concernés par ces nouvelles mesures de cybersécurité :

  • Évaluation des capacités d’intervention en cas de perturbations du réseau électrique
  • Capacités opérationnelles et base industrielle du ministère de la Défense
  • Cybersécurité à l’échelle nationale
  • Coopération internationale
  • Développement des effectifs de cybersécurité

Si ce décret présidentiel ne mentionne aucune implémentation immédiate de solutions, il contraint au moins cette administration à présenter un plan de mise en œuvre dans l’année suivant sa date de signature, soit d’ici le 11 mai 2018.

Notons le premier point de cette liste : « Évaluation des capacités d’intervention en cas de perturbations du réseau électrique ». Il fait référence aux perturbations du réseau électrique des États-Unis causées par un acte de sabotage, de piratage ou une attaque directe. Une attaque directe pourrait prendre la forme d’une impulsion électromagnétique (IEM) provoquée par l’explosion d’une bombe atomique juste au-dessus de l’atmosphère de sa cible, voire par une agression électromagnétique intentionnelle (IEMI) causée par une arme bien plus précise qui tiendrait dans une mallette. Les experts s’accordent pour dire que ces deux attaques potentielles du réseau électrique américain et de son infrastructure critique sont à la portée de plusieurs ennemis des États-Unis et de l’OTAN.

De son côté, depuis des années, GlobalSign travaille d’arrache-pied avec le National Institute of Standards and Technology (NIST) et le North American Energy Standards Board (NAESB), au renouvellement des normes de sécurité et à l’intégration des procédures de remédiation à un processus opérationnel quotidien — pas seulement pour le réseau électrique, mais aussi pour le reste des infrastructures critiques. Afin d’intégrer ces normes, ces conseils techniques et des processus PKI proactifs à votre propre infrastructure critique, découvrez-les dans notre livre blanc intitulé « How PKI Secures Critical Infrastructure Networks against Advanced Attacks (Infrastructure PKI : protection des réseaux d’infrastructure critique contre les attaques avancées) ».

Des cyberattaques aux sabotages, en passant par la protection des infrastructures critiques et la dépendance de l’économie mondiale aux technologies, toutes les conditions semblent réunies pour une réaction en chaîne sans précédent. Or, personne ne souhaite voir le fameux « effet domino » à l’œuvre. Reste à espérer une prise de conscience collective de ces risques et la mise en place de mesures adaptées. Dans une moindre mesure, il est probablement grand temps d’évaluer les cyber-risques qui planent sur votre infrastructure PKI critique. C’est pourquoi GlobalSign se tient à votre disposition.

Partager ce blog