Les gouvernements du monde entier s'inquiètent des risques croissants de cyberattaques contre leurs infrastructures critiques. Récemment, les agences de cybersécurité des pays composant l'alliance Five Eyes ont mis en garde contre une possible augmentation de ces attaques « en réponse aux coûts économiques sans précédent imposés à la Russie », suite à l'invasion de l'Ukraine par ce pays.
La note précise que « certains groupes cybercriminels se sont récemment engagés publiquement à soutenir le gouvernement russe », la menace de telles cyber-opérations venant « en représailles aux cyber-offensives perçues contre le gouvernement ou le peuple russe ».
Selon Andy Garth, responsable des affaires gouvernementales chez ESET, ce type d'activité représente « un problème mondial avec les acteurs étatiques et leurs mandataires, certains États étant prêts à fournir des refuges dans lesquels les groupes criminels peuvent opérer en toute impunité. »
Garth ajoute : « Dans le cas du conflit ukrainien, certains groupes criminels se livrent désormais à des activités de cyberespionnage, prétendument à la demande de leurs hôtes russes. En effet, il est également prudent de se préparer à une augmentation des incidents de cyber-sabotage et de perturbation à mesure que les cyber-attaques s'ajoutent à la boîte à outils des représailles et que le risque de débordement augmente « . Il existe également un risque accru de conséquences involontaires, les groupes d'autodéfense entrant dans la mêlée des deux côtés.
Une nouvelle approche de la cyber-résilience
Avant l'invasion, les gouvernements du monde entier réfléchissaient déjà à des stratégies de cybersécurité pour contrer les cybermenaces toujours plus nombreuses des acteurs étatiques et des groupes criminels. Mais les nouveaux risques perçus par les gouvernements depuis février suscitent une nouvelle urgence en matière de cyber-résilience.
Le 15 mars, le président des États-Unis, Joe Biden, a signé la loi américaine sur la cybersécurité de 2022, qui oblige les entreprises traitant des infrastructures critiques à signaler les cyberattaques importantes à la CISA dans les 72 heures et tous les paiements de rançongiciels dans la journée. Plus qu'une simple loi sur la divulgation, la nouvelle réglementation vise à modifier la perception d'une cyberattaque, qui n'est plus une affaire d'entreprise privée mais une menace publique. Cette législation s'inscrit dans une tendance, après l'attaque contre Colonial Pipeline en mai 2021, lorsque le président Biden a créé un nouveau rôle pour la cybersécurité et demandé une approche pangouvernementale des cybermenaces.
Outre ses nouveaux pouvoirs, le CISA devrait également voir son budget passer à 2,5 milliards de dollars l'année prochaine, soit 486 millions de dollars de plus qu'en 2021. En outre, le projet de loi de M. Biden sur les infrastructures prévoit d'allouer 2 milliards de dollars à la cybersécurité, dont 1 milliard est destiné à améliorer la cybersécurité et la résilience des infrastructures critiques.
En parallèle, l'Union européenne a suivi une voie similaire avec plusieurs nouvelles directives et règlements et des financements supplémentaires visant notamment à renforcer la cyber-résilience de l'UE et le rôle des institutions européennes, ainsi qu'à faciliter une plus grande coopération entre les organes des États membres. Sur le plan opérationnel, en réponse à l'invasion de la Russie, l'UE a déployé pour la première fois la Cyber Rapid Response Team pour aider l'Ukraine à atténuer les cybermenaces.
La directive NIS2 proposée par l'UE vise à renforcer les exigences en matière de sécurité, à traiter la sécurité des chaînes d'approvisionnement et à rationaliser les obligations de déclaration. La directive NIS2 élargit aussi considérablement le champ des entités critiques soumises à des exigences de sécurité obligatoires de haut niveau. Des secteurs tels que la santé, la R&D, la fabrication, l'espace ou les "infrastructures numériques", y compris les services d'informatique en nuage ou les réseaux publics de communication électronique, devront désormais faire l'objet de politiques de cyber-résilience plus strictes. De même, la Commission européenne propose une nouvelle législation axée sur le secteur financier avec la loi sur la résilience opérationnelle numérique ou Digital Operational Resilience Act (DORA) et sur les dispositifs IoT avec la loi sur la cyberrésilience, qui sera présentée après l'été.
La nécessité de partager les renseignements et de renforcer la coopération en matière de détection des menaces est également l'objectif sous-jacent de l’unité mixte cybernétique de l'UE, qui vise à protéger les infrastructures critiques de l'UE contre les cyberattaques. Si son rôle et sa structure exacts sont encore en cours de décision, elle devrait avoir un caractère opérationnel qui assure un meilleur échange de renseignements sur les menaces de cybersécurité entre les États membres, la Commission européenne, l'ENISA, le CERT-UE et le secteur privé.
La Commission a également proposé de nouveaux règlements pour renforcer le CERT-EU, en transformant la structure en "Centre de cybersécurité", dans le but de renforcer les postures de sécurité des institutions de l'UE.
Garth souligne que ces efforts constituent une « reconnaissance au sein des gouvernements (et des institutions de l'UE) de l'ampleur du défi que représente la protection des actifs numériques des États-nations contre les cybermenaces croissantes et évolutives ». Il souligne la nécessité d'une « approche globale de la société et de partenariats avec le secteur privé. » En effet, « aucun gouvernement ne peut faire face seul à ces menaces », citant la stratégie nationale britannique en matière de cybercriminalité de 2022, qui incorpore ce de collaboration dans des domaines tels que l'éducation, le renforcement de la résilience, les essais et la réponse aux incidents.
Mais quels sont les risques auxquels les gouvernements sont confrontés ?
Les gouvernements ont une caractéristique unique : ils stockent toutes les données concernant leur activité ainsi que celles de leurs citoyens. Ils constituent donc une cible des plus désirables. Cette menace commune aux États a conduit les Nations unies à convenir de zones d’exclusion, où les cyberopérations ne doivent pas être menées, comme les systèmes de santé. La réalité s'en écarte, avec une compétition cybernétique constante entre les grandes puissances et des accords [non contraignants] au niveau des Nations unies qui sont ignorés.
Ces conflits se déroulent dans la « zone grise » où les États peuvent s'engager les uns envers les autres en utilisant le potentiel de la dénégation plausible. Ces États mènent donc un jeu constant du chat et de la souris dans le domaine du cyberespionnage, incluant le vol d'informations et les attaques contre des infrastructures critiques, provoquant parfois des perturbations réelles dans des pays entiers. Des affaires récentes, comme l'utilisation du logiciel espion Pegasus, illustrent le fait que l'écoute clandestine est bien vivante, même parmi les États amis. Comme le rappelle Garth, « l'espionnage existe depuis longtemps... comme de nombreux praticiens du renseignement seront probablement d'accord, il peut fournir des renseignements utiles pour un faible risque, à condition de ne pas se faire prendre. »
LECTURE CONNEXE : La cyberpréparation face à l’incertitude quant à la potentielle escalade du conflit
De même, les attaques de rançongiciel ciblées représentent une préoccupation croissante - non seulement pour obtenir le plus gros paiement, mais aussi pour maximiser la valeur des données volées sur des marchés criminels bien établis....
Les attaques contre les chaînes d'approvisionnement peuvent mettre en danger non seulement les agences gouvernementales ou une institution spécifique, mais aussi des secteurs critiques de l'économie d'un pays. L'impact généralisé d'attaques comme celle ayant ciblé Kaseya rend la réaction des gouvernements plus difficile, créant des conséquences véritablement perturbatrices pour les entreprises et les citoyens. Mais alors que certains États se contentent de risquer des perturbations et des dommages aveugles, d'autres lancent des attaques ciblées visant des unités et des systèmes industriels spécifiques dans le but de mettre hors service certaines parties de l'infrastructure critique d'une nation.
Le véritable défi consiste à faire travailler tout le monde ensemble
Les gouvernements n'ont pas la tâche facile : ils doivent maintenir les systèmes existants, remédier à la pénurie de compétences, sensibiliser les travailleurs à la cybercriminalité, gérer une surface d'attaque en expansion, intégrer les nouvelles technologies et faire face à des attaques sophistiquées. La préparation prend du temps et il est nécessaire d'adopter une approche Zéro Trust, en comprenant que les attaques se produiront et qu'elles doivent être atténuées lorsqu'elles ne peuvent être évitées.
Il est difficile d'appliquer cette approche à l'infrastructure généralement multicouche des bureaux gouvernementaux. Malgré leur taille, il est souvent plus facile de protéger les systèmes des autorités centralisées, mais s'occuper de l'immense nombre de bureaux locaux et décentralisés transforme cette mission en une mission presque impossible. Malgré l'augmentation progressive des financements, les professionnels de la cybersécurité sont trop peu nombreux, ce qui rend la défense contre les menaces en constante évolution beaucoup plus difficile.
Les citoyens sont de plus en plus conscients des cybermenaces, souvent en raison des reportages fréquents et très médiatisés dans les médias. Pour réussir, il est essentiel de maintenir les projecteurs sur le problème et de financer des programmes de sensibilisation, en particulier ceux qui s'adressent aux personnes vulnérables et moins au fait des technologies. C'est pourquoi il est désormais essentiel de tirer parti des progrès de l'apprentissage automatique et de l'intelligence artificielle, généralement déployés dans des produits et services tels que les systèmes d'alerte précoce et de renseignement en temps réel sur les menaces.
Un problème commun nécessite des actions communes
Les synergies entre le secteur public et le secteur privé arrivent comme une réaction indispensable à la menace croissante que représentent les cyberattaques. La crise ukrainienne et le travail effectué précédemment pour protéger les infrastructures critiques ukrainiennes sont un exemple important de ce qui peut être réalisé.
Parallèlement, Garth suggère d'impliquer de manière dynamique des organisations telles que l'ONU, l'OCDE et des groupes comme le G7 et le G20, afin que « la communauté internationale braque les projecteurs sur la cyberactivité des États, en dénonçant et en prenant des mesures, le cas échéant, contre ceux qui ignorent les normes établies, en réprimant les groupes criminels et leur capacité à monétiser leurs activités criminelles, mais aussi en travaillant ensemble pour renforcer la cyberrésilience dans le monde entier, y compris dans les pays en développement. »