Il existe plusieurs types de pirates ayant des motifs d’attaques différents : du hacker isolé agissant par vengeance ou démonstration de compétence, au groupe de hackers organisé ayant pour objectif de revendre ses services pour déstabiliser des entreprises, ou de revendre des informations subtilisées dans des bases de données non-sécurisées comme des informations bancaires ou des données nominatives.
Des groupes organisés tels que le réseau Anonymous quant à eux procèdent par exemple à des actions de défacement, de piratage de sites web, ou de divulgation d'informations pour revendiquer des actions auprès d’entreprises réputées ou pour procéder à des opérations punitives.
Les attaques de masse sont aujourd’hui très courantes, car leur coût est très faible pour l’attaquant et les revenus générés peuvent rapidement devenir intéressants.
Les attaques de masse scannent ou balayent Internet pour trouver des objets non-sécurisés comme les caméras que nous avions citées en introduction pour en prendre le contrôle facilement si le mot de passe n’a pas été changé.
Les attaquants arrivent ainsi à se constituer un réseau d’objets connectés pour en faire un « botnet », c’est-à-dire un réseau de machines compromises, autrement dit un groupe d’ordinateurs infectés et contrôlés par un pirate à distance.
Ce réseau servira par la suite à commettre une attaque sur une cible prédéfinie par l’intermédiaire des objets connectés des entreprises ou des logements personnels sans que personne ne le sache.
Le rançongiciels se diffusent généralement par e-mail à l'aide de techniques de phishing visant à imiter les couleurs d'une institution. L'objectif est de faire télécharger un logiciel malveillant à l'utilisateur au travers d'un lien.
Pour se protéger des conséquences d’un rançongiciel, il est important de sauvegarder régulièrement vos données, de vérifier les expéditeurs des emails, d’être vigilant avec les extensions de fichier en .exe.
En parallèle des attaques massives que nous venons de voir, les entreprises ou les personnes peuvent être victimes d’attaques ciblées.
A contrario des attaques de masse, les attaques ciblées sont moins courantes.
En effet, les modes opératoires sont plus complexes et demandent des compétences spécifiques ou une connaissance particulière de l’entreprise.
Concrètement, cela veut dire que l’attaquant connaît sa victime et qu’il met en œuvre tout un procédé pour l’atteindre.
Il s’agit principalement de cas d’espionnage pour obtenir une information qui n’est pas publique : espionnage économique ou industriel, atteinte à la propriété intellectuelle, ou encore pour des raisons politiques.
Ces attaques sont appelées APT pour « Advanced Persistent Threat » qui se traduit littéralement par « menace persistante avancée ».
Ces attaques très subversives sont souvent repérées des années après la première infiltration sur le réseau de la personne visée.
Elles utilisent généralement un code malveillant développé spécifiquement sur un ou plusieurs ordinateurs pour effectuer des tâches spécifiques et rester inaperçu le plus longtemps possible.
Pour réaliser une attaque ciblée, l’attaquant va utiliser l’ensemble des informations de l’entreprise visée trouvées sur Internet pour en faire une cartographie précise.
Par la suite, l’attaquant va infecter le réseau de l’entreprise, via un email envoyé à un employé qui contient une pièce jointe malveillante par exemple.
Cet employé, peu regardant sur le fichier en question et n’étant pas conscient d’être une potentielle victime, va ainsi sans le vouloir ouvrir son poste à l’attaquant.
L’attaquant prenant ainsi le contrôle du poste de l’employé, pourra se connecter au réseau interne de l’entreprise, puis contaminer l’ensemble du réseau jusqu’à trouver l’ordinateur qui contient l’information à protéger.
Dans ce cas, on dit que le collaborateur a servi de « tête de pont » à l’attaquant pour commettre son attaque.
Face à ces attaques ciblées, les protections « classiques » telles que les antivirus ou les pare-feu ne vous protègeront pas d’un attaquant très motivé qui vous a bien observé, vous devez donc être vigilant !
Il est intéressant de noter qu’aujourd’hui ces menaces ou « malwares » ne sont plus aussi différenciées qu'auparavant. En effet, ce qui varie est plutôt le comportement de ces virus, vers, etc.
Par exemple un « Trojan » ou « Cheval de Troie » va généralement embarquer des fonctions de « backdoor » (porte dérobée) lui permettant de maintenir son accès sur le système ou embarquer des fonctions de « keylogger » pour enregistrer la caméra ou encore les frappes du clavier effectuées sur le poste.
D’autres programmes connus sous le nom de « rootkit » s’installent sur votre machine pour dissimuler une activité sur le système de fichiers (création, lecture, écriture), une activité réseau, ou encore une activité en mémoire (calculs).
Un rootkit peut travailler dans l’environnement de l’utilisateur, sans droits particuliers, ou en profondeur dans le système d’exploitation, nécessitant par conséquent des droits d’exécution élevés.
L’installation de ces programmes nécessite que le système soit préalablement compromis (cheval de Troie, intrusion).
Ces programmes modifient souvent les commandes usuelles de l’administrateur, afin de dissimuler toute trace de leur présence.
Un outil de dissimulation d’activité n’a pas pour but d’offrir un accès quelconque à la machine hôte.
En revanche, la plupart de ces outils malveillants embarquent des fonctionnalités de porte dérobée permettant à l’auteur un accès à distance et un maintien sur le système compromis.
Le défi : (souvent les jeunes possédant des compétences en informatique), ils sont appellés "Script Kiddies" car ils utilisent souvent des logiciels préfaits ou des tutoriels trouvés sur internet
Au contraire, certains ont un profil beaucoup plus technique, et ce sont eux qui vont apporter les logiciels aux script kiddies. Il recherchent souvent de nouvelles failles (donnant naissance à des failles 0-day) et créent un moyen simple pour exploiter cette faille. Ces attaquants peuvent même vendre leurs découvertes et créations et alimenter un marché noir.
Perte financière : Pour les entreprises et les particuliers, les conséquences des cyberattaques peuvent être de plusieurs natures mais la conséquence la plus couramment rencontrée est la perte financière engendrée par la fraude. La fraude est un acte commis dans l’intention de nuire et d’en tirer un profit illicite.
Plusieurs conséquences sont alors possibles : les « pirates » peuvent se connecter aux systèmes dans le but de détruire des données, ou au contraire d’accumuler les données pour mieux connaitre leur « proie » et parvenir à détourner de l’argent.
Ce dernier cas est illustré par la « fraude au président » qui consiste à obtenir un virement vers un compte à l'étranger, sur ordre supposé d'un dirigeant ou d'un fournisseur, derrière lequel se cache en réalité un internaute malveillant. En effet, la fraude est assez facile à mettre en œuvre avec les nouveaux modes de communication puisqu’il est assez simple de récupérer des données d’une entreprise en comparaison du gain financier qui peut être important.
On peut également retrouver la fraude dans des cas plus précis et plus techniques comme les attaques sur les systèmes d’information des bourses et notamment les systèmes de HFT (« High Frequency Trading ») où il y a un risque d’effacement de millions de transactions et de détournement d’investissements associés. Dans ce cas, des sommes importantes d’investissement peuvent être perdues et donc léser l’entreprise.
Atteinte à l'image : Au-delà de l’aspect financier, les attaques informatiques peuvent jouer sur l’avenir des dirigeants. Par exemple, lors du piratage d’un site de rencontres extraconjugales, le PDG de la société propriétaire du site a décidé de démissionner suite à la publication de 30 Go de données du site contenant les noms, les comptes utilisateurs, les courriels et les adresses ainsi que les historiques de navigation de ses clients. Malheureusement cette expérience a démontré que cela pouvait aller tragiquement plus loin puisque certaines personnes se sont suicidées suite aux révélations du site. Il s’agit là d’un aperçu des conséquences sociales que peut avoir un piratage.
De manière plus poussée, les cyberattaques peuvent également aller jusqu’à détruire du matériel physique. Par exemple, il est possible de leurrer les capteurs de sécurité d’un système industriel afin de modifier ses réglages et donc l’obliger à détruire voire à s’autodétruire. Ces attaques sont rares, mais restent envisageables.
Enfin, les attaques informatiques peuvent servir à neutraliser les systèmes ciblés. Par exemple, l’attaque par déni de service distribué (DDoS) va saturer le réseau pour rendre un site Internet indisponible par exemple. Pour une entreprise, cela peut se traduire par des pertes financières élevées lors de l’indisponibilité de ses services.
Le cyberespace est un monde à hauts risques qu’il est important d’identifier afin de mettre en place les mesures de protection adaptées pour protéger les systèmes d’information visés par les attaquants.
Si malgré toutes vos précautions vous êtes la cible d’une cyberattaque, quelques recommandations s’imposent.
D’autre part, la plateforme cybermalveillance.gouv.fr mise en place par l’ANSSI a pour objectif de venir en aide aux victimes d’actes de cybermalveillance.
La plateforme s’adresse aux particuliers et également à toutes les entreprises et collectivités territoriales (hors OIV).
Elle a pour objectifs :
Concrètement, une victime d’un acte de cybermalveillance pourra se connecter sur une plateforme en ligne qui lui indiquera la marche à suivre.
Grâce à ses réponses au questionnaire, la victime sera orientée vers les prestataires de proximité susceptibles de répondre à son besoin technique.
La plateforme d’assistance aux victimes d’actes de cybermalveillance (ACYMA) fournira également des contenus de sensibilisation aux enjeux de la protection de la vie privée numérique et développera des campagnes de prévention en la matière.
Grâce au recueil de nombreuses statistiques, ACYMA créera un observatoire du risque numérique permettant ainsi de l’anticiper.
Les CERT (Computer Emergency Response Team) - de l'entreprise, d'état ou autre – sont également capables d'intervenir pour vous venir en aide.
Afin de structurer une vision commune de la défense et plus particulièrement de la cybersécurité en France, le président de la République a souhaité qu’en 2013 soit rédigé un deuxième livre blanc pour la Défense et la Sécurité Nationale.
Ce livre blanc apporte un classement des menaces les plus importantes sur l’État et montre que la menace informatique est classée seconde derrière la menace terroriste.
En substance, le document évoque une « menace cyber diverse et croissante » qui peut avoir pour conséquence le sabotage, l’espionnage et la subversion.
Cette menace concerne l’ensemble des acteurs français, aussi bien économiques qu’administratifs.
Notons que le premier livre blanc de la Défense et de la Sécurité Nationale de 2008 mettait déjà en évidence la menace que représentent les attaques informatiques.
Il a ainsi permis la création de l’ANSSI.
Il ressort trois priorités de ce livre :
Pour résumer, le livre blanc montre que l'État a conscience des évolutions technologiques et cherche à assurer sa protection dans le domaine numérique.
Pour cela il prévoit un effort budgétaire nécessaire pour créer des protections cryptographiques et des systèmes de détection d'intrusion purement français, afin de conserver l'indépendance de la France sur ce terrain et investir dans la formation pour anticiper la demande croissante de compétences.
De plus afin de renforcer la sécurité des systèmes d'information de l'État, il prévoit :
En 2015, le Premier ministre a officialisé la première stratégie pour la sécurité du numérique. L’ambition de la France est de faire partie des quelques nations qui comptent dans tous les domaines stratégiques et notamment la cybersécurité.
La stratégie nationale pour la sécurité du numérique n’est pas une stratégie pour la cyberdéfense mais bien pour la sécurité du numérique, terme plus englobant et traduisant mieux les enjeux et défis qui se posent.
Les cinq axes de la stratégie que nous allons découvrir se veulent complémentaires.
Les questions de sécurité numérique auprès des OIV.
En effet, aujourd’hui, de nombreuses infrastructures vitales (centrales nucléaires, barrages, circulation routière, ...) sont gérées par informatique, ce qui peut générer de gros dommages potentiels en cas de cyber-attaque.
Une Nation qui veut conserver sa souveraineté doit faire de la cybersécurité une priorité nationale confirmée.
OIV en france :
Secteur Étatique
Activités civiles de l’État
Activités militaires de l’État
Activités judiciaires de l’État
Espace et recherche
Protection des citoyens
Santé
Gestion de l’eau
Alimentation
Vie économique et sociale de la Nation
Énergie
Communications électroniques, Audiovisuel et Information
Transports
Finances
Industrie
Le rôle des entreprises non OIV.
En effet, bien qu’une cyberattaque isolée mettant en difficulté une PME n’ait pas d’incidence en terme de sécurité nationale, la généralisation de telles attaques peut entrer dans le domaine de la sécurité nationale. Ces entreprises sont souvent moins sensibilisées aux problématiques de sécurité informatique et donc potentiellement plus vulnérables à un risque de contamination.
Il faut pouvoir apporter une réponse à cette menace dans les domaines de la prévention et de la sensibilisation mais surtout, il est nécessaire d’agir en aidant les victimes d’actes de cybermalveillance. Actuellement, le statut de ces victimes n’est pas reconnu clairement, ce qui rend plus difficile la recherche de réponses judiciaires efficaces et le passage par des organismes traditionnels de compensation des risques (assurances).
La formation à la cybersécurité.
Le troisième axe promeut la formation à la cybersécurité. Au cours des 5 dernières années, le nombre de formations spécifiques à la cybersécurité a ainsi explosé alors qu’il y a 10 ans celles-ci étaient marginales. Il existe aujourd’hui de nombreuses formations de qualité mais on observe une inadéquation entre l’offre et la demande.
Cet axe encourage à développer la formation initiale, la formation professionnelle et à sensibiliser et véhiculer les bons messages auprès des jeunes, dès la fin du primaire, en leur expliquant les notions basiques de la sécurité. Cette initiation à la sécurité doit être réalisée au même moment que la sensibilisation au numérique : une fois encore, sécurité et numérique doivent aller de pair.
Le rôle des industries.
Le quatrième axe de la stratégie propose d’inclure les industries dans le développement de la cybersécurité nationale. En effet, la France a besoin d’une industrie forte, nationale et structurée par le processus de qualification. Ce processus est ouvert aux acteurs étrangers via une évaluation des produits et des services.
Ce travail est compliqué et prend du temps mais il est indispensable afin de savoir qui est compétent et de confiance. Pour résumer cette mesure, les industries doivent produire des produits de sécurité « made in France » et doivent se protéger pour elles-mêmes et pour le pays, afin de ne pas être les « maillons faibles » de la chaîne.
La stratégie du numérique dans un contexte international.
Enfin, le dernier axe explique que la stratégie du numérique doit s’envisager dans un contexte international. En effet, la France a un rôle majeur à jouer pour porter ses valeurs dans le domaine de la cybersécurité, que ce soit pour venir en aide aux états les moins avancés, faire du capacity-building, ou aller vers les pays alliés pour les aider à monter en puissance.
Au-delà des objectifs philanthropiques, il s’agit aussi, comme pour tous les domaines stratégiques, de protéger ses alliés pour se protéger soi-même. Tous ces éléments mettent en exergue l’impératif de trouver un compromis entre efficacité et confiance. Les différents services de l’État impliqués ont tout pour aider les industriels à aller vers l’export, afin qu’ils deviennent des leaders mondiaux dans le domaine cyber.
Nous l’avons vu en introduction, l'ANSSI (Agence nationale de la sécurité des systèmes d’information) créée en 2009 est l’autorité nationale en matière de sécurité des systèmes d’information.
À ce titre, elle prévoit des mesures destinées à répondre aux crises affectant ou menaçant la sécurité des systèmes d’information vitaux de la Nation et elle coordonne l’action gouvernementale en matière de défense des systèmes d’information.
Elle anime et coordonne les travaux interministériels en matière de sécurité du numérique, élabore les mesures de protection des systèmes d’information et veille à l’application de celles-ci notamment par le biais d’inspections.
Elle conçoit, fait réaliser et met en œuvre les moyens interministériels sécurisés de communications électroniques nécessaires au Président de la République et au Gouvernement.
Elle délivre des agréments aux produits et aux prestataires de services destinés à protéger les systèmes d’information des entreprises.
Depuis 2015, l’ANSSI déploie un dispositif territorial chargé de relayer et de coordonner l’action de l’ANSSI dans les territoires ainsi que de contribuer au partage d’expérience entre les acteurs locaux de la cybersécurité.
Ce dispositif est formé par des référents territoriaux en régions spécialistes de la sécurité du numérique.
Ceux-ci accompagnent la mise en œuvre des politiques de cybersécurité avec les structures et les autorités régionales existantes pour prévenir les incidents et sensibiliser les acteurs locaux du public et du privé aux bonnes pratiques informatiques.
L’ANSSI se charge de l’anticipation de la menace pour la sécurité du numérique.
Pour cela, sept laboratoires de recherche lui permettent de rester à la pointe de l’état de l’art en matière de cybersécurité.
Lorsque les menaces sont détectées, l’ANSSI identifie les failles utilisées par les codes malveillants, ce qui lui permet d’avoir une vision plus générale sur l’analyse de la menace.
Pour les cas plus extrêmes qui le nécessitent, un dispositif de crise peut être activé pour répondre de manière efficace à un événement d’ampleur.
L’ANSSI dispose pour cela d’un centre opérationnel qui fonctionne 7 jours sur 7 et 24 heures sur 24 et qui lui permet d’effectuer une veille permanente et une supervision de l’activité sur les différents réseaux couverts, afin de détecter des attaques potentielles auprès des services ministériels.
Enfin, le centre opérationnel collecte et assure la synthèse des informations nécessaires à la compréhension des attaques.
L’ANSSI se charge également d’accompagner les services de l’État et les Opérateurs d’Importance Vitale (OIV), c’est-à-dire les organisations privées ou publiques identifiées par l'État comme ayant des activités indispensables à la vie de la Nation, dans le but de protéger leur système d’information à importance vitale (SIIV).
Pour assurer leur sécurisation, elle recommande l’utilisation de produits qualifiés ainsi que de prestataires de services de confiance.
Elle réalise des audits de certains systèmes d’information afin de contrôler la robustesse des mesures mises en place et apporte ses recommandations.
L’ANSSI qualifie des produits et des prestataires de services pour démultiplier ses actions auprès du secteur économique.
Pour obtenir ce label de l’ANSSI, les entreprises doivent respecter des critères de qualité sur des sujets très sélectifs.
Pour résumer, l’ANSSI se charge d’évaluer et de faire évaluer la sécurité de nouveaux dispositifs ou de projets à l’étude.
Elle se charge également de mettre en place des labels (label Cloud, SecNumedu, CSPN), des qualifications (PASSI, PRIS, PDIS), des référentiels (RGS) des outils de sécurisation et de bonnes pratiques, et du respect général de la sécurité (surveillance des menaces, centre de crise et mise en place d’une plateforme de signalement des failles de sécurité).
Tous les ministères mettent en place des structures de sécurité des systèmes d’information, plus ou moins musclées et en relation avec l'ANSSI.
Le Ministère des Armées quant à lui, se distingue par des enjeux très forts pour l'État : potentiel de guerre au sens du code de la défense, prise en compte d'une menace étatique étrangère, protection et défense de systèmes d'armes très complexes…
À ce titre, il nécessite des structures musclées (plusieurs milliers de personnes), mais aussi quelques compétences uniques...
Le Centre d’Analyse en Lutte Informatique Défensive (CALID) est le CERT (Computer Emergency Response Team) du Ministère de la Défense, c’est-à-dire la structure "technique" de défense des systèmes d’information.
Le CALID est en charge de la surveillance des différents SI du ministère et partage des outils de détection des menaces avec l'ANSSI.
Le commandement opérationnel de cyberdéfense (ComCyber) assure la conduite des opérations de défense des SI.
À ce titre, il commande le CALID, mais aussi plus généralement toutes les opérations militaires dans le cyberespace.
Depuis le livre blanc et les discours du ministre des Armées, il est effectivement clairement affiché que le ministère des Armées dispose désormais de capacités offensives en la matière.
Le Ministère des Armées peut intervenir conformément à sa mission pour la défense de la Nation, notamment en cas de crise cyber ; il est également gestionnaire de la réserve cyber (citoyenne et opérationnelle).
La RCC se charge de faire la promotion des bonnes pratiques en matière de cybersécurité sur l’ensemble du territoire.
Il s’agit de réservistes civils qui souhaitent donner de leur engagement pour une cause d’intérêt général.
La réserve opérationnelle quant à elle, sera activée en cas de crise informatique majeure pour aider à la résilience des systèmes d’information.
L’objectif est donc de réduire drastiquement le temps nécessaire pour réinstaller quelques milliers de postes informatiques par exemple.
Il s’agit de personnels techniques, formés et mobilisables à tout moment.
Le Ministère des Armées, au travers notamment de la DGA et de l'expertise de la DGA-MI (délégation générale de l’armement – maîtrise de l’information), se charge de faire développer des équipements souverains.
Enfin, le Ministère des Armées a mis en place le pôle d'excellence cyber en région Bretagne.
L’objectif de ce pôle se structure autour de trois axes : la formation, la recherche et le développement du tissu industriel.
Afin de protéger les citoyens, la mission du ministère de l’intérieur est de garantir l’état de droit, sur le plan matériel comme dans le cyberespace.
La stratégie ministérielle de lutte contre les cybermenaces définit les objectifs spécifiques du ministère de l’Intérieur au regard du cadre fixé par la stratégie nationale de sécurité du numérique présentée par le Premier ministre le 16 octobre 2015.
Elle s’inscrit dans le cadre des 5 objectifs définis par le Premier ministre.
OBJECTIF 1 - DÉFENDRE LES INTÉRETS DE LA NATION
En complément de la judiciarisation des infractions, le gouvernement a décidé en octobre 2015 la mise en place du dispositif d’assistance aux victimes d’actes de cyber malveillance nommé cybermalveillance.gouv.fr.
Ce dispositif, via une plate-forme Internet, permet aux particuliers, entreprises et collectivités d’être mis en relation avec des acteurs de proximité référencés qui les aident à remettre en bon fonctionnement leurs équipements informatiques.
Les victimes peuvent également trouver de l’aide pour les démarches administratives comme pour le dépôt de plainte par exemple.
Le dispositif propose également des contenus de sensibilisation aux enjeux de protection de la vie privée numérique et de prévention.
Enfin, il héberge un observatoire qui offre une vue réelle et consolidée de la menace numérique qui pèse sur les particuliers, entreprises et administrations.
Ce dispositif a été mis en place au cours du premier semestre 2017.
Même si la cybersécurité n’est pas son cœur d’action, la Commission Nationale Informatique et Libertés (CNIL) possède une action très liée à la thématique de la sécurité des systèmes d’information.
En effet, elle accompagne les professionnels dans leur mise en conformité et aide les particuliers à maîtriser leurs données personnelles et à exercer leurs droits.
Elle analyse l’impact des innovations technologiques et des usages émergents sur la vie privée et les libertés.
En matière d’information et de sensibilisation, la CNIL met à disposition des particuliers et des entreprises des outils pratiques et pédagogiques pour participer à l’éducation au numérique qui permettent de mieux comprendre et de mieux appréhender les mesures de sécurité par la suite.
L’objectif principal de la CNIL est de veiller à ce que le développement des nouvelles technologies et les usages numériques ne portent atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.
La sécurité est l’affaire de tous et dépend de votre écosystème.
Au sein de votre entreprise ou votre administration, il est nécessaire d’identifier une personne qui aura la charge de coordonner les différentes mesures de sécurité.
Cette personne peut-être un Responsable de la Sécurité des Systèmes d’Information (RSSI), si la taille de la structure dont vous faites partie est suffisamment importante, ou un simple référent pour les plus petites entreprises.
En conclusion, les acteurs que nous avons pu découvrir dans cette unité ne sont pas les seuls mais ils représentent bien la diversité des acteurs de cybersécurité en France.
Le livre blanc de défense et de la sécurité nationale ainsi que la stratégie nationale de sécurité du numérique montrent également que la France se donne les moyens d’être optimiste : elle dispose de toutes les cartes nécessaires pour jouer un rôle de premier ordre dans le domaine du numérique et de la sécurité qui en dépend.
Il y a une bonne compréhension globale de la part des acteurs concernés des objectifs à atteindre et des arbitrages budgétaires permettent de déployer davantage de moyens.
Cela octroie d’importantes responsabilités à l’ANSSI, qui doit porter la question de la cybersécurité de manière à continuer à protéger la sécurité et la croissance économique du pays face à une menace qui ne va cesser de croître.