En juin 2013, le ministre Français de la Défense Jean-Yves le Drian déclarait porter la cyberdéfense au rang de « priorité nationale ». Pour l’illustrer concrètement, une enveloppe annuelle de 30 millions d’euros avait été dédiée au renforcement de la base industrielle de technologies de défense et à l’innovation. Le recrutement de plusieurs centaines d’experts d’ici 2019 affichait également des ambitions élevées. Surtout, le ministre annonçait la mise en place d’une chaine de commandement opérationnelle spécifique, unique, centralisée et intégrée au commandement interarmées des opérations. [1]
Un peu plus tôt en 2011, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) permettait à la France de disposer d’une force de frappe dissuasive et offensive sur la sécurité des systèmes d’information.Cette dynamique reste concrète puisque la Défense française entend porter de 3 000 à 4 000 le nombre de « cyber combattants » d’ici 2025.[2] Du côté de l’ANSSI l’effectif actuel est de 500 personnes, elle prévoit le recrutement de 100 personnes supplémentaires d’ici 2021. Ces ambitions affichées par l’état Français illustrent bien une prise de conscience et une volonté forte de renforcer ses capacités d’intervention au sein du cyberespace. Si d’autres pays comme les États-Unis avaient même créé leur US Cyber Command en 2010, ce nouveau théâtre d’opérations est plus que jamais investit par les nations qui y démontrent leur puissance et y travaillent le rapport de force avec leurs adversaires.
Le cyberespace n’ayant ni frontières claires ni cadre juridique international, il demeure un terrain ouvert à tout pays et à tout type d’acteurs. On y distingue en particulier les organisations étatiques ou assimilées, les entreprises et les individus. C’est sur ce même terrain numérique que les états s’affrontent en propageant parfois leurs attaques aux entreprises de leurs cibles, et même bien au-delà.
Des attaques de grande ampleur
Par son communiqué de presse du 17 Avril 2018, l’ANSSI affirme que l’année 2017 marque un tournant pour la sécurité du numérique avec la concrétisation de nombreuses craintes exprimées depuis plusieurs années.[3] La sophistication, l’ampleur et l’impact des attaques traitées sont sans précédents. Elles ont touché à l’intégrité de nombreuses entreprises dans le monde, victimes collatérales d’une cyberguerre s’intensifiant. Surtout, l’ANSSI a constaté deux nouvelles finalités dans les attaques qu’ils ont pu analyser. La première est la déstabilisation des processus démocratiques avec les campagnes de déstabilisation vécues notamment lors des élections présidentielles en France. La seconde est celle que nous développons ici : la déstabilisation de l’ordre économique.
Pour reprendre les définitions du manuel d’intelligence économique, il est question dans les exemples cités d’agression pour et contre l’information à des fins subversives.[4] L’ANSSI évoque par ailleurs dans son rapport la multiplication des opérations d’espionnage par compromission d’éditeurs ou prestataires informatiques, cette approche visant le maillon le plus faible d’une chaîne pour atteindre sa cible. C’est d’ailleurs un des éléments que l’on associe à la cyberattaque NotPetya de Juin 2017 dont le déploiement initial s’est opéré par la mise à jour compromise d’un logiciel de comptabilité largement utilisé en Ukraine. Le recours à des outils d’attaques sophistiqués, dérobés à des états, a paralysé différentes organisations gouvernementales Ukrainiennes durant plusieurs mois, mais aussi de nombreuses organisations privées comme l’entreprise danoise Maersk ou l’entreprise Française Saint-Gobain pour qui l’impact financier est évalué à plusieurs centaines de millions d’euros.
Si le mode opératoire complexifie sensiblement l’identification de l’origine de l’attaque, américains, britanniques et australiens semblent confirmer la thèse de l’exercice d’ampleur conduit par la Russie sur l’Ukraine.[5] L’objectif principal étant la compromission et la destruction du plus grand nombre de systèmes en démonstration de sa force de frappe cyber. D’autres cas peuvent être cités comme la cyberattaque Wannacry de mai 2017 qui a paralysé plus de 250 000 systèmes dans 150 pays touchant de nombreuses sociétés privées comme Renault en France. Les analyses également menées par les forces américaines, britanniques et australiennes attribuant l’attaque à la Corée du Nord.[6] Dans la même année, le conflit qui oppose l’Arabie Saoudite au Qatar depuis les années 90 s’est illustré par une offensive cyber. Cette attaque permet aux saoudiens, encore aujourd’hui, d’utiliser les contenus du bouquet Bein opérés par leur voisin Qatari pour les diffuser sur son propre media BeoutQ financé en grande partie par l’état saoudien. Une enquête diligentée par le Qatar et menée par Cisco, Nagra et Overon confirme l’acte de piraterie dont les dommages seraient évalués à 1 milliard de dollars.[7] Ces offensives majeures conduites par des organisations étatiques semblent indiquer qu’elles assument désormais pleinement s’attaquer à des cibles collatérales. Ces dernières ne disposant pas des capacités de défense requises face à de tels attaquants
Un rapport de force totalement déséquilibré
Depuis 2013 et les révélations d’Edward Snowden sur le programme PRISM, la force de frappe numérique de pays comme les Etats-Unis, la Chine, la Russie ou la Corée du Nord sont régulièrement démontrées au travers d’informations publiquement partagées. La transparence de certains pays quant aux budgets alloués à leur stratégie de cyberdéfense - les rapports officiels sont notamment communiqués par les Etats-Unis, la Grande-Bretagne ou la France - révèlent par ailleurs des montants en hausse constante chiffrés à plusieurs centaines de millions de dollars.[8]. Si les entreprises semblent également suivre ces tendances en accordant plus de moyens à la cybersécurité, leurs capacités de défense restent clairement inadaptées aux potentielles offensives de ces états. Un manque de sensibilité global et des budgets qui fluctuent entre 1 et 10% des budgets informatiques l’illustrent bien. Les acteurs de milieux très réglementés comme le bancaire ou l’assurance étant généralement les meilleurs élèves.[9]
Vers un renforcement du soutien des états aux entreprises
L’accompagnement des entreprises par l’état dans la guerre de l’information n’est pas nouveau, mais il tend à se renforcer sensiblement. La directive NIS – Network and Information Security – en Europe est un exemple de concrétisation. Elle propose aux états d’identifier, selon une approche par les risques, leurs Opérateurs d’Importance Essentielle et de leur fixer un cadre réglementaire visant un niveau acceptable de maîtrise du risque cyber. On peut citer par exemple les opérateurs en télécommunications, les entreprises de l’énergie, de l’eau et des transports. En France, l’ANSSI est chargée de la transposition de cette directive qui vient renforcer l’article 22 de la loi de programmation militaire publié fin 2013. Ce texte définissait déjà la notion d’Opérateurs d’Importance Vitale (OIV) et un référentiel de mesures organisationnelles et techniques à appliquer pour protéger leurs systèmes d’informations vitaux.[10] Ailleurs dans le monde, la China’s Cyber Security Law entrée en vigueur à l’été 2017 est un autre exemple d’initiative étatique qui vise à renforcer la sécurité de leurs entreprises.
Si ce genre d’approche est essentielle pour combler le retard général des entreprises en matière de sécurité de l’information, quelques limites sont à noter sur le court et moyen terme :
- Dans une logique de priorisation par les risques, toutes les entreprises ne sont pas concernées par ces initiatives. Pour celles-ci, la prise en compte du risque informationnel tiendra donc davantage à leur sensibilité au sujet.
- En fonction des pays, le cadre légal n’est pas toujours très clair et laisse largement place à l’interprétation. Il requiert parfois une analyse contextuelle par les entreprises ne serait-ce que pour connaître son applicabilité.
- Par ailleurs, les ressources nécessaires à l’application du règlement ne sont pas toujours en accord avec la maturité de l’entreprise. Ce peut être sur le plan budgétaire mais la transformation organisationnelle induite représente un point de difficulté majeur. Les compétences et l’expertise requises étant actuellement clairement insuffisantes, ceci de façon globale dans tous pays. Il en résulte une concurrence féroce sur le marché de l’emploi cyber où de nombreuses entreprises peinent à devenir attractives. La problématique touche également les organisations gouvernementales pour qui le recrutement et la retenue de leurs talents apparaît même comme un frein au déploiement de leurs stratégies.
Il n’y a de façon évidente pas de remède à effet immédiat qui puisse compléter ces initiatives gouvernementales pour relever plus rapidement le niveau de maîtrise des entreprises et réduire l’impact des cyber attaques étatiques. Il appartient néanmoins aux entreprises de se responsabiliser davantage sur la prise en compte sérieuse de leur exposition aux risques informationnels. Les organisations gouvernementales ont sans aucun doute une carte à jouer sur ce plan en commençant par la sensibilisation des dirigeants d’entreprise. Les cyberattaques majeures de 2017 et l’impact bien réel et quantifié sur les entreprises victimes doivent pouvoir les y aider. Sur le long terme, la coopération déjà amorcée notamment avec les opérateurs Télécom et les principaux hébergeurs doit contribuer à une amélioration sensible des capacités de défense des états et leurs entreprises. La prise de conscience globale a été longue, la transformation risque de l’être également mais le rapport de force reste établi.
Julien Bachelet