Kim Jong-un a-t-il ordonné le piratage de Sony Pictures, filiale cinéma du groupe japonais d'électronique ? C'est la sortie imminente en décembre dernier du film The Interview, qui raconte sur un mode satirique une tentative d'assassinat du dirigeant nord-coréen par deux journalistes, qui aurait suscité l'ire du dictateur et provoqué cette intrusion malveillante.

Les services secrets américains ont rapidement désigné ce « pays voyou » (rogue state) comme opérateur ou commanditaire de l'attaque informatique. Mais pour l'instant, aucune preuve formelle de l'origine de la cyberattaque n'a été apportée.

Certaines sources évoquent un groupe de pirates, les Guardians of Peace, d'autres des fuites orchestrées en interne par des salariés mécontents.

Cette affaire a eu des répercussions médiatiques considérables, qui ont affecté trois univers très différents : celui des célébrités, dont les messages privés ont été diffusés sur le Net ; le monde de la diplomatie, avec les réactions outragées de Pyongyang et les menaces de rétorsion de Washington ; le secteur de l'économie, avec une perte estimée pour Sony à plusieurs centaines de millions de dollars. Sans parler de l'atteinte à l'image de la multinationale nippone, qui est de surcroît la cible d'une plainte en nom collectif d'employés pour ne pas avoir su protéger leurs données personnelles, ce qui pourrait encore saler la note.

Cet acte de cyberguerre, qui intervient parallèlement à la montée en puissance du cyberterrorisme - plusieurs centaines de sites en France ont été « défacés », c'est-à-dire piratés par des organisations islamistes à la suite de l'attentat de début janvier contre Charlie Hebdo -, illustre bien la complexité de ce genre d'offensives qui se multiplient. Le nombre d'intrusions dans les systèmes informatiques a bondi depuis quelques années. Selon une étude du cabinet PwC, il a augmenté au niveau mondial de 48% en 2014, pour atteindre un nombre total de 42,8 millions, soit l'équivalent de 117 339 attaques par jour ! Depuis 2009, les incidents détectés ont progressé de 66 % en moyenne par an. Les grandes entreprises - revenus annuels brut de 1 milliard de dollars ou plus - et les organisations de taille moyenne - entre 100 millions et 1 milliard de dollars - sont les plus visées, avec des hausses respectives de 44 et de 64 %. Interpol a pris la menace tellement au sérieux qu'un complexe mondial pour l'innovation a été installé à Singapour. Autre initiative en guise de riposte, un sommet sur la cybersécurité est programmé aux États-Unis pour le 18 février prochain.

Aucun système n'est invulnérable

Le coût de ces piratages est considérable. En 2012, selon le chef d'Interpol Khoo Boon Hui, ils auraient coûté 750 milliards d'euros à l'Europe, soit plus que les trafics combinés de la cocaïne, de la marijuana et de l'héroïne. Aujourd'hui, les organismes privés et publics ne doivent plus se demander s'ils seront visés par des hackers, mais quand.

« La cybercriminalité peut être comparée à un cancer numérique : on ne peut pas prédire qui va être touché ni à quel moment », estime Julien Beaussart, expert en continuité d'activité de Devoteam, société spécialisée dans la sécurité, le nuage informatique et les mégadonnées.

Du simple particulier qui se fait dérober son numéro de carte bancaire au ministère de la Défense français, dont le site a récemment subi une attaque en déni de service (DoS, pour denial of service attack) de la part des Anonymous OpGPII, un groupe qui a déclaré vouloir venger la mort du militant Rémi Fraisse, il faut se rendre à l'évidence : nul n'est à l'abri d'une agression numérique. Même pas les terroristes, auxquels Anonymous vient de déclarer la guerre numérique pour mettre hors d'état de nuire les sites qui font l'apologie du djihadisme...

Empiler les couches d'antivirus, de parefeu et autres logiciels de protection ne change pas grand-chose. Aucun système d'information n'est invulnérable.

« C'est l'élément clé : il est impossible de se prémunir totalement contre une cyberattaque. Si quelqu'un veut le faire, il le fera », explique Dominique Loiselet, directeur général de Blue Coat France, une société américaine de sécurité en ligne.

Par exemple en mettant en place une menace persistante avancée (APT, pour advanced persistant threat), une offensive complexe combinant différents vecteurs et stratégies d'attaques. Ou, tout simplement, en soudoyant un employé détenteur des codes d'accès de la base de données de l'entreprise. Car les fraudes viennent aussi de l'interne.

Marc Ayadi, associé et responsable IT Advisory du cabinet Deloitte, qui a publié à l'occasion du 6e Forum international de la cybersécurité (FIC) à Lille dix recommandations aux organisations visant à les aider à lutter contre les cyberattaques, avertit que « la composante humaine est essentielle. Les entreprises sont devenues étendues, elles ont de plus en plus de partenaires, utilisateurs, clients, fournisseurs. Le risque de faille humaine est devenu considérable. »

Pour Dominique Perrin, responsable de l'offre sécurité d'Oracle, on peut lutter contre ces fuites intra-entreprises en mettant en place des programmes de gestion des identités et accès (IAM, pour identity and access management) : « Ils permettent de gérer plus finement les droits d'accès des employés aux systèmes stratégiques.

Un directeur financier et un directeur informatique n'auront pas le même niveau d'autorisation, par exemple. » Des solutions nettement plus sécurisées que des codes écrits sur un Post-It collé sur l'écran du PC. Une pratique dangereuse qui, selon Dominique Perrin, « existe encore ». Autre avantage de ces logiciels : ils permettent, en cas d'incident, de tracer les actions des personnes concernées, car, rappelle la responsable de l'offre sécurité d'Oracle, « ce sont les premières soupçonnées ».

Des pirates pour tester les défenses

Pour limiter les intrusions malveillantes et en minimiser les dégâts, Devoteam suggère trois règles d'or à suivre. D'abord, être vigilant sur son exposition numérique et augmenter le niveau de surveillance à un instant T, par exemple quand un de ses concurrents est piraté.

« Il faut "écouter" son réseau pour anticiper les attaques », conseille Julien Beaussart.

Ensuite, être réaliste :

« Souvent les sociétés sont dans le déni. Elles pensent que ça ne peut pas leur arriver ou que, de toute manière, elles sont bien préparées. Or, plus une entreprise est grande et complexe, plus il est difficile de protéger les systèmes d'information », analyse l'expert en sécurité.

Enfin, mieux s'outiller, et donc augmenter son budget sécurité, même si ça ne va pas toujours de soi, surtout en période de crise.

Pour Marc Ayadi, de Deloitte, « il faut se focaliser sur les risques les plus stratégiques, établir des plans de réaction et de repli, et mettre en place une gouvernance appropriée ».

Autrement dit, faire prendre conscience aux dirigeants et membres des comités exécutifs que la sécurité informatique n'est plus du seul ressort du directeur des services informatiques mais bien de tous, et en particulier des responsables au plus haut niveau.

« Depuis environ dix-huit mois, ils ont pris conscience que cela les concernait aussi. Toutes les sociétés du CAC 40 ont subi des attaques, même si elles ne le disent pas », explique Dominique Perrin.

Selon Guillaume Poupard, directeur général de l'Anssi, « le sujet de la sécurité informatique intéresse les patrons du CAC 40, que je rencontre régulièrement ».

Reste que la détection des programmes espions n'est pas aisée. Il peut se passer longtemps avant que quelqu'un ne s'aperçoive de la fuite des données. Dans le cas de Sony Pictures, ce serait plus de 10 téraoctets de données (10 milliards d'octets), qui auraient été siphonnés par les intrus. Une énorme masse d'informations impossible à dérober en quelques heures, ce qui signifie que l'attaque s'est opérée silencieusement pendant des jours, voire des semaines.

Ni muraille de Chine, ni ligne Maginot qui tienne

Certains acteurs anglo-saxons de la haute technologie, comme Cisco, Amazon, Google ou Microsoft, n'hésitent pas à louer les services de pirates dont la mission est de tester leur défense face aux assauts sur leurs réseaux et systèmes d'information. « En France, c'est encore mal vu, même si certaines entreprises le font discrètement », précise Julien Beaussart, de Devoteam.

Cette augmentation exponentielle des actes de « cybermalveillance » oblige les grandes sociétés à repenser leur approche de la sécurité informatique. Jusqu'à présent, elles bâtissaient des défenses de type ligne Maginot ou Grande Muraille de Chine. Une stratégie qui a montré ses limites, et qui a tendance à faire exploser les coûts de la sécurité numérique, alors que les budgets alloués à l'informatique sont en baisse depuis le début de la crise financière en 2008. Les estimations concernant la cybersécurité tournant autour d'une dizaine d'euros par utilisateur et par an, dans le cas de très grandes organisations employant des centaines de milliers de salariés, on atteint vite des sommes astronomiques. Dominique Loiselet, de Blue Coat, constate :

« L'entreprise a encore du mal à se détacher de l'approche classique de type bouclier en matière de sécurité informatique »

Guillaume Poupard ajoute :

« Il faut situer ses dispositifs de défense au bon endroit et les rendre plus dynamiques. La ligne Maginot, ça ne fonctionne pas plus en informatique que dans la guerre réelle. On a besoin de capteurs pour détecter les attaques et les éviter dans 95 % des cas. Puis se concentrer sur les 5 % restants »

Une pénurie d'analystes détecteurs d'attaques

Concrètement, cela signifie identifier les codes malicieux avec des techniques comme le bac à sable (sandboxing).

« Je crée un environnement virtuel qui simule mon système d'information, j'exécute un code et je regarde comment il se comporte, s'il ouvre des connexions bizarres, par exemple. En fonction de ces résultats, je hausse mon niveau d'alerte », décrit Dominique Loiselet.

Autre outil efficace : les logiciels de Siem (security information and event management, ou gestion des événements du système d'information). Ils permettent d'analyser les connexions des pare-feu, routeurs, serveurs, bases de données, et de les corréler pour mettre à jour une intrusion. Le point faible de ces programmes, c'est que seul un humain est capable de discerner si l'attaque est sérieuse ou non. Or, il y a pénurie de profils spécialisés dans ce type d'analyse.

Et, comme le dit la publicité d'un opérateur téléphonique, ce n'est pas fini. En effet, alors que les entreprises commencent tout juste à prendre conscience du risque accru posé par les cyberattaques, il va falloir aussi s'occuper des milliers d'appareils mobiles (smartphones, tablettes) peu ou pas protégés. « Il y a environ 30 % de ces mobiles professionnels cassés ou volés par an », rappelle Dominique Perrin, d'Oracle, qui propose une offre de « conteneur étanche », permettant de séparer ses données professionnelles de son espace personnel.

« Le curseur de la sécurité est en train de se déplacer vers les mobiles. Or, aucun développeur d'applications ne peut investir dans des vérifications de codes qui prennent du temps et ont un coût », estime Marc Ayadi de Deloitte.

Et ce n'est toujours pas fini : après les mobiles, voici qu'arrivent les millions d'objets connectés, encore moins protégés que les mobiles. Comme Sisyphe poussant sans fin son rocher, les entreprises vont devoir s'habituer à combattre en permanence de nouvelles formes de cybermenaces. C'est sans doute le prix à payer pour bénéficier des nombreux avantages d'une révolution numérique qui pénètre petit à petit toutes les composantes de nos sociétés hyperconnectées.