Cybersécurité : « Les attaques sur les infrastructures stratégiques sont amenées à se multiplier »

ENTRETIEN — Chris Krebs a été directeur de la Cybersecurity and Infrastructure Security Agency pendant la présidence de Donald Trump. Équivalent de l’Agence nationale de la sécurité des systèmes d'information (Anssi) en France, avec des compétences toutefois plus étendues, il s’agit d’une agence fédérale américaine spécialisée dans la cybersécurité, sous la supervision du département de la Sécurité intérieure des États-Unis. La Tribune l'a rencontré à l’occasion de la conférence annuelle de l’entreprise Rubrik, spécialiste de la sécurité des données, qui s’est tenue les 16, 17 et 18 mai derniers à San Diego.
Chris Krebs a été directeur de la Cybersecurity and Infrastructure Security Agency pendant la présidence de Donald Trump.
Chris Krebs a été directeur de la Cybersecurity and Infrastructure Security Agency pendant la présidence de Donald Trump. (Crédits : Rubrik)

LA TRIBUNE- En tant qu'ancien directeur d'une agence fédérale consacrée à la cybersécurité, quelle est votre analyse de l'évolution des cyberattaques au cours des dernières années ?

CHRIS KREBS- Aux États-Unis, les cybermenaces sont devenues une problématique majeure pour les entreprises depuis le début des années 2010. Le piratage de Sony Pictures par des hackers nord-coréens en 2014 a été un énorme choc, qui a provoqué une prise de conscience générale. Il y a également eu les attaques iraniennes de 2013 et 2014 contre des banques américaines et contre les casinos Sands à Las Vegas...

Toute cette première vague a ensuite été suivie, à partir de 2015, par les cyberattaques de la Russie contre la grille énergétique ukrainienne, qui ont constitué une nouvelle étape dans la mesure où elles ont pour la première fois mis en lumière le risque que les hackers pouvaient constituer pour les infrastructures vitales d'un pays.

Enfin, une troisième vague a été constituée par les tentatives d'interférence électorale de la Russie, en 2016 aux États-Unis et en 2017 en France. Nous avons donc assisté à des attaques de plus en plus nombreuses et sophistiquées de la part d'États comme la Russie, la Chine, la Corée du Nord et l'Iran. Mais aussi, en parallèle, à une explosion de la cybercriminalité : si les rançongiciels existent de longue date, ils se sont au cours des cinq dernières années accru en volume, et surtout au niveau des sommes demandées. L'an passé, par exemple, nous avons vu des hackers demander des rançons de 20, 30, voire 40 millions de dollars.

Bref, à mesure que le numérique prend un poids croissant dans notre existence, les opportunités pour les hackers se multiplient, qu'ils cherchent à déstabiliser un pays ou simplement à faire de l'argent.

Assiste-t-on à des collusions entre les cybercriminels motivés par l'appât du gain et les hackers professionnels, pilotés par des États, ou ces deux mondes restent-ils bien distincts ?

Ils tendent à avoir chacun leurs objectifs propres, et les études conduites sur le sujet par des agences étatiques et des chercheurs en cybersécurité ont pour l'heure montré que les liens étaient assez limités. En revanche, on voit beaucoup de hackers qui sont recrutés par un gouvernement en tant que contractants, voire même comme fonctionnaires à temps plein, et qui, en dehors de leurs heures de travail, lancent des attaques de rançongiciels pour leur propre compte. Cette pratique semble très présente en Iran et en Chine, notamment.

En Russie, on voit également que le Kremlin accueille favorablement le développement d'un vibrant écosystème de cybercriminels. Qu'il le contrôle ou non, le gouvernement russe semble avoir une excellente connaissance de ce qui se passe au sein de cet écosystème, et en bénéficie de plusieurs manières. D'abord, cela offre un pool de recrutement pour construire une cyberforce stratégique. Ensuite, cela permet de générer des canaux de revenus parallèles pour l'économie russe. Enfin, ces cybercriminels tendent à déstabiliser les industries et économies occidentales, ce qui colle aux objectifs stratégiques du Kremlin.

Vous avez mentionné les attaques de la Russie sur la grille énergétique ukrainienne à partir de 2015. L'an dernier, tout l'est des États-Unis a été en partie paralysé par la cyberattaque sur l'oléoduc Colonial Pipeline. Faut-il s'inquiéter de nouvelles attaques sur les infrastructures stratégiques dans un futur proche ?

Je pense en effet que certains États déploient des efforts croissants pour lancer ce type d'attaques paralysantes. Concernant l'attaque de Colonial Pipeline, mon ancienne agence, la Cisa, et le FBI l'ont attribuée à des hackers proches du gouvernement chinois, qui selon eux cherchaient ainsi à prouver qu'ils pouvaient causer à tout moment ce type de disruption. Plus récemment, au début de la guerre en Ukraine, la Russie a hacké Viasat pour interrompre les communications par satellite de l'Ukraine.

La question, désormais, est de savoir si ce type d'attaques peut aller plus loin en paralysant des capacités agricoles, industrielles ou technologiques. Je crains dans tous les cas qu'elles soient hélas amenées à se multiplier.

J'imagine que vous avez suivi de près le volet cyberguerre du conflit ukrainien. Avez-vous été surpris par ce que vous avez vu jusqu'à maintenant ?

De nombreux experts s'attendaient à ce que le volet cyberguerre de l'invasion russe soit plus efficace ou en tout cas plus visible. Cela aurait inclus la disruption des technologies de communications, le piratage des fournisseurs internet et des services de transport, bref, de tous ces services critiques pour aveugler et paralyser l'Ukraine au moment de l'invasion. Cela ne s'est pas produit, sans que l'on sache vraiment pourquoi.

Il y a cependant bel et bien eu un nombre de cyberattaques significatif : outre Viasat, les hackers russes s'en sont notamment pris à des banques et entreprises industrielles. Et il est fort probable que nous en découvrions de nouvelles à mesure que le brouillard de guerre se dissipe, que de nouvelles informations font surface et que des spécialistes analysent le conflit en profondeur.

Il est également à craindre qu'à mesure que la guerre se prolonge, que les livraisons d'armes et sanctions occidentales se poursuivent et que les conditions économiques et politiques se détériorent en Russie, le gouvernement russe soit tenté d'utiliser de nouvelles armes à sa disposition, ce qui pourrait inclure des cyberattaques destructrices dirigées contre les pays occidentaux. Le processus d'entrée de la Finlande et la Suède dans l'Otan est également à suivre de près dans la mesure où le Kremlin risque également de réagir par des cyberattaques contre ces deux pays.

Vous avez désormais lancé votre propre cabinet pour conseiller les entreprises en matière de cybersécurité. Quelles sont selon vous les tendances auxquelles les entreprises doivent se préparer dans les années à venir ?

Il y a pour moi quatre grandes tendances à suivre de près. D'abord, je pense que les hackers vont cibler de plus en plus les points faibles dans la chaîne de valeur des entreprises, ainsi que les fournisseurs de service web. Le Covid, en accélérant le travail à distance et la numérisation, a en effet conduit la plupart des entreprises à s'appuyer de plus en plus sur des services tiers pour des activités critiques, qu'il s'agisse du cloud, du SaaS, ou de la gestion des ressources humaines.

Les acteurs malveillants sautent sur l'opportunité et ciblent de plus en plus ces prestataires de services. Le gouvernement américain, au côté de plusieurs gouvernements alliés, a récemment relayé une alerte à ce propos. Les entreprises qui extériorisent la gestion d'une partie de leurs données doivent donc s'assurer qu'elles le font auprès de fournisseurs de confiance.

Deuxièmement, et dans ce même contexte, les attaques de rançongiciels vont continuer de se multiplier. Les cybercriminels ont en effet compris qu'ils pouvaient, avec ce type d'attaques, capitaliser sur les vulnérabilités des entreprises à l'ère numérique, miser sur les mauvaises configurations dans le déploiement de services web, et se faire ainsi beaucoup d'argent, le tout en limitant les risques de se faire prendre grâce aux cryptomonnaies.

Ce qui m'amène au troisième point : le web3, qui porte une vision décentralisée de l'internet et qui, s'il connaît en ce moment une période difficile, est amené à se développer au cours des prochaines années. Or, les technologies qui sous-tendent cette vision sont pour l'heure loin d'être au niveau en matière de sécurité, et les hackers en tirent profit : nous avons assisté à de nombreuses failles au cours des dernières années. En outre, la décentralisation fait que ce ne sont pas les entreprises les premières victimes de ces opérations de piratages, mais les utilisateurs finaux.

Enfin, je m'attends à ce que les États misent largement sur la cyberguerre pour causer des dommages importants aux infrastructures des pays avec lesquels ils entreront en conflit, que ces conflits soient directs ou indirects.

Pensez-vous que la stratégie actuellement déployée par les États-Unis et l'Union européenne pour parer aux risques de cyberattaques soit pertinente ?

La plupart des gouvernements sont actuellement en difficulté pour trouver des régulations aptes à limiter les risques. L'Union européenne s'est pour l'heure montrée plus déterminée que les États-Unis à mettre des règles en place et à les faire respecter, l'avenir dira si elles se montrent efficaces ou non. La directive NIS 2.0 doit encore venir renforcer l'arsenal de l'UE en matière de cybersécurité, et le Royaume-Uni planche également sur sa propre loi en la matière.

Aux États-Unis, nous avons davantage opté pour le laissez-faire, ce qui à mon avis bénéficie aux cybercriminels. Je suis cependant sceptique quant aux capacités des autorités à mettre en place des régulations efficaces pour contrer les risques en matière de cybersécurité : cela requiert un niveau de sophistication et de maturité sur ces questions qui n'est malheureusement pas là aujourd'hui. Cela ne concerne du reste pas que le gouvernement, mais aussi l'industrie de la cybersécurité elle-même. Nous luttons encore pour définir un cadre optimal et des technologies susceptibles de ramener les risques à un niveau satisfaisant.

Sujets les + lus

|

Sujets les + commentés

Commentaires 3
à écrit le 02/06/2022 à 10:39
Signaler
@enzoligark ( & pas seulement ... ) : Yes we can ! . AFF ISS .

à écrit le 02/06/2022 à 8:48
Signaler
Coree du Nord, Chine, Iran, Russie… des pays démocratiques et aux respects des libertés individuelles non ?A ceux qui disent qu ils ne faut pas se mêler de la guerre Russie- Ukraine…. Des 2015 la Russie déstabilisait son voisin la proximité démoc...

à écrit le 02/06/2022 à 6:20
Signaler
>>> Independenza ( Music/videooooo ) by IAM . AFF ISS .

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.