À l’approche des élections européennes, qui se tiendront le 26 mai dans l’Hexagone, toute l’Europe doit se préparer à un degré de cybermenace encore inédit.
Avis d’expert par Jean-Philippe Pouquet, Enterprise Sales Manager pour la France, Infinidat – Début avril à Bruxelles dans le plus grand secret, les experts en sécurité informatique des 28 Etats de l’UE se sont retrouvés au Parlement européen pour mettre en place un plan dont l’objectif est de contrer les attaques qui pourraient nuire aux systèmes informatiques sur lesquels s’appuient les élections, influencer les résultats et changer le visage de la politique. Que ce soit pour les élections européennes ou pour les futures élections nationales, les directions des services informatiques (DSI) de l’ensemble des institutions et des administrations doivent se préparer à l’éventualité selon laquelle des hackers réussiraient à compromettre le processus électoral.
Pour protéger les élections, les institutions et les administrations peuvent s’inspirer du monde des affaires : on peut ainsi voir un parallèle entre des acteurs hostiles manipulant les résultats des élections et une cyberattaque paralysant toute une entreprise. Dans les deux cas, l’économie et la réputation de l’organisation peuvent subir un préjudice irréversible. Et dans les deux cas, l’organisation doit disposer d’un plan méthodique pour lui permettre de rebondir rapidement et de fournir aux citoyens ou aux clients le service attendu de manière fiable et transparente.
La prévention d’éventuelles cyberattaques passe ainsi par la collecte d’informations essentielles avant et pendant les élections, ainsi que la mise au point d’un processus d’enquête et de réponse dans l’éventualité où une attaque aboutirait.
La collecte de données avant et pendant les élections
Les directions des services informatiques au sein des gouvernements doivent mettre en place un mécanisme de collecte de preuves tout au long du processus électoral. Ce mécanisme doit définir les données à consigner et leur mode de collecte, afin de permettre ensuite une analyse efficace. Il est notamment crucial de surveiller qui accède au système et comment, et quels sont les modes d’identification des utilisateurs. Si une attaque s’avérait fructueuse, ces données seraient essentielles pour déterminer a posteriori ce qu’il s’est passé.
Or, il est important d’effectuer cette collecte avant et pendant le scrutin, car en cas de cyberattaque, il est souvent trop tard pour récupérer ces données. Depuis quelques années, les pirates informatiques ont de plus en plus recours à des logiciels malveillants qui détruisent les informations permettant de les identifier et endommagent intentionnellement le reste des données. Le but ? Contrecarrer la recherche de protections efficaces des chercheurs en sécurité, qui collaborent aujourd’hui à l’échelle mondiale.
Cette politique de la terre brûlée complique fortement les investigations et permet aux hackers de s’assurer que les outils qu’ils ont développés restent utilisables plus longtemps. Après les élections : enquête et réponse Si une attaque a lieu, les DSI des institutions et des gouvernements devront analyser les informations et enquêter pour fournir des réponses. Au cours de ce processus, ils seront notamment amenés à examiner et à analyser les outils utilisés lors de l’attaque. Ces investigations sont principalement effectuées par les centres des opérations de sécurité (SOC) et les cyber-experts afin de répondre à des questions essentielles : comment et quand l’intrusion s’est-elle produite ? Quels outils les pirates ont-ils utilisés ? Sont-ils encore en mesure d’accéder aux serveurs et aux données du gouvernement ? Quelles données ont été compromises ? Des serveurs de commande et de contrôle (C2) sont-ils encore installés ? Les systèmes de contrôle à distance des hackers sont-ils encore accessibles ? Que peut-on en apprendre et comment neutraliser leur activité ?
En répondant à ces questions cruciales, les équipes commencent à élaborer un plan afin de résoudre le problème et de renforcer les défenses du système pour éviter que l’attaque ne se reproduise.
Une réponse rapide repose sur des solutions de stockage de données performantes
Les mesures à prendre avant, pendant et après les élections s’appuient toutes sur les données disponibles et sur la capacité à les récupérer rapidement et facilement. Cependant, les informations collectées et analysées sont généralement enregistrées sur des supports ne permettant pas d’y accéder rapidement, tels que des sauvegardes sur bandes. Ces supports sont certes peu coûteux, mais ils rendent la récupération des données difficile et fastidieuse. Or, si les élections venaient à être compromises, il serait inenvisageable de faire attendre les résultats aux citoyens de l’Union européenne ou de tout un pays, le temps que les données puissent être récupérées et analysées. La procédure doit donc s’effectuer aussi rapidement que possible. De la même manière, dans le secteur privé, une société boursière doit savoir rapidement si un système a été piraté, avant qu’une fraude ne se produise.
Les délais de récupération étant un facteur critique, les institutions et les gouvernements doivent mettre en place un niveau de performance adéquat qui leur permettra de bénéficier rapidement d’observations et d’analyses précises. Les équipes informatiques devront en effet récupérer un volume d’informations extrêmement important en un temps limité. Or, la capacité à localiser, à identifier et à récupérer les données efficacement dépend de l’infrastructure. Les solutions de stockage modernes disposent de mécanismes de snapshots permettant une surveillance des cybermenaces, ainsi que la détection des attaques actives. En présence d’un ransomware, la capacité de stockage utilisée est plus grande qu’en temps normal, ce qui fait augmenter le volume des snapshots. Les solutions de stockage qui surveillent la consommation de la capacité et génèrent des alertes permettent aux équipes informatiques d’identifier facilement une augmentation anormale de la consommation et d’y répondre rapidement. Les snapshots constituent également la solution de récupération la plus rapide, car il n’est pas nécessaire de transférer des téraoctets de données à partir de la sauvegarde.
Les administrations locales et nationales, ainsi que les institutions internationales telles que l’Union européenne, doivent examiner la qualité de leur infrastructure et s’appuyer dessus pour faire face à d’éventuelles cyberattaques dirigées contre les élections. Des solutions de stockage performantes sont essentielles pour une récupération rapide et efficace des données relatives à l’attaque. Avec l’apparition de logiciels malveillants et de modes de piratage de plus en plus sophistiqués, les menaces pesant sur les élections sont plus nombreuses que jamais. Aujourd’hui les DSI des gouvernements disposent de solutions fiables pour protéger le processus politique grâce à une préparation minutieuse et à des choix technologiques pertinents.