Défense du royaume virtuel

0
99

Michael Techer, Country Manager France chez Check Point, décrit comment les États peuvent et doivent stopper les cyberattaques contre leurs actifs critiques et leurs citoyens.

Au printemps 2007, l’Estonie est devenue la première nation au monde à être victime d’une cyberattaque ciblée à grande échelle. Cette attaque DDoS (déni de service distribué) a paralysé le gouvernement et d’autres sites web critiques, ainsi que des systèmes tels que l’infrastructure bancaire, dans ce qui était à l’époque un des pays les plus connectés au monde, obligeant le pays à se déconnecter d’Internet pour rétablir ses services.

Depuis, les attaques à grande échelle contre des intérêts nationaux visant à endommager des infrastructures critiques et déstabiliser des pays se sont multipliées. Par exemple, le célèbre ver Stuxnet, détecté en juin 2010, ciblant une infrastructure « à haute valeur » en Iran et presque certainement parrainé par un État. Ou les États-Unis et le Royaume-Uni faisant une déclaration commune en avril 2018 concernant des cyberactivités malveillantes, prétendument perpétrées par le gouvernement russe.

Les cyberattaques ciblées à grande échelle visant des États peuvent avoir de nombreuses conséquences, allant de perturbations jusqu’à des décès. Que se passerait-il, par exemple, si l’alimentation en eau ou en électricité d’une ville était coupée, même pour une période de 36 heures ? Les entreprises ne pourraient pas fonctionner, les patients hospitalisés et les personnes vulnérables pourraient en mourir.  Une attaque à grande échelle contre le système bancaire pourrait paralyser les marchés financiers, et faire chuter des entreprises, et même des économies. Des attaques qui perturbent les systèmes de transport tels que le contrôle du trafic aérien pourraient avoir des conséquences évidentes.

La cyberguerre menée par un État contre un autre est devenue un danger très concret. La question qui se pose alors est la suivante : que peuvent faire les gouvernements pour protéger leurs citoyens et leurs infrastructures ?

L’état actuel de la cybersécurité nationale

Il est important de se rappeler que les cyber-risques pesant sur des pays ne proviennent pas uniquement d’autres pays.  Des organisations cybercriminelles, des terroristes, des hacktivistes et autres, utilisent des outils sophistiqués et réutilisent même ceux développées par des États, qui sont entrées dans le domaine public. C’était le cas de l’attaque globale du logiciel rançonneur WannaCry (et de l’attaque de NotPetya qui a suivi), qui a fait la une des actualités en 2017. Il n’est pas étonnant que le Rapport sur les risques mondiaux en 2018 publié par le Forum économique mondial place les cyberattaques en haut de liste, tant pour leur probabilité que pour leur impact. Ainsi, la plupart des États ont déjà cessé de considérer les cybermenaces comme étant « seulement » des pertes financières, des pertes de données ou des atteintes à la vie privée, pour en faire de véritables menaces à la sécurité physique et la vie.

La plupart des gouvernements adoptent désormais une approche à trois volets en matière de cyberdéfense. Premièrement, ils ont tendance à créer des cyberarmes, c’est-à-dire à mettre en place des comités et des administrations ont pour objectif d’étudier la meilleure stratégie, législation et approche pour faire face aux cybermenaces.

Deuxièmement, les gouvernements renforcent les programmes d’éducation et de sensibilisation. La plupart du temps, ils essaient de remédier à la pénurie mondiale en professionnels de cybersécurité, qui est estimée à environ 3,5 millions.

Troisièmement, ils établissent au moins un CERT (centre d’alerte et de réaction aux attaques informatiques) national civil, afin de faire face aux cybermenaces et aux cyberattaques.  Les pays séparent généralement leur cyberdéfenses militaires et civiles. Pour la défense civile, ils peuvent avoir un seul CERT centralisé ou quelques CERT spécifiques à certains secteurs. Mais comme leur nom l’indique, les CERT sont, par définition, réactifs plutôt que proactifs. Ils n’agissent généralement qu’après qu’un incident informatique majeur soit en cours ou se soit produit. Certains CERT se dotent de moyens proactifs. Ils collectent des informations et tentent d’alerter sur les nouveaux risques émergents ou les attaques prévisibles, mais l’efficacité de ces mesures est limitée, car le cycle global de détection, d’analyse, de publication et de mise en œuvre peut prendre des semaines plutôt que quelques secondes ou quelques minutes.

En tout état de cause, la majorité des CERT n’a ni les moyens juridiques, ni la capacité technique de protéger les intérêts nationaux de manière proactive en temps réel ou presque. C’est là que les choses doivent changer. Aujourd’hui, même si un CERT est informé quelques heures avant une méga attaque, il n’a aucun moyen de bloquer l’attaque de manière proactive ni défendre les principaux secteurs, services publics, hôpitaux, aéroports et autres installations critiques.

Établir une cybersécurité nationale efficace

Examinons plutôt un modèle de sécurité que nous connaissons mieux. En plus de défendre les frontières d’un pays, les défenses de la sécurité intérieure utilisent des outils tels que le radar pour scruter le ciel à la recherche d’attaques imminentes de missiles contre les villes et l’intérieur du pays. Cela permet d’analyser les actions de l’ennemi et prendre des décisions intelligentes afin d’instruire les citoyens de s’abriter ou lancer des frappes antimissiles.

Une approche similaire devrait être adoptée pour les cyberdéfenses nationales. Des protections internes et périmétriques sont nécessaires pour se protéger contre tout un ensemble de menaces, tentatives d’attaques de DDoS, logiciels malveillants furtifs et destructeurs.  Les principaux points d’accès aux infrastructures critiques du pays doivent être surveillés de manière proactive, avec alimentation des informations sur les menaces à un centre d’opérations afin d’identifier, analyser et déterminer de manière proactive la réponse correcte aux menaces entrantes.  Cela peut être associé à la prévention des menaces en temps réel pour piéger les nouvelles menaces de logiciels malveillants évasifs avant qu’ils ne se propagent à grande échelle.

Cette couche d’analyse des menaces et de visibilité doit constituer un « parapluie » sur les cyberdéfenses et les sources de renseignements des organisations, pour garantir la résilience globale du pays.  Ces protections doivent être aussi automatisées que possible pour assurer une réponse immédiate, avec un minimum d’intervention humaine, afin de coïncider à la vitesse à laquelle les menaces actuelles peuvent se propager.  Les protections doivent s’appuyer sur des renseignements en temps réel et sur une visibilité de la situation afin de se défendre contre des menaces, même nouvelles et jamais vues auparavant.

Internet a révolutionné tous les aspects de la société, y compris la diplomatie internationale et la guerre.  Pour se défendre contre les nouvelles générations de menaces, la seule approche valable consiste à adopter une approche holistique de la cyberdéfense nationale, capable d’identifier les premiers signes d’attaque et les maîtriser automatiquement, avant qu’elles ne causent des perturbations généralisées.