Les cybermenaces liées aux tensions géopolitiques, s’accélèrent, ces dernières années. Ces armes stratégiques tentent notamment à déstabiliser les états et perturber les infrastructures critiques.
Stormshield décrypte les cyberattaques liées aux conflits géopolitiques
Décryptage du sujet à l’occasion des Assises de la Sécurité 2024, avec Pierre-Yves Hentzen, Président & CEO de Stormshield, leader européen de la cybersécurité.
Premier éditeur français pure player
Société de 440 collaborateurs, filiale à 100 % de Airbus et une présence en France et à l’international (Allemagne, Italie, Espagne, Pologne …), Stormshield affiche 80 millions d’euros de chiffre d’affaires, ce qui en fait le premier éditeur français pure player, avec plus de vingt ans d’existence, « notre métier est de faire des produits de cybersécurité, notamment des solutions pour protéger les réseaux, les données (chiffrement) mais aussi des systèmes de détection d’attaques sur les endpoints (EDR) ».
Avec quatre sites en France, Lyon, Lille, Toulouse et Paris, Stormshield propose ses produits à travers des distributeurs et partenaires. La R&D (220 personnes) est basée en France, « les produits développés en France, sont certifiés et qualifiés par les agences de cybersécurité, l’ANSSI en France, le CCN en Espagne, des discussions sont en cours avec les agences de cybersécurité en Allemagne et en Italie pour la certification de nos produits ».
Face à ses compétiteurs, Stormshield est bien armé, avec un positionnement stratégique important « nous nous appuyons sur nos origines européennes, qui associent des images de confiance, de transparence, de souveraineté européenne, de politiques de certification et de qualification de nos produits. Qui dit qualification dit audit des codes sources pour s’assurer de la non vulnérabilité des produits. Notre taille permet aussi la proximité auprès de nos clients ».
Pour Stormshield, la cybersécurité est un secteur d’innovation et de création, « nous insistons sur ce point, nous agissons dans les écoles pour montrer qu’il y a de nombreux métiers dans la cybersécurité, c’est un secteur attractif, bien loin de l’image du geek derrière son clavier. D’ailleurs, dans les dernières promotions cybersécurité, nous voyons la proportion de femmes augmenter, c’est une bonne chose pour les jeunes générations arrivant sur le marché. ». L’entreprise œuvre dans ce domaine, au sein d’associations également.
Les cyberattaques utilisées lors de conflits géopolitiques
On observe deux catégories d’attaques, les attaques invisibles et les attaques visibles. « Sur les attaques visibles, on peut parler des attaques DDoS (par deni de service) qui visent à bloquer les systèmes, les services en ligne, les infrastructures sensibles, en surchargeant les serveurs de requêtes, et en créant du trafic massif pour les faire tomber et les rendre inaccessibles ».
L’objectif est de perturber le fonctionnement classique des entreprises (media par exemple), de rendre inopérants des systèmes gouvernementaux ou encore bloquer les systèmes de santé (hôpitaux) « les conséquences des attaques DDoS sont immédiates, avec des impacts court terme ».
Pour les attaques invisibles, notons différents types « notamment les attaques opérées par exploitation de vulnérabilités et attaques APT, ces attaques sont plus silencieuses. Les produits de cybersécurité contiennent des vulnérabilités, comme les vulnérabilités Zero Day (non encore identifiées). Ces vulnérabilités permettent aux attaquants de s’introduire dans les réseaux, pour voler des informations stratégiques, sensibles, militaires, pour espionner et perturber les opérations ». Autre attaque invisible, la propagation de logiciels malveillants pour infecter les systèmes et réseaux (chevaux de Troie), opérer de l’espionnage, exfiltrer, détruire des données, mais aussi « comme ce sont des attaques dormantes, pour mettre en place des backdoors sur les systèmes et revenir à volonté tant qu’on n’est pas identifié. La Chine, la Russie, la Corée du Nord opèrent ce genre d’attaques ».
Les secteurs les plus vulnérables
Beaucoup de progrès ont été réalisés, « les plus vulnérables ne sont pas toujours ceux qui sont le plus attaqués. En effet, ceux qui sont le plus sensibles sont plutôt mieux protégés aujourd’hui ». Ainsi, les infrastructures critiques, réseaux d’énergie, systèmes de traitement et distribution d’eau, de transports, de télécommunications, systèmes financiers, médias, c’est-à-dire tout ce qui pourrait perturber les services essentiels (étatiques ou privés) comme les OIV sont particulièrement attaqués.« Les hôpitaux sont à part, très attaqués, et vulnérables pour différentes raisons à savoir, les problématiques et contraintes budgétaires, la taille des équipes internes SI et cybersécurité, avec peu de sensibilisation. Ils ont été notamment victimes ces dernières années d’attaques par ransomware pour bloquer les systèmes, avec demande de rançons. Les collectivités locales sont aussi visées. »
Dans le cadre des tensions géopolitiques précisément, « sont visés les infrastructures critiques, le secteur de la défense, les systèmes militaires, les réseaux de télécommunications militaires, les systèmes de contrôle d’armement pour subtiliser des données, les systèmes de renseignement pour avoir des informations stratégiques, le secteur financier et boursier pour perturber les transactions et créer de l’instabilité économique ».
Se préparer et se protéger
Renforcer ses moyens de cybersécurité et son arsenal de sécurité est donc prioritaire, en s’appuyant sur des basiques, à savoir protéger les accès sur les réseaux et les infrastructures (firewall), faire de la segmentation « c’est-à-dire compartimenter pour que les attaquants ne puissent pas aller sur tous les endroits du SI », faire de la détection « avec un système de prévention et détection d’intrusions. Quand l’attaquant est entré, il faut savoir où il se trouve pour mettre en place des systèmes de remédiation, des plans de réponse à incident », chiffrer les données et l’information « le chiffrement est une réponse efficace à nombre d’attaques, mais son usage est assez faible, il existe pourtant aujourd’hui des systèmes de chiffrement transparents pour l’utilisateur, simples à mettre en place », mais aussi former et sensibiliser les utilisateurs, « le maillon faible reste l’humain, ainsi, face à l’utilisation digitale quotidienne, l’hygiène informatique est essentielle et doit passer aussi par la formation, la sensibilisation, la simulation d’exercices, de phishing par exemple ».
Les basiques passent donc pas des outils, des process et l’humain « ce sont les trois moyens essentiels pour pouvoir se protéger. Les RSSI sont soucieux de la sécurité intrinsèque des produits de cybersécurité, et les décideurs, attentifs à la sécurité des produits, peuvent s’appuyer sur des solutions de confiance, c’est-à-dire testées, certifiées par les agences de cybersécurité et dont les codes sources ont été audités ».
Le niveau de sécurité aujourd’hui
Le niveau de sécurité a augmenté dans les entreprises, notamment avec l’effet Covid et confinement. « De plus, avec un climat international anxiogène et des affrontements entre blocs, les pays ont renforcé leurs infrastructures critiques, les acteurs étatiques et les OIV par exemple ont réhaussé leurs moyens de sécurité, mais ce n’est pas uniforme ». Il reste beaucoup à faire dans les PME, TPE, établissements scolaires.
De même, « il n’y a qu’à observer le dernier événement, les JO Paris 2024. La déferlante d’attaques n’a pas eu lieu, certes l’ANSSI a publié un rapport évoquant les tentatives officielles d’attaques identifiées (141) par deni de service principalement, avec 15% ayant atteint leur cible. Alors est-on mieux protégé ? ou ne s’est-il pas passé ce qu’on prévoyait ? Il y a eu sans doute bien moins d’attaques qu’on ne le pensait suite aux 450 millions de cyberattaques annoncées lors les JO de Pékin en 2021. ».
Le niveau de sécurité a donc été considérablement augmenté, « on peut même dire que l’ANSSI, le ministère de l’Intérieur, le ministère des armées, les entreprises de cybersécurité ont fait un énorme travail en amont ».
L’IA au sein de la cybersécurité
Aujourd’hui, l’IA n’est pas un outil qui permet d’augmenter l’arsenal des attaques, « il n’y pas de nouvelles attaques créées grâce à l’IA, en revanche, l’IA permet d’automatiser les attaques, donc les diffuser plus largement sur les systèmes et exploiter les vulnérabilités de manière plus importante ».
Il faut donc s’en prémunir. Alors, côté défenseurs, l’IA peut aider en matière de détection « l’IA permet d’automatiser la défense, avec des systèmes capables de détecter et d’analyser plus rapidement les anomalies, les comportements suspect, et d’avoir des réponses automatisées. L’IA n’est donc pas une révolution dans le domaine des attaques et de la cybersécurité, mais on observe des progrès. Reste à voir l’évolution dans les années à venir ».
Téléchargez cette ressource
Sécuriser votre système d’impression
Longtemps sous-estimée, la sécurisation d’un système d’impression d’entreprise doit être pleinement prise en compte afin de limiter le risque de fuite d’informations sensibles. Voici les 3 principales précautions à prendre.
Les articles les plus consultés
- Cybersécurité : Techniques de cartographie Active Directory avec BloodHound
- Vol de propriété intellectuelle: détecter les copies de répertoires
- Cybercriminalité : des attaques de plus en plus sophistiquées
- Maintenez votre sécurité dans le temps
- La fraude à l’identité numérique : les gestes qui sauvent