Par Abdelaziz Derdouri
Introduction
En 2020, il y aura 50 milliards d’outils informatiques qui seront connectés à internet dont 66% seront des mobiles. Le monde vit une situation d’interconnectivité globale et de dépendance croissante à l’égard des Technologies de l’information et de la communication TIC. Tous les nouveaux projets sont devenus inconcevables sans l’utilisation du cyberespace, étant donné qu’ils fonctionnent selon un modèle moderne à la fois comme fournisseurs d’informations et aussi de services sur internet. Ce qui explique pourquoi les dépenses mondiales dans les TIC devraient atteindre 4,3 trillions de dollars en 2020, soit une augmentation de 3,6% par rapport à 2019.
Sur le plan de la sécurité, 92% des logiciels utilisés comportent des vulnérabilités, donc des risques, sinon des menaces, et les cyberattaques contre eux ne cessent de croître en nombre et sophistication. Autres constatations, trois quarts des cyberattaques arrivent à contourner les mesures de cyberdéfense mises en place et 85% d’entre elles ne sont découvertes qu’après des semaines, celles restantes ne le sont qu’après des mois (sinon des années), alors que quelques heures seulement suffisent pour exfiltrer les données ciblées. La sécurité dans le monde digital s’impose et le succès de toutes les initiatives et projets serait menacé sans elle.
Exemples de conséquences des cyberattaques
Sur le plan financier, la compagnie d’assurances britannique Lloyd’s a estimé que les cyberattaques ont coûté à l’échelle mondiale 600 milliards de dollars environ en 2019. A titre d’exemple, le prix de vente de Yahoo à la compagnie Verizon a diminué de 4,3 milliards de dollars initialement à 350 millions de dollars suite à une cyberattaque et le vol de données d’utilisateurs. Pour le Forum économique mondial (WEF), le cyberespionnage industriel ou l’accès illégal aux documents confidentiels est difficile à détecter et ne peut être évalué financièrement.
Les dépenses mondiales en produits et services de sécurité de l’information ont atteint 130 milliards de dollars en 2019, soit une augmentation de 15% par rapport à l’année précédente ; ce marché atteindra 170,4 milliards de dollars en 2022.
Ce rythme de croissance devrait se poursuivre pour répondre à un large éventail de menaces, d’exigences et à des cyberattaques plus nombreuses, plus sophistiquées et plus furtives.
Sur le plan politique, les États utilisent aujourd’hui avec succès les cyberattaques comme outils pour exercer un contrôle politique ou comme instrument de soutien aux objectifs de la politique étrangère. C’est le cas des cyberattaques en 2010 des États-Unis et Israël contre les réseaux iraniens. Plus récemment, en 2016, les intrusions dans le réseau du Parti démocrate américain (Democratic National Committee, DNC) ont eu un impact sur le résultat des élections présidentielles américaines de 2016. Enfin, l’exploitation des données personnelles des utilisateurs britanniques de Facebook par la compagnie de consultation politique Cambridge Analytica a influencé le référendum sur le Brexit.
Le cyberespace se développe rapidement sur la scène des conflits nationaux et internationaux modernes et si la cybersécurité est utilisée par des criminels pour s’enrichir, elle l’est aussi par les États pour influencer le résultat des élections, favoriser l’installation de régimes politiques favorables, propager la désinformation à l’aide de plateformes comme Facebook et Tweeter. Les états-majors militaires l’utilisent pour «La Préparation au Combat» et pour la cyberdissuasion.
Les adversaires géopolitiques se ciblent de plus en plus à l’aide de cyber-tactiques allant de l’utilisation des logiciels malveillants, à l’ingénierie sociale et à la désinformation. Sont ciblées par les États les infrastructures sensibles du secteur industriel (énergie, transport, unités de production alimentaires, etc.) qui sont indispensables aux activités quotidiennes, elles présentent une opportunité pour provoquer des perturbations et des dommages à la fois physiques, économiques et politiques. C’est cette nouvelle forme de guerre qui fait avancer les agendas géopolitiques. Ces pratiques ne sont certainement pas un phénomène nouveau en ce qui concerne l’histoire de l’humanité, elles existaient déjà depuis des décennies sauf que les outils ont changé avec l’avènement de la cybersécurité.
Les prix des outils de cybersécurité
Ils sont plutôt élevés, les plus commercialisés sont les plateformes de supervision UTM (Unified Threat Management ou Gestion unifiée des menaces) et les pare-feux de nouvelle génération (NGFW et NGIPS). Les prix de ces derniers peuvent atteindre 100 000 euros l’un alors que la plateforme de supervision UTM peut se chiffrer à dix fois plus. En outre, l’exploitation de ces outils ne peut se faire que par des professionnels après une formation conséquente. Au total, le déploiement de solutions de protection et de détection pour une PME se chiffre en millions d’euros.
Ces dépenses sont-elles justifiées pour une entreprise économique ?
Selon la compagnie russe Kaspersky, le coût moyen pour remédier à une seule cyberattaque est estimé à 86 500 dollars pour les PME et à 861 000 dollars pour les grandes entreprises, mais ce coût est sujet à des variations importantes en fonction du pays et du secteur industriel. Il ne faut pas perdre de vue aussi ce que représente le temps que le personnel informatique consacre à ces cyberattaques et les impacts sur l’image et la réputation de l’entreprise victime, sans évoquer le préjudice parfois à la sécurité nationale. La réponse à la question est donc oui.
La situation économique de l’Algérie
Les prix du baril de pétrole étaient supposés rester volatiles entre 50 et 70 dollars avant la guerre des prix entre la Russie et l’Arabie Saoudite. Pour faire face à la chute des cours du pétrole, le gouvernement algérien est contraint de réduire tous les budgets. Les départements de la sécurité informatique ne sont pas épargnés. Dans ces conditions économiques défavorables, quelle stratégie de cybersécurité pour Algérie ? Comment sécuriser les données en 2020 et plus tard avec des budgets réduits et en plus avec une perception insuffisante de la cybermenace et des enjeux de la cybersécurité par les responsables ? Avant de répondre à cette question, il serait opportun d’analyser certaines cyberattaques.
Analyse
L’analyse des cyberattaques importantes durant ces dernières années dévoile que le manque de vigilance des utilisateurs des outils informatiques et l’exploitation par les pirates des vulnérabilités logicielles connues dont les correctifs ou patchs existent mais n’ayant pas été pris en considération par les responsables des services informatiques ont été les plus préjudiciables.
L’Office of Personnel Management (OPM), une institution américaine chargée des habilitations de sécurité des cadres supérieurs, a été victime de l’exploitation de vulnérabilités connues puis de l’installation de portes dérobées (backdoors) et d’exfiltrations d’informations sensibles de 21,5 millions de cadres américains anciens et actuels.
La cyberattaque contre la société panaméenne Mossack Fonseca dévoilée par l’affaire Panama Papers a permis le vol de 11,5 millions de documents contenant des informations financières personnelles sur des milliers de personnes fortunées, dont des fonctionnaires de gouvernements, dont des Algériens. Cette attaque qui a duré plusieurs années était extrêmement simple et courante grâce à l’existence dans le réseau d’une vulnérabilité connue, dont le correctif existait, et qui était trivialement facile à exploiter.
Une autre cyberattaque, WannaCry, a affecté des millions de systèmes dans le monde, y compris en Algérie. Elle a ciblé une vulnérabilité dans les systèmes Windows alors qu’un correctif mis à disposition par Microsoft existait déjà depuis des mois.
La cyberattaque contre Equifax, cette société américaine d’évaluation de cotes de crédit de millions de personnes et entreprises qui a duré de mai à juillet a affecté les données de 143 millions de personnes. Le préjudice financier, non encore définitif, a été estimé à 439 millions de dollars. L’enquête forensique a mis en évidence que cette cyberattaque était «entièrement évitable» si des mesures de sécurité connues et élémentaires avaient été prises.
La cyberattaque en juillet 2019 contre les Nations unies, interprétée comme un acte d’espionnage politique, a concerné une cinquantaine de serveurs appartenant à ses bureaux à Vienne et à Genève, y compris le siège du Haut-Commissariat des Nations unies aux droits de l’homme (HCDH). Les pirates ont exploité une vulnérabilité dans Microsoft SharePoint pour exfiltrer environ 400 gigabytes de données. Microsoft avait pourtant publié un correctif pour cette vulnérabilité en mars 2019 et l’attaque aurait pu être évitée si le personnel informatique avait appliqué ledit correctif.
En février 2020, une source militaire israélienne a déclaré que des militants palestiniens de Hamas sont responsables de l’opération «Honey Trap» qui a consisté en l’utilisation de la technique du Phishing (hameçonnage) pour infecter plusieurs centaines de smartphones de militaires israéliens avec des logiciels malveillants (malwares) contenus dans des photos de jolies femmes et exfiltrer des données.
Enseignements tirés
Toutes ces attaques qui ont été rapportées largement par la presse et les entreprises victimes étaient présentées comme des cyberattaques sans précédent et hautement sophistiquées, jusqu’à ce que l’on découvre, grâce à l’analyse forensique, que quelqu’un a oublié d’appliquer un correctif de sécurité pourtant disponible ou de prendre des mesures simples et accessibles comme la formation de sensibilisation contre le Phishing qui auraient stoppé lesdites cyberattaques sophistiquées.
Selon les compagnies de sécurité Online Trust Alliance et Risk Based Security qui ont analysé 159 000 cyberattaques, 93% d’entre elles auraient pu être évitées si des mesures simples avaient été prises.
Sur les milliers de vulnérabilités de logiciels officiellement recensées, seules 81 sont utilisées pour les cyberattaques et deux tiers (54) de ces vulnérabilités sont utilisées et réutilisées plusieurs fois. La vulnérabilité Stuxnet (CVE-2010-2568) reste en tête de liste en termes de vulnérabilités utilisées et réutilisées malgré l’existence d’un correctif depuis une décennie. C’est cette vulnérabilité qui a été exploitée par Israël et les États-Unis pour attaquer les systèmes de contrôle Scada (Supervisory Control And Data Acquisition) des centrales nucléaires iraniennes et détruire plusieurs centaines de centrifugeuses nucléaires.
Le rapport du mois de février 2020 de la compagnie Recorded Future, qui a compilé une liste des dix vulnérabilités les plus exploitées par les cybercriminels ces quatre dernières années, révèle aussi que certaines ont été utilisées et réutilisées pour les cyberattaques alors que les correctifs de ces vulnérabilités existaient depuis 2012.
La cybercriminalité a entraîné 3,5 milliards de dollars de pertes aux États-Unis en 2019 avec une forte augmentation de l’utilisation de la technique de compromission des emails (Business Email Compromise, BEC) qui représente à elle seule la moitié de ces pertes (1,77 milliard de dollars). Le rapport publié en février 2020 par Internet Crime Complaint Center (IC3) qui dépend du FBI précise qu’il n’a pas constaté de nouvelles techniques mais plutôt le déploiement par les cybercriminels des mêmes techniques d’escroqueries existantes dont celles du Phishing, Smishing, et Vishing. Pour sa part, le rapport de la compagnie de sécurité SolarWinds daté du 28 février 2020 révèle, sur la base des réponses de 400 responsables de la sécurité, que, pour la cinquième année consécutive, la principale source de menaces pour la sécurité des réseaux sont les employés négligents et sans formation de sensibilisation.
Le rapport annuel de la compagnie de cybersécurité Trend Micro divulgue que ses recherches confirment que les cybercriminels continueront à utiliser la «formule gagnante» qui consiste à exploiter «les vulnérabilités logicielles connues n’ayant pas bénéficié de l’application des correctifs et la technique du Phishing pour accéder aux réseaux car ces techniques restent efficaces et peu coûteuses». Les mêmes recherches mettent en évidence que le nombre de sites web utilisés pour le Phishing a augmenté de près de 4 000% depuis 2015.
Le nouveau rapport annuel d’IBM X-Force Threat Intelligence Index, rendu public en février 2020, précise que les 3 vecteurs d’attaque principaux en 2019 sont le Phishing (31%), l’exploitation des vulnérabilités logicielles connues (30%) et l’exploitation des informations d’identification (mots de passe) précédemment volées (29%), alors que les cyberattaques extérieures (Brute Force Attack) ne représentent que 6%. Il est donc «plus important que jamais de consacrer des ressources à la formation de sensibilisation des employés sur les risques en ligne afin de protéger les données».
Ces recherches mettent en évidence qu’une grande partie de la cybermenace est représentée par la menace interne (Insider Threat) et qu’elle peut être contrée grâce à des mesures accessibles et non onéreuses. Parmi ces dernières, la formation de sensibilisation sur les risques en ligne en particulier contre le Phishing et la remédiation aux vulnérabilités connues. Chacune de ces réponses proactives est une arme supplémentaire dans l’arsenal de la cybersécurité et un renforcement de la sécurité qui n’ont pas une grande incidence financière. Elles réduisent considérablement les risques d’intrusions, rendent les systèmes plus résilients et les cyberattaques plus coûteuses pour les pirates. Aujourd’hui le Phishing et l’exploitation des vulnérabilités connues pour accéder aux réseaux sont les techniques les plus fréquemment utilisées par les pirates, les moins couteuses et les plus efficaces.
Quelle stratégie de cybersécurité pour l’Algérie ?
Avant de définir une stratégie, il est important de déterminer en premier avec précision les risques et menaces et de réagir ensuite de manière appropriée au niveau organisationnel et opérationnel.
La menace interne
La menaces interne représente le plus grand risque pour la sécurité de l’information et le Phishing en fait partie. Il représente la cyberarme la plus économique, la plus utilisée et la plus efficace entre les mains des pirates. Les études forensiques montrent qu’environ 85% des cyberattaques sont mises en œuvre et lancées via les canaux du Phishing.
La formation de sensibilisation des utilisateurs des outils informatiques sur les risques en ligne, en particulier le Phishing, s’impose, elle est même essentielle puisqu’aujourd’hui la façon la plus simple de réussir une cyberattaque consiste en l’exploitation des vulnérabilités humaines car souvent les utilisateurs n’ont pas une perception des risques associés à leurs actions sur le réseau alors que de nombreuses organisations continuent à mettre l’accent uniquement sur l’acquisition des équipements pour la sécurisation des réseaux ignorant que sans «la sécurisation de l’homme» leurs efforts seront vains. Malgré le nombre d’avantages offerts par les technologies basées sur l’Intelligence Artificielle, la sécurité continuera à dépendre de l’élément humain qui ne pourra être éradiqué des processus de sécurité.
La protection contre les menaces externes occupe plus l’attention et consomme d’énormes budgets mais les praticiens avertis savent qu’une menace égale et plus imminente peut provenir de l’intérieur, motivée par la malveillance, la paresse ou tout simplement l’ignorance. La réalité est que la plupart des cas de vols de données sont auto-infligés.
Certes la formation de sensibilisation n’offre pas une protection totale mais elle joue un rôle extrêmement important dans le sens où elle est accessible, elle réduit considérablement les risques à un niveau très bas et fait des utilisateurs la première ligne de défense et un pare-feu humain. Une campagne de sensibilisation efficace, mise en œuvre horizontalement et verticalement, peut réduire de moitié le nombre de violations.
Elle aura un impact considérable sur la mise en conformité des institutions et entreprises, la minimisation de la menace interne, l’amélioration des connaissances des utilisateurs, et surtout favorisera la capacité à percevoir et identifier les risques et menaces en ligne par l’utilisateur. Son objectif final, non négligeable, étant de créer une culture de la sécurité de l’information chez l’utilisateur et de faire de lui un allié de l’équipe de sécurité.
Le marché de la formation à la sensibilisation des utilisateurs sur les risques en ligne est ainsi devenu un marché en forte croissance dans le monde au cours des dernières années.
En Algérie, ce marché peut être assuré sans difficulté aucune par les sociétés de cybersécurité algériennes et les universités.
La menaces des vulnérabilités dans les logiciels
Un défi majeur de la cybersécurité consiste à comprendre comment minimiser les coûts de gestion et de protection des actifs informationnels et un élément central de ce défi consiste à adopter un processus de gestion qui peut détecter et corriger les vulnérabilités logicielles connues. Ces dernières fournissent un point d’entrée ou une passerelle pour exploiter un système et en tant que telles posent des risques de sécurité potentiellement graves. Lorsque ces dernières sont connues, non gérées et non corrigées, elles deviennent des vecteurs d’attaque que les pirates vont exploiter.
Il existe pourtant des mesures proactives et de renforcement de la cyberdéfense qui peuvent être utilisées pour réduire le risque posé par les vulnérabilités logicielles connues et celles non encore découvertes. Dans le monde réel peu de vulnérabilités sont dans le point de mire des pirates comme on l’a vu plus haut. Une approche prometteuse de la correction consiste à identifier les vulnérabilités susceptibles d’être effectivement exploitées indépendamment du classement CVSS (Common Vulnerability Scoring System) et à prioriser les efforts pour appliquer les correctifs à ces vulnérabilités en premier.
L’approche dite Carta (Continuous Adaptive Risk and Trust Assessment) remédie de manière optimale aux vulnérabilités qui présentent le plus grand risque, celles effectivement exploitées par les pirates, tout en dépriorisant les vulnérabilités qui présentent le risque le plus faible.
Elle réconcilie deux principes, celui de la plus grande couverture des vulnérabilités corrigées et celui d’un taux d’efficacité élevé. Les entreprises peuvent ainsi réduire considérablement leurs budgets de sécurité et libérer la main-d’œuvre pour se concentrer sur les autres problèmes critiques.
On peut aussi par exemple opter pour une approche hétérogène en combinant différentes options de renforcement de la cyberdéfense telles que la désactivation des services inutiles, l’installation des mises à jour de sécurité, la réalisation d’un inventaire précis des actifs informationnels, etc. L’objectif étant de rendre impossible sinon très difficile et très coûteux pour un pirate d’exploiter avec succès une vulnérabilité dans le réseau.
En mettant en place une politique de gestion des vulnérabilités qui définit comment, qui et quand les correctifs sont testés et appliqués aux systèmes, le niveau d’efforts nécessaires pour les pirates pour lancer une cyberattaque et étendre le contrôle à d’autres composants du réseau est considérablement accru et la possibilité d’exploitation des vulnérabilités est réduite de 80%, selon la société de sécurité Gartner.
L’application de correctifs est l’une des activités les plus critiques de la gouvernance informatique, elle est au cœur de la cybersécurité et n’est pas une tâche excitante mais plutôt fastidieuse. Cette situation a pour conséquence que les pratiques de base en matière d’hygiène cybernétique sont souvent oubliées et la porte du réseau laissée ouverte à l’intrus. Des solutions automatisées pour remédier aux vulnérabilités existent et seraient tentantes mais elles supposent un impact financier important.
L’exploitation des publications d’instituts spécialisés en cybersécurité
Des guides et publications gratuites et accessibles sur internet peuvent être exploités pour renforcer la sécurité des systèmes d’information. C’est le cas des nombreuses publications gratuites et d’intérêts certains de l’institut NIST (National Institute of Standards and Technology). La publication par exemple « Création d’un Programme de gestion des correctifs de sécurité et des vulnérabilités » décrit des principes et méthodologies que les entreprises en Algérie peuvent mettre à profit et s’en inspirer pour la sécurité globale des systèmes informatiques de manière rentable et à moindre coût.
D’autres instituts et organisations disposent de banques de données accessibles sur les vulnérabilités, c’est le cas de la National Vulnerability Database -NVD- qui contient plus de 16 000 vulnérabilités et reçoit quotidiennement des rapports sur les nouvelles vulnérabilités découvertes. Ces listes sont consultées aussi par les pirates qui utilisent les informations ainsi recueillies pour organiser leurs cyberattaques.
Les informations du Centre des menaces internes du Software Engineering Institute (SEI) aident à identifier les menaces internes potentielles, suggèrent des moyens pour les prévenir et des processus pour y faire face.
Le SEI donne accès à plus de 5 000 documents représentant plusieurs années de recherche sur les Meilleures Pratiques (Best Practices) en matière de cybersécurité. Ces documents consultables comprennent des rapports techniques, des présentations, des podcasts, des blogs, etc. Sur la base de l’analyse de plus de 700 cas, le SEI a élaboré un guide pédagogique succinct pour contenir les menaces internes. Le guide recommande 19 Meilleures Pratiques pour prévenir, détecter et répondre aux dommages causés par des menaces internes.
L’ENISA (European Network and Information Security Agency) met à disposition gratuitement une documentation pour les spécialistes de la cybersécurité qui aide à accroître les compétences opérationnelles ainsi que des manuels pour les formateurs et étudiants qui comprennent des outils et des données liés à des scénarios d’exercices, via des machines virtuelles, axés sur la journalisation, sur la surveillance des réseaux, la détection, l’analyse, l’interprétation ainsi que sur la détection de l’exfiltration de données.
Rôle des textes de lois
Les textes de lois sur la cybersécurité ont pour objectif d’obliger les entreprises et les organisations à protéger leurs systèmes et données contre les cyberattaques en imposant des normes. Ils constituent une mesure appropriée de dissuasion pouvant être générale ou destinée à un secteur spécifique comme l’énergie, le transport, les banques, etc.
Le cadre législatif de la cybersécurité dans le monde est en constante évolution pour mieux s’adapter à l’évolutivité des Technologies de l’information et de la communication (TIC) partant du constat selon lequel ces dernières et la cybermenace se développent à un rythme beaucoup plus rapide que les réformes juridiques.
Les textes de lois définissent aussi la Stratégie nationale de cybersécurité et énoncent les principes, les objectifs à atteindre et les lignes d’action. Il existe des dizaines de stratégies nationales de cybersécurité, certains pays en sont à leur troisième itération de stratégie nationale de cybersécurité.
Cette dernière a pour objectif de sécuriser et rendre le cyberespace national résilient aux cybermenaces. Elle peut être conçue selon le triptyque d’une cyberdéfense dont l’objectif est la résilience, la cyberdissuasion pour décourager l’organisation de cyberattaques contre le cyberespace national et la cyberformation qui consiste en la mise en place d’une politique de formation d’experts en cybersécurité autochtones.
Des pays ont des centaines (États-Unis) sinon des dizaines de textes et amendements de lois qui touchent à un aspect de la cybersécurité. Ces textes ont en général en rapport avec la coopération et le partage d’informations sur la cybermenace entre les institutions et entreprises nationales, sur la gestion des correctifs des vulnérabilités, sur la politique formation de sensibilisation sur les cyberrisques, sur les indicateurs de cybermenaces (Indicator of Compromise, IOC), sur les risques liés à l’internet des objets (Internet of Things, IoT), sur la cyberdiplomatie qui vise à établir des normes pour un comportement responsable dans le cyberespace, sur l’acquisition et l’utilisation des équipements étrangers qui peuvent contenir des logiciels espions et avoir une implication sur la sécurité nationale, etc.
La réponse du législateur à la cybermenace est importante et constitue une arme supplémentaire dans l’arsenal de la cybersécurité à caractère dissuasif et préventif.
Conclusion
Les études montrent que la plupart des attaques réussies ont exploité des «cyber-faiblesses» vieilles de plusieurs années. Cela signifie que quelqu’un a ignoré ou n’a pas mis en place des mesures de sécurité connues. La cause de la majorité des intrusions sont les vulnérabilités connues et non corrigées, le manque de sensibilisation des utilisateurs sur les risques en ligne et le retard cumulé en matière de textes de lois sur la cybersécurité qui jouent un rôle d’orientation et de dissuasion.
La volonté politique, la nature et le comportement humains sont des paramètres essentiels qui conditionnent la situation de la cybersécurité.
Il y a de merveilleuses innovations dans l’industrie de la cybersécurité comme l’intelligence artificielle, les machines intelligentes, la chaîne de blocs (Blockchain), etc., mais elles ne remplacent pas la responsabilité partagée du gouvernement, des législateurs, des responsables d’institutions et entreprises et des utilisateurs qui consiste à mettre en place une cyber-hygiène et une culture de sécurité pour rendre la pénétration des réseaux aussi difficile que possible.
L’organisation d’une semaine ou d’un mois, comme aux États-Unis ou dans l’Union européenne, d’une campagne de sensibilisation sur les cyberrisques réduit la fréquence et la gravité des incidents et contribue à la mise en place au niveau national d’une culture de la sécurité. L’Enisa a publié un rapport qui fournit des processus et des outils pour développer et maintenir une culture de la cybersécurité.
Il définit un cadre de mise en œuvre en huit étapes avec des directives détaillées pour chacune des étapes constitutives. La première étape consiste à répondre au besoin croissant d’éducation des utilisateurs sur les risques associés aux activités en ligne. L’idée derrière le concept important de la culture de sécurité est de faire, sans un coût excessif, de la sécurité de l’information une partie intégrante de la vie quotidienne des utilisateurs du cyberespace.
A.D.