« Tous connectés, tous impliqués, tous responsables », c’est en ces termes que Guillaume Poupard, directeur général de l’ANSSI, faisait état de sa préoccupation face au niveau grandissant de la menace numérique en janvier 2019. Un an jour pour jour après sa déclaration, la France comme de nombreux pays, a vu arriver sur son territoire les premiers cas de patients atteints de la Covid-19. Depuis, 7 milliards d’humains ont été touchés par la propagation de la pandémie. Le coupable ? Un virus qui depuis plus d’un an paralyse la planète et oblige les dirigeants de nos pays à mettre un coup d’arrêt à leurs activités économiques. Les répercussions sont complexes et même impossibles à évaluer tant le virus a paralysé toutes les activités humaines, de l’enseignement au tourisme en passant par la culture.
Un an après, cette pandémie est toujours omniprésente, d’autant qu’elle semble être repartie de plus belle en Europe, obligeant la France et plusieurs pays à renforcer les mesures sanitaires déjà en place. Néanmoins, une année offre un niveau de recul suffisant pour dresser un premier bilan. Au-delà de l’aspect sanitaire et les drames que vivent les familles des victimes et des personnes impactées, la situation que nous vivons actuellement est un formidable exemple de résilience et devrait tous nous conduire à en tirer des enseignements.
Dans cet article, nous allons faire le parallèle entre la sécurité sanitaire et la sécurité numérique. Nous allons transposer les enseignements tirés de cette crise au monde informatique afin d’éviter, ou du moins de mieux gérer, une crise cyber à l’échelle mondiale que beaucoup annoncent déjà
Ce début de 21è siècle a été marqué par trois crises majeures qui ont impacté le monde entier et démontré sa globalisation. Tout d’abord, la crise sécuritaire dont les attentats du 11 septembre 2001 furent le point d’orgue. Puis 10 ans plus tard, la crise de la dette dans la zone euro en conséquence de la crise financière liée aux « subprimes ». Et enfin, une décennie après, la crise sanitaire actuelle liée à la pandémie de la Covid-19.
Grace à internet et à la digitalisation des activités humaines, nous avons fait preuve, lors de cette crise sanitaire, d’un grand degré de résilience en maintenant de nombreux secteurs vitaux tel que l’économie, l’éducation et jusqu’à une certaine mesure la culture. Mais ne nous y trompons pas ! Notre degré de résilience fut à la hauteur de notre degré d’impréparation tant sur le plan sanitaire que technologique. Cette crise sanitaire a mis en lumière l’ampleur du chantier numérique qui a dû, sous la contrainte et du jour au lendemain, accélérer pour répondre aux besoins d’interactions virtuelles d’une société privée d’interactions physiques. Cette marche forcée ne s’est pas faite sans conséquences. Les précautions d’usage ont dû être négligées préparant le terrain à une « cyber pandémie » annoncée. Cette crise d’un nouveau genre risque de paralyser nos infrastructures numériques et par conséquence nos activités en un claquement de doigts, ou devrais-je dire en un clic !
Ce scénario catastrophe, que nous pourrions qualifier de « cyber Armageddon », est plus proche de la réalité que de la science-fiction. D’ailleurs, des exemples ont déjà eu lieu à plusieurs reprises durant la dernière décennie mais de manière localisée à l’échelle d’une ville ou d’un territoire. Ce fut le cas par exemple en 2018 quand la ville d’Atlanta aux États-Unis fut paralysée par une attaque cyber. Par ailleurs, le déploiement en cours de la nouvelle génération de technologies de communication sans fil 5G aura de profonds impacts sur nos infrastructures numériques. L’hyper-connectivité et l’interdépendance de ces réseaux est comparable à l’abolition des frontières numériques, rendant accessible tant le petit objet connecté du quotidien que la voiture, le train, l’usine, voire la ville. À ce niveau, l’ampleur et les répercussions d’une attaque cyber seront considérables et la quantification de leurs impacts difficile, voire impossible, à réaliser, notamment si des vies humaines sont affectées.
Il semble désormais évident qu’une telle crise numérique est probable. Voyons comment nous pouvons « tirer profit » des enseignements de la crise actuelle pour mieux gérer les crises numériques du futur.
Avant toute crise, l’anticipation est de mise !
La sécurité, qu’elle soit sanitaire ou numérique, est principalement une question d’anticipation. Anticiper une crise est une activité pluridisciplinaire qui mobilise d’importants moyens humains et financiers. Dans le secteur sanitaire, la gestion des crises et des urgences est encadrée par des standards (ex. ISO 22325). Dans ces standards, les activités d’anticipation et de gestion de crise sont organisées en 5 phases : prévention, mitigation, préparation, réponse et récupération. En cybersécurité, la gestion de la crise est de la responsabilité des CERT (Computer Emergency Response Teams – centre d’alerte et de réaction aux attaques informatiques) dont la méthodologie de travail est grandement inspirée de ces 5 phases.
- La prévention repose sur une bonne connaissance de la menace qui sera mise à profit dans l’évaluation des risques. En cybersécurité, les activités de veille (Cyber-Threat Intelligence) réalisées par les analystes et les experts peuvent être comparées aux activités des épidémiologistes qui étudient les nouveaux virus et analysent leurs modes de propagation. Dans ce type d’activités, le partage d’information, la collaboration et les liens de confiance entre les laboratoires sont essentiels pour mettre en place des mesures préventives adéquates. En cybersécurité, la collaboration entre les CERT est une tendance actuelle forte qui tend à être intensifiée dans le futur afin d’éviter de reproduire les erreurs de cette crise sanitaire.
- La mitigation englobe les mesures d’atténuation ou d’annulation du risque. La crise sanitaire nous a démontré à quel point l’évaluation du risque est importante afin de sélectionner et d’engager les mesures nécessaires pour faire face à la menace. Malheureusement, de nombreux évènements récents ont démontré qu’un grand nombre de PME/TPE Françaises et Européennes n’ont à ce jour aucun Plan de Continuité d’Activité (PCA) ou Plan de Reprise d’Activité (PRA). Pire, beaucoup n’ont même plus de sauvegardes en adéquation avec leurs besoins opérationnels alors que leurs activités dépendent entièrement de systèmes et/ou de données externalisés. On ne le dira jamais assez, ne pas avoir de PCA/PRA relève de la négligence quand on connaît la nature et l’étendu des conséquences d’une attaque cyber. De même pour le déploiement et la mise en œuvre de solutions de protection adaptées et à l’état de l’art (pare-feu, bastion, sondes de détection, SIEM, personnel qualifié, formé et entrainé, etc.).
- La préparation regroupe les mesures anticipatoires visant à garantir une réaction rapide et efficace face à une crise. La crise que nous vivons doit être étudiée et enseignée comme un cas d’école. Elle illustre à la perfection la nécessité de la mise en adéquation des moyens humains, matériels et organisationnels nécessaires à la gestion d’une crise. Le nombre de lits de réanimation, d’appareils d’assistance respiratoire, d’aides-soignants, d’infirmiers, de médecins, de réanimateurs, etc. Une bonne préparation implique également une maitrise des nombres de patients admis, une bonne coordination des équipes et la capacité de l’organisation (i.e. l’hôpital) à s’adapter (déprogrammations, transferts de patients, mobilisation d’autres catégories de retraités, etc.) pour faire face à un nombre de patients fluctuant de jour en jour. Vous l’aurez compris, transposé à la sécurité numérique, l’exemple est criant et démontre bien l’intérêt de s’assurer que les moyens nécessaires à la gestion d’une crise cyber seront bien là quand il le faudra.
- La réponse intervient pendant la crise et consiste à mettre en application toutes ou partie des mesures anticipatoires prévues dans le cadre de la phase de préparation. Si nous revenons à notre crise sanitaire, nous pensons tous aux réponses apportées par le gouvernement telles que le port du masque, la distanciation sociale, l’hygiène sanitaire, le confinement, etc. Des mesures qui parlent à tous et illustrent la nécessité d’être correctement préparé. Et si dans le monde réel, la mise en place de distanciation sociale a permis de ralentir la progression du virus, la mise en application d’une telle mesure en informatique relève de l’impossible tant les systèmes sont interconnectés. Des lors, seules les solutions de protection et de détection seront à même de mettre en œuvre l’équivalent de la stratégie « tester, tracer, isoler ». En sécurité informatique, l’isolement se traduirait par une ségrégation des réseaux, une mise sur liste noir d’une adresse IP (Blacklist), ou d’une mise en quartenaire d’une station de travail. Par ailleurs, la réponse à la crise de la Covid-19 a mis en évidence la capacité (humaine et matérielle) dans les services de réanimation de notre pays, nos stocks de masques, de consommables, notre dépendance vis-à-vis des chaînes d’approvisionnement se trouvant à l’autre bout du monde. En informatique, on ne parle plus de patients mais plutôt de nombre de requêtes que nos serveurs pourront gérer lors d’une tentative d’attaque par déni de service, de la formation de notre personnel à l’hygiène cyber, au nombre d’opérateurs du SOC (Security Operation Center) capable de surveiller les systèmes vitaux de notre nation, du degré de dépendance de notre système par rapport aux chaînes d’approvisionnement (matérielles et logicielles) de pays tierces. Vous l’aurez compris, l’analogie est frappante !
- La récupération, ou le redressement, vise à rétablir les fonctions du système dans leur état nominal, voire amélioré suite à une crise. Cette phase offre une opportunité aux décideurs d’apprendre des erreurs qui ont pu être faites ou de remettre en cause certains choix qui se sont révélés inadaptés lors de la réponse. Les mesures de récupération, quand celles-ci sont anticipées, sont souvent simples à mettre en place. Il s’agit par exemple de reconstituer les stocks de masques pour la santé. En informatique, ce sont les données stockées dans le cloud qu’on restaure afin de permettre le système à revenir à son état initial d’avant l’attaque, ou presque. Plus rarement, Il s’agit parfois de remplacer des équipements endommagés ou dont la performance n’a pas été à la hauteur des promesses. La récupération consiste également à changer de stratégie afin d’anticiper la prochaine crise. Dans le secteur sanitaire, on parle de relocaliser certaines productions, de former davantage de personnels, d’améliorer la gouvernance et le partage d’information. Autant de mesures, qui sont directement transposables à la cybersécurité. La pénurie de personnels qualifiés en cybersécurité est une préoccupation depuis un certain temps et la tendance est à la hausse. La coordination et le partage d’informations entre les nations sont balbutiants et les tensions géopolitiques ralentissent les coopérations alors que les cyber-criminels n’ont aucune frontière et coopèrent au sein de groupes de renommée internationale.
Il est certain que l’année 2020 restera longtemps gravée dans notre mémoire collective. Au-delà de la crise sanitaire, elle aura été marquée par un « exode numérique » massif des individus et des organisations vers une société virtuelle où les interactions ont pu continuer à avoir lieu, à bonne distance et dans le respect des gestes barrières et des mesures sanitaires en vigueur.
Comble du paradoxe, cette digitalisation forcée est la clef de voûte de la résilience économique, pédagogique et culturelle de notre société mais également son talon d’Achille. Dans l’urgence, la nécessité de connecter nos systèmes à internet nous a presque fait oublier que cela impliquait également de connecter internet à nos systèmes ! Dans ce contexte, la célèbre citation « Tous connectés, tous impliqués, tous responsables » de Guillaume Poupard prend pleinement son sens.
Si la transition des interactions physiques vers des interactions numériques, appelée digitalisation, commence à être maitrisée, la sécurisation de ces interactions continue de poser de réels problèmes aux professionnels de la sécurité, et notamment quand celle-ci est réalisée précipitamment. Les conséquences numériques de la Covid-19 ne sont pas encore connues et ne le seront que bien des années plus tard. Les enseignements tirés de cette crise sanitaire doivent nous inciter à prendre la mesure de la menace qui nous guette et éviter que cette digitalisation accélérée ne devienne une épée de Damoclès au-dessus de nos têtes, nous citoyens, organisations et gouvernements. Une situation que nous avons tous intérêt à éviter au risque de devoir prendre des mesures drastiques pour contenir une menace qui finira par nous dépasser. On le sait tous, le cout de la sécurité n’est pas négligeable. Cependant, face à une crise cyber majeure et comparés à l’ampleur des conséquences d’une telle crise, ces couts paraitront bien dérisoires s’ils contribuent à la maitriser, voire l’éviter.
Tags In
Reda Yaich
Reda Yaich est Ingénieur-Docteur en Informatique. Il est titulaire d’un doctorat de l’école des Mines de Saint-Etienne et d’un Master Recherche de l’Université Paris-Sud. Son domaine d’expertise couvre différents domaines de la cybersécurité, tels que l’autorisation, le contrôle d’accès et la détection d’intrusion. Reda a également une grande expertise en intelligence artificielle, notamment dans les mécanismes de décision décentralisés et les systèmes multi-agents. Reda a participé/piloté plusieurs projets nationaux (ANR, PIA, Régionaux, RAPID, etc.) et européens (FP7, COST, H2020, etc) et possède une longue expérience dans l’enseignement dans de nombreuses universités (Université de Saint-Etienne, Université de Lyon) et écoles d’ingénieurs (ENS Mines de Saint-Etienne, Telecom Bretagne, IMT Atlantique, ENSIBS, Telecom SudParis). En 2018, Reda a rejoint l’IRT SystemX en tant que Chercheur Sénior. Il occupe également le poste de responsable d’équipe « Sécurité numérique et réseaux ».