Quelle est la tendance en matière de cyberattaques, en particulier dans le monde industriel ?
Actuellement, nous observons deux principaux types d'attaques. Le premier concerne principalement l'espionnage et le vol d'informations, tandis que le second est lié aux attaques par rançongiciel (ransonware, ndlr). Ces deux types d'attaque ne sont pas totalement indépendants, car les rançongiciels peuvent également exfiltrer des informations avant de bloquer le système.
En ce qui concerne ces attaques, on applique une grille de lecture simple : la CIA, pour Confidentialité, Intégrité et Accessibilité. La confidentialité concerne les risques liés à l'espionnage, l'intégrité des systèmes est impactée par les rançongiciels, et l'accessibilité concerne les attaques de type déni de service visant à bloquer les serveurs de l'entreprise pour pousser la proie à payer.
Quels sont les secteurs industriels les plus vulnérables ?
Selon les rapports, les secteurs industriels les plus touchés par les cyberattaques incluent généralement ceux qui gèrent des infrastructures critiques et des données sensibles. Cela concerne les secteurs de l'énergie, de l'eau, de la santé et de la finance. Toutefois, la stratégie des attaquants peut varier et de grandes entreprises de divers secteurs sont souvent ciblées pour des rançons importantes. Par exemple, récemment le port de Nagoya, l'un des plus importants du Japon, a été paralysé par le ransomware LockBit, qui a ciblé le système contrôlant tous les terminaux à conteneurs.
À quelles architectures informatiques des industriels s'attaquent les cyberattaquants ?
Les entreprises de l'industrie 4.0 sont particulièrement vulnérables. Les attaquants ciblent principalement les architectures connectées à Internet, en particulier celles utilisant des systèmes d'automatisation et des objets connectés. Ils recherchent des points d'entrée, et une fois qu'ils accèdent à un système, ils peuvent se propager à d'autres parties de l'infrastructure.
Lorsqu'on parle des industriels, on évoque l'attaque des Scada (systèmes de contrôle et d’acquisition de données en temps réel, ndlr), mais de mon expérience, j'ai constaté que les attaques ne ciblent pas directement ces systèmes car ils sont complexes en raison de leurs systèmes propriétaires. Cependant, les entreprises utilisant un Scada peuvent être bloquées car d'autres parties de leur infrastructure peuvent être attaquées, la plus facile étant le poste qui commande ce système.
Il est donc crucial de sécuriser non seulement le périmètre de l'entreprise, mais aussi les dispositifs personnels, tels que les téléphones des employés et les objets connectés. Les employés peuvent être la première cible d'attaques pour obtenir des mots de passe exploitables, permettant ainsi aux attaquants de pénétrer jusqu'au système de production.
Comment le laboratoire de haute sécurité (LHS) du Loria répond-il à ces menaces ?
Le Loria, en particulier le LHS, joue un rôle crucial dans l'accompagnement des industriels et des services gouvernementaux pour faire face aux menaces de cyberattaque. Notre principale mission est de mener des recherches fondamentales en cybersécurité, en explorant des pistes qui n'ont pas nécessairement de retour financier immédiat.
En France, il existe peu de laboratoires travaillant sur les programmes malveillants, et nous étions parmi les premiers à évoquer l'importance de la recherche dans ce domaine. Notre succès réside aujourd'hui dans notre capacité à faire de cette problématique un sujet de recherche majeur. Nous développons des outils d'analyse des programmes malveillants, des méthodes de détection des attaques, dont la plus récente est l'analyse morphologique, commercialisée par les logiciels de Cyber-Detect.
Cette approche combine des techniques d'informatique fondamentale et d'apprentissage automatique pour détecter les comportements malveillants en examinant les liens entre les fonctionnalités d'un programme, aidant ainsi les industriels à détecter rapidement les cyberattaques et les risques d'intrusion dans leurs systèmes.
Le Loria a annoncé le 25 octobre un nouveau projet appelé le DefMal. Quel est son objectif ?
Nous travaillons depuis un an sur le projet DefMal (Défense contre les programmes malveillants), avec un budget de 5 millions d'euros échelonné sur six ans dans le cadre du programme de recherche (PEPR) en cybersécurité. Ce projet vise à développer de nouvelles méthodes d'analyse et de défense face aux malwares dans une approche interdisciplinaire à travers une plateforme d'échange.
En collaboration avec des partenaires académiques tels que Centrale Supelec, le CEA, le Cnrs, Eurecom et l'Inria, nous cherchons notamment à créer de nouvelles méthodes pour aider les analystes à réaliser des tâches de rétro-conception d'artefacts malveillants, à caractériser les attaques et à développer des outils de prédiction des cyberattaques. L’enjeu est de détecter les logiciels malveillants avant qu’ils ne passent à l’attaque.
Quels sont les futurs axes de recherche que le LHS entend explorer ?
Au LHS nous projetons de travailler sur le blanchiment d'argent lié aux cyberattaques en collaboration avec des économistes et des forces de l'ordre européennes. Nous explorons également l'aspect offensif de la cybersécurité. Notre objectif est de comprendre les signaux faibles et d'anticiper les nouvelles tendances pour contrer les cybercriminels.
