Le lieu est étrangement calme en cet après-midi de décembre, où la découverte de la faille Log4j fait pourtant trembler le monde de la cybersécurité. Si nombre de collaborateurs sont en télétravail, une poignée pianote derrière des ordinateurs, postée face à un grand écran où figurent des listes de comptes Twitter et un planisphère blanc, localisant des activités malveillantes. Sur un étage de sa tour à la Défense (Hauts-de-Seine), Orange Cyberdefense a installé l’un de ses Cert (pour Computer emergency response team), un centre d’alerte et de réaction aux attaques informatiques. Il est accolé à l’un de ses trois centres français de sécurité des opérations, appelés CyberSoc.
« Les deux équipes travaillent de concert, décrit Arnaud Espagnet, directeur de la branche CyberSoc du groupe de services de cybersécurité. Adresses IP, noms de domaine, réseaux sociaux, dark web… le Cert analyse des centaines de sources externes pour alimenter une base d’environ 16 millions d’indicateurs de compromission. Ce référentiel permet à notre SOC [Security operations center, ndlr] d’étudier ce qui se passe chez nos clients. » Des logiciels trient des milliards d’événements quotidiens, puis une centaine d’analystes se penche sur les alertes critiques pour détecter le plus vite possible la présence d’un logiciel malveillant.
En quelques années, la demande pour ces infrastructures s’est décuplée, liée à une hausse exponentielle des cybermenaces. En 2020, les forces de l’ordre ont traité quelque 420 plaintes pour des attaques par rançongiciels (ransomware en anglais), ces logiciels malveillants qui bloquent un système ou chiffrent des données avec demande de rançon, contre environ 295 en 2017. La pointe émergée de l’iceberg. « Une plainte est déposée pour environ 250 attaques tentées ou réussies », évalue le général de division Marc Boget, à la tête du ComCyberGend, le nouveau commandement de la gendarmerie dans le cyberespace.
Des cybercriminels professionnalisés
« Tout le monde est attaqué aujourd’hui, observe le PDG d’Orange Cyberdefense, Hugues Foulon. Devenues la menace numéro un, les attaques par ransomware touchent à 75% les ETI et PME. » Deux évolutions sont en cause. D’abord, les entreprises, en étant plus étendues et interconnectées, ont vu leur surface d’attaque augmenter. Y compris dans l’industrie, où le réseau informatique se connecte d’un côté aux fournisseurs et clients, de l’autre aux systèmes opérationnels des usines. Ensuite, les cybercriminels se sont professionnalisés, avec des groupes spécialisés par phase d’attaque (intrusion, chiffrement...). « Pour démultiplier les opérations, les attaquants de haut niveau ont créé des plateformes pour mettre leurs outils à disposition de moins experts, explique Gérôme Billois, l’un des associés du cabinet Wavestone. Ils recrutent des affiliés, sur le modèle d’Uber et Deliveroo, avec un partage des profits. »
C’est ce qu’on appelle le ransomware as a service (RaaS), vendu sur étagère et prêt à l’emploi. « On en trouve à 50 dollars sur le dark web, et pour 30 dollars de plus vous êtes formé à son utilisation », renseigne, captures écrans de sites criminels à l’appui, le responsable du Lab d’Orange Cyberdefense. Dans une petite salle remplie d’ordinateurs et dotée d’une cage de Faraday, pour manipuler du matériel vérolé, cet ingénieur (qui veut rester anonyme) infiltre les réseaux de cybercriminels pour mieux les connaître et observer leurs méthodes. Un point de défense important à l’heure où les attaquants connaissent mieux leurs victimes. « Les cybercriminels font de l’ingénierie sociale. Ils étudient l’entreprise attaquée, volent les données critiques et évaluent le coût de la remédiation du système pour demander une rançon légèrement inférieure », détaille Hugues Foulon.
Usines à l'arrêt
Conséquence, « les attaques font plus mal qu’avant, observe François Bidondo, le directeur de la sécurité informatique d’Alstom. Elles portent atteinte à la capacité de produire, avec des conséquences immédiatement tangibles, en termes d’impact financier, de capacité à tenir ses engagements et d’image ». À titre d’exemple, les cyberattaques de Renault et Pierre Fabre ont mis leurs usines à l’arrêt, tandis que la PME Lise Charmel a été placée en redressement judiciaire suite à plusieurs mois d’arrêt d’activité. « Aujourd’hui, plus personne ne se sent à l’abri, relate Jean-Baptiste Voron, le directeur technique cybersécurité d’Atos France. La sécurité informatique est prise à bras-le-corps, avec un double objectif : muscler sa défense pour ne pas apparaître comme une proie facile et être prêt en cas d’attaque. » D’où une hausse annuelle de 9% du marché de la cybersécurité, selon Orange Cyberdefense.
Alstom a fait entrer la cybersécurité au comex, augmenté son équipe dédiée de 10 à 60 collaborateurs en cinq ans et s’est renforcé avec des partenariats, comme avec Capgemini pour se doter d’un SOC. Il a aussi repensé sa défense. « La protection de type château fort, où l’on dresse des murailles mais sans défense dans l’enceinte, ne fonctionne plus, considère François Bidondo. Une approche “zero trust”, fondée sur la vérification permanente de l’identité et de l’autorisation, et des solutions en mode cloud, continuellement à jour et à l’échelle, deviennent impératives. » Autres pratiques qui se diffusent : le recours aux hackeurs éthiques, qui cherchent les failles avec bienveillance, et les simulations de cyberattaques.
Mise en place d’une défense régionale et sectorielle
S’il est essentiel que chaque entreprise renforce sa défense, toute la chaîne de valeur doit aussi s’engager pour une élévation générale du niveau de sécurité. « La menace n’est plus isolée, mais globale, justifie Loïs Samain, le responsable de la sécurité des systèmes d’information (RSSI) d’EDF Hydro. Les attaques par le ransomware Wannacry ont par exemple exploité une faille de Microsoft Windows pour toucher des centaines de milliers d’ordinateurs. Plus récemment, l’attaque de l’éditeur SolarWinds a servi à contaminer un de ses logiciels pour ensuite infecter toutes les entreprises utilisatrices. » En 2019, Airbus a été ciblé à travers quatre attaques majeures de ses sous-traitants, soupçonnées d’être des opérations de cyberespionnage opérées par la Chine. Et même sans aller jusqu’à ce type d’attaque par rebond, « la cyberattaque d’un partenaire peut toucher nos activités en créant des retards », souligne Loïs Samain. Récemment, Alstom a dû couper pendant dix jours toute connexion informatique avec un fournisseur cyberattaqué.
« Aucun établissement ne doit être orphelin en matière de cybersécurité, appelle Yves Verhoeven, le sous-directeur stratégie l’Agence nationale de la sécurité des systèmes d’information (Anssi). Si les grandes sociétés ont déjà leur Cert, nous voulons développer l’échelon régional pour aider les plus petites structures avec des équipes opérationnelles capables de leur apporter des réponses en cas de faille majeure. » Grâce à une enveloppe issue du plan cybersécurité annoncé en février 2021 par Emmanuel Macron, doté de 1 milliard d’euros, l’agence va accompagner la création de Cert régionaux, dits CSIRT, et sectoriels.
De quoi coupler maillage territorial et approche par l’écosystème. « Nous faisons de la veille sur la menace, en échangeant beaucoup avec des structures équivalentes à l’international, pour savoir qui attaque le secteur maritime et comment, explique Xavier Rebour, le directeur de France Cyber Maritime, l’association qui opère le Cert maritime, premier-né avec celui en santé. Avoir une approche sectorielle est un moyen de démultiplier nos défenses. » Tiers de confiance, les Cert permettent de partager les connaissances sur l’état de la menace, y compris entre eux grâce à leur intégration dans un même réseau.
5 000 postes vacants
Toujours pour jouer sur le collectif, le plan cyber a participé à financer la création d’un cybercampus, qui ouvrira à la Défense en février. Anssi, armée et gendarmerie, instituts de recherche (CNRS, Inria, CEA), industriels, start-up… environ 1 600 experts y seront rassemblés pour partager leurs compétences et développer des projets communs. Les premiers porteront sur l’intelligence artificielle et l’analyse de la menace. « Nous développerons des solutions spécifiques pour les PME et ETI », détaille aussi le responsable du Campus Cyber, Michel Van Den Berghe, qui souligne que 80% des PME qui ne paient pas la rançon après une cyberattaque (soit 40% de celles attaquées) déposent le bilan. Le lieu dispensera aussi des formations labellisées, un enjeu clé alors que 5 000 postes sont vacants dans le secteur, selon PwC.
Unique en Europe, ce site suscite l’intérêt de pays voisins, telles l’Allemagne, la Belgique et la Suisse. « Tout nouveau campus serait un ami car nous souhaitons pousser la collaboration européenne », assure Guillaume Poupard, le directeur général de l’Anssi. Une dimension clé, la cybercriminalité n’ayant pas de frontières. En octobre, la collaboration entre la gendarmerie française, la police ukrainienne, Europol et le FBI a permis l’arrestation de deux utilisateurs de rançongiciels, suspectés d’avoir commis une série de cyberattaques en Europe et aux États-Unis. Planifiant de faire passer ses cyberenquêteurs de 7 000 à 10 000 d’ici à 2023, la gendarmerie nationale a fait de la cyber sa priorité numéro un. La riposte passe aussi par la fin de l’impunité.
Infographie : Florent Robert / L'Usine Nouvelle - Sources : Anssi ; ministère de l'Intérieur Crédit. Infographie : Florent Robert / L'Usine Nouvelle - Sources : Anssi ; ministère de l'Intérieur
