LA CYBERSÉCURITÉ AU TEMPS DU COVID-19
Il y a de ces virus qui attaquent les corps quand d’autres s’en prennent aux systèmes informatiques. Aucun ne nous aura épargnés en 2020, mettant à l’épreuve experts de la santé et de la cybersécurité. Carlo Harpes, fondateur et gérant, et Guillaume Schaff et Matthieu Aubigny, Security Consultants chez itrust consulting, analysent cette actualité et présentent les solutions proposées par la société pour naviguer au mieux dans ce climat de cyber-insécurité.
Le Covid-19 a-t-il fourni un contexte favorable à la recrudescence de cyberattaques ?
CH : Nous étions étonnés lorsque, au début de la pandémie, les autorités luxembourgeoises ont annoncé qu’il n’y avait pas eu d’augmentation mesurée des cyberattaques. Ce discours allait à l’encontre de notre perception et de nos prévisions. Finalement, en août, Avast a affirmé que la menace avait crû de 27% pour les citoyens luxembourgeois. Tout récemment, nous avons encore appris que des logiciels de sécurité américains avaient été piratés. Presque au même moment, le monde entier a connu le plus long arrêt des services authentifiés de Google, Whatsapp, etc. Nous pouvons effectivement affirmer que l’insécurité grandit.
GS : Des études ont démontré que les attaques de phishing s’étaient considérablement multipliées lors du premier confinement (1). Les hackeurs jouent beaucoup sur les émotions humaines pour arriver à leurs fins. Le climat de peur dans lequel nous vivions en mars leur a donc été profitable.
MA : Ajoutons qu’il y a eu un phénomène de stress au niveau de l’infrastructure des télécommunications et que de petites vulnérabilités ont probablement pris plus d’ampleur de ce fait. Ces défaillances auront cependant eu pour vertu d’accroître le niveau de résilience d’un certain nombre d’outils.
Aux États-Unis, une attaque en particulier a fait grand bruit…
CH : Le département du Trésor et l’administration nationale des télécommunications ont été victimes d’une cyberattaque orchestrée par des pirates informatiques experts inventoriés ATP29 qui, selon le FBI, sont en lien avec le gouvernement russe. L’attaque en question sur logiciel de gestion Orion (outil de contrôle/surveillance de réseau) de l’entreprise américaine SolarWinds visait indirectement ses clients : en plus des agences fédérales américaines, le malware a infiltré des sociétés leader du monde informatique comme Cisco, Intel, Nvidia, Belkin ou Microsoft sans que nous ne connaissions son impact réel. A ce jour, il reste une inconnue et un risque, car celui capable d’utiliser SolarWind pour pénétrer Microsoft pourrait aussi avoir utilisé Microsoft pour infiltrer ses clients. Ce sont des spéculations, mais la méthode sousjacente, appelée « supply chain attaque », est dangereuse car difficile à détecter. A tel point que des entreprises comme Microsoft demandent des initiatives légales et techniques coordonnées et internationales pour y faire face (2). Il est donc légitime de se demander s’il est toujours conseillé de recourir à des outils utilisés à grande échelle et par conséquent attractifs pour les cyberattaquants. Nous constatons en général que les managers ont plus facilement tendance à investir dans un logiciel leader du marché qu’à consulter un expert qui saura utiliser correctement un produit moins répandu et mettre en place de réelles procédures de monitoring via ce produit. C’est une erreur. Mieux vaut utiliser des outils plus légers et plus simples, idéalement Open Source, et recourir aux services d’un spécialiste pour traiter des anomalies.
MA : Pour utiliser une image, disons que les gens ont tendance à investir dans les meilleurs chars, mais n’ont ni équipage pour observer les mouvements de l’adversaire ni conducteur pour se défendre. Or, il faut quelqu’un derrière l’écran qui sache repérer les défaillances et parer aux attaques. Même à l’heure du Big Data et de l’intelligence artificielle, rien ne remplace un expert entraîné. Il faut être conscient que les produits de sécurité sont forcément dans le viseur des attaquants puisqu’il faut les tromper avant de pouvoir aller plus loin. En revanche, au vu de la masse de données à traiter, l’expert avisé devra se servir aussi de l’intelligence artificielle et d’apprentissage automatique pour découvrir ce qui est souvent une aiguille dans une botte de foin.
Quels services proposez-vous en matière de protection des données ?
GS : Depuis le 25 mai 2018, nous assistons nos clients dans leur mise en conformité au RGPD par l’établissement de registres d’activités de traitement et l’élaboration d’analyses d’impact sur la protection des données (DPIA). Dans une approche de base, nous proposons aussi l’établissement de politiques de sécurité ainsi que de déclarations de traitement des données à caractère personnel. Nous offrons également un service de délégué à la protection des données (DPO) externe – auquel recourent principalement des entités publiques – de même que des mesures de gestion des incidents, en cas de violation de données à caractère personnel par exemple. En complément, nous proposons un large panel de documents pour accompagner nos clients dans leur mise en conformité et les aider à adopter les bonnes pratiques.
CH : Nous avons aussi amélioré notre système de management de la sécurité après avoir introduit une cinquantaine de mesures conformes à la norme ISO 27701 qui fournit des recommandations quant au management de la protection de la vie privée (PIMS). itrust est la première société certifiée pour ceci, et cela sous l’accréditation de l’OLAS.
Mieux vaut utiliser des outils plus légers et plus simples (…) et recourir aux services d’un spécialiste
Quels outils développez-vous actuellement ?
CH : Premièrement, nous avons affiné notre documentation pour générer des plans de pandémie et déployer des « templates » qui tiennent compte du « Privacy by Design » et du « Security by Design ». Deuxièmement, nous menons un projet de recherche visant à développer un outil léger en termes de déploiement et de coût permettant d’offrir des capacités de détection d’intrusions et un service support installé au Luxembourg, à la fois pour des clients industriels et pour des clients privés sans connaissance dans la sécurité. Et, troisièmement, nous élaborons, dans le cadre du projet Quartz, avec des partenaires comme la SES, de nouveaux algorithmes et outils sophistiqués visant à sécuriser une application de distribution quantique de clés cryptographique par satellite. Ainsi nous contribuerons à assurer la confidentialité des communications dans un futur où les attaquants disposeront d’ordinateurs quantiques. En parallèle, nous voulons lancer des recherches pour développer des outils de sécurité basés sur des algorithmes cryptographiques post-quantiques (c’est-à-dire sécurisés contre des attaques menées par des ordinateurs quantiques), des simulateurs et composants pour ces ordinateurs, et des outils de test associés.
La pandémie a-t-elle entraîné des retards dans l’implémentation de certaines mesures de sécurité ou de protection de données ?
CH : Chez nos clients, de nombreux projets visant à réduire des risques informatiques ont logiquement été décalés en raison de l’indisponibilité des personnes ou de stagnations des recettes. Ces entreprises ont donc consenti à agir avec des risques plus grands qu’espérés, mais toujours acceptables. Par contre, aucun de nos clients n’a suspendu sa certification de sécurité ni mis fin à des mesures déjà en place. La majorité en a d’ailleurs profité pour affiner ses plans de crise et de pandémie.
GS : Bien que nos clients se soient concentrés sur leurs activités métier au début de la crise, nous constatons aujourd’hui une recrudescence des demandes concernant le « Business Continuity Management », c’est-à-dire le maintien de l’activité métier en cas de crise, et de la sécurité du télétravail. Nous avions détecté des lacunes à ces deux niveaux au mois de mars, mais je pense que le top management a vraiment pris conscience du besoin mais aussi des risques de l’accélération de la digitalisation de leur activité.
Qu’attendez-vous de 2021 ?
CH : L’année écoulée a été éprouvante. Nos équipes sont fatiguées par une charge de travail qui, selon toute vraisemblance, devrait encore augmenter cette année. Nous avons toutefois bon espoir de voir ce manque de ressources humaines renforcer la solidarité et la coopération entre le secteur public et le secteur privé. C’est en rassemblant nos forces, avec des partenariats à plus long terme, que nous aurons le plus d’impact.
(1) Dominique Filippone, « Avec le coronavirus, le phishing augmente de 667% en mars », https://www.lemondeinformatique.fr/actualites/lire-avec-le-coronavirusle-phishing-augmente-de-667-en-mars-78582.html
(2) https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solarwinds-fireeye/
itrust consulting
55, rue Gabriel Lippmann
L-6947 Niederanven
www.itrust.lu