"Rendre l’entreprise invulnérable aux cyberattaques est impossible", estime Loïc Guézo
Selon Loïc Guézo, expert en cybersécurité chez Trend Micro, les cyberattaques dont ont été victimes Airbus et Altran révèlent un niveau d’expertise élevé de la part des pirates informatiques.
L’Usine Nouvelle.- Est-ce que vous avez été surpris par les attaques contre Airbus et Altran révélées ces derniers jours?
Loïc Guezo.- Non. Les attaques sont permanentes contre les industriels qui sont fournisseurs du gouvernement et des secteurs de pointe ou sensibles comme la défense, l’aéronautique, le nucléaire, l’énergie… Ce sont des secteurs cibles pour les cyberattaquants. Ils peuvent viser les sous-traitants comme Altran, par exemple pour toucher in fine leurs véritables cibles. Ce type d’attaque se généralise. La cyberattaque sur le distributeur américain Target en 2014 est un cas d’école. Pour voler les données de plusieurs millions de cartes bancaires de ses clients, les pirates ont exploité une brèche informatique qui avait pour origine la connexion avec un sous-traitant de Target qui gérait les systèmes de climatisation !
VOS INDICES
source
Ces deux attaques concernant Airbus et Altran semblent toutefois de nature très différent?
D’après les éléments rendus publics par les deux entreprises, les deux attaques n’ont rien en commun si ce n’est qu’elles touchent deux grands industriels européens. Chez Altran, l’attaque a été très sévère avec des objectifs de destruction de données informatiques capable d’entraîner un arrêt d’activité. La production informatique a été touchée. L’entreprise a annoncé avoir été contrainte de déconnecter son système d’information de celui de ses clients et partenaires pour éviter leur contamination. Elle a également déconnecté ses serveurs en interne pour éviter là aussi une sur-propagation.
Chez Airbus, c’est plutôt une intrusion informatique ciblant des données personnelles des salariés. Sans impact a priori sur l’activité même de l’avionneur. Cela a moins d’impact à court terme qu’une action destructrice mais la récupération de données personnelles n’est pas neutre. Cela peut être aussi les prémices d’une opération de plus longue haleine en vue d’une attaque d’un autre niveau, que ce soit à des fins d’espionnage économique ou de sabotage industriel.
Que nous apprennent ces deux attaques sur la vulnérabilité des entreprises ?
Cela nous confirme que même les plus grandes entreprises pourtant bien sensibilisées au risque cyber sont vulnérables. Il faut apprendre à vivre avec le risque cyber. L’élément positif est que dans les deux cas, Altran et Airbus semblent avoir réagi rapidement pour maîtriser l’attaque et ont agi avec une certaine transparence. Ce qui est important, ce n’est pas de chercher à rendre l’entreprise invulnérable, c’est impossible. Il faut maîtriser l’exposition au risque.
La sécurité n’est pas un état fini qu’on atteint juste avec un certain niveau d’investissement. C’est un état permanent de contrôle du risque avec la mise en place d’une capacité de réponse. Pour cela, il faut un investissement dans les domaines de la technique, de la gouvernance en impliquant les directions générales, et surtout des hommes en charge de la cybersécurité… Le facteur humain est essentiel.
Les entreprises ont-elles fait preuve de négligence ?
Il faudra encore des semaines ou des mois pour avoir une documentation détaillée du déroulé de l’attaque. Là seulement, on pourra dire s’il y a eu un défaut de bonnes pratiques à tel ou tel endroit, que ce soit sur des capacités de détection ou de réponse à incident…
Qu’est-ce que cela nous apprend sur les attaquants? Sait-on qui ils sont ?
Dans un cas comme Altran, on n’est pas dans le cadre d’une attaque bricolée par un ado. C’est une attaque de confrontation de haut niveau qui nécessite de la reconnaissance, de la préparation et un affûtage très ciblé. Elle révèle aussi une forte détermination. Les pirates peuvent avoir toute sorte de profils. Au Forum international de la cybersécurité (FIC), qui s’est tenu à Lille les 22 et 23 janvier, la ministre des Armées Florence Parly a rappelé que le cyberespace était un terrain de tensions entre Etats. C’est aussi un terrain de jeu en matière d’intelligence économique et de cybercriminalité.
L’usage d’un rançongiciel montre que la motivation paraît de nature criminelle. Sur l’attribution de cette cyberattaque, il faut rester prudent. Les indices publics restent rares mais apparaissent : selon eux, ce code malveillant serait une nouvelle variante d’une souche de virus connu sous le nom de RYUK/Hermes. Cette dernière est largement exploitée par le groupe de pirates connus sous le nom de Lazarus, vraisemblablement lié à la Corée du Nord. Il est accusé d’être à l’origine de vols de données et d’attaques hautement destructrices comme contre Sony Pictures en 2014.
SUR LE MÊME SUJET
"Rendre l’entreprise invulnérable aux cyberattaques est impossible", estime Loïc Guézo
Tous les champs sont obligatoires
0Commentaire
Réagir
