Décryptage cybersécurité : Introduction au risque Cyber

Ces dernières années, les cyberattaques se sont multipliées – en témoignent les récentes attaques sur la banque indienne Cosmos Bank (Juillet 2018) ou encore sur l’une des GAFA : Facebook (Septembre 2018). Aujourd’hui, le risque cyber est considéré comme le deuxième risque le plus important pour les entreprises et les Etats - devant le risque lié aux catastrophes naturelles. Dans le monde de la finance, le risque cyber est devenu plus important que les risques liés à la non-conformité réglementaire ou aux fluctuations des marchés, alors qu’en 2013, il était classé 15ème selon le baromètre mondial d’Allianz.

Une cyberattaque vise délibérément à exploiter le système informatique d’une entreprise, d’un gouvernement ou d’une personne technologiquement dépendante d’un réseau informatique. Les cyberattaques opèrent généralement via des logiciels malveillants (« malware ») qui visent à altérer le code d’un ordinateur afin d’en prendre partiellement le contrôle.

Les cyberattaques peuvent être classifiées comme suit :

Focus sur les « Ransonwares »

Les ransomwares sont les logiciels les plus utilisés par les hackers. En effet, ces logiciels sont peu risqués, et permettent d’atteindre des milliers de personnes à moindre coût. Les premiers ransomwares (1989) étaient sur des disquettes envoyées par la poste, invitant les victimes à remplir un questionnaire pour mesurer leur risque de contracter le SIDA. Une fois la disquette insérée, un logiciel bloquait l’ordinateur et demandait à l’utilisateur une rançon de 200$ en moyenne pour le débloquer. Le montant de la rançon devait être envoyé dans une boîte postale au Panama.

Aujourd’hui, les hackers utilisent les e-mails pour atteindre leurs cibles. Depuis 1989 et les débuts d’internet, les ransomwares se sont démultipliés. Aujourd’hui, on estime que plus de 6,000 marketplaces criminelles vendent des services autour des ransomwares - offrant plus de 45,000 produits différents. Pendant qu’un nouveau concept de business model se développe dans l’économie légale -les business SaaS (Software-as-a-service)- les RaaS (Ransomware-as-a-Service) se développent aussi,  permettant aux développeurs de “démocratiser” l’utilisation de leurs ransomwares. Avec la démocratisation des smartphones (Android & iOS), les premiers kits ransomwares pour mobile commencent à faire leur apparition. Idem pour tous les objets connectés.

Les dernières tendances sont les ransomwares « Worms » ,  permettant aux logiciels d’infecter plusieurs ordinateurs utilisant le même réseau informatique.

Quelques chiffres sur les Ransomwares

Le ransomware « Worm » Wannacry est l’un des premiers logiciel malveillant à avoir eu un impact à l’échelle mondiale. En mai 2017, il affecte plusieurs milliers d'entreprises dans le monde dont Renault, la NHS (National Heath Service) et certains ministères russes. Deux mois après, en Juin 2017, le ransomware NotPetya affecta :

• FedEx sur son entité TNT Express en Europe avec un impact estimé à 300 millions de dollars ;
• Maersk avec un impact financier évalué à plus de 200 millions de dollars ;
• Merck, ce qui a coûté plus de 250 millions d’euros aux assurances ;
• Saint-Gobain dont l’impact est estimé à plus de 250 millions d’euros sur l’ensemble de son exercice 2017.

Au total en 2017, l’ensemble des cyberattaques ont coûté plus d’1,5 trillion de dollars aux entreprises. En 2018, ce sont les plateformes de cryptomonnaies qui sont les cibles privilégiées des attaques.  En février 2018, la plateforme japonaise Coincheck se fait hacker et perd 530 millions de dollars. Au total, on estime le coût à 1 milliard de dollars pour les plateformes d’échange.

Ci-dessous un tableau décrivant les 5 plus grandes cyberattaques de l’histoire :

Les outils

Selon le CSIS (Center For Strategic & International Studies), les CaaS (Cybercrime-as-a-Service) se sont largement développés grâce à l’émergence de logiciels comme Tor permettant d’accéder au Dark Net tout en restant anonyme, mais aussi grâce aux cryptomonnaies anonymisant toutes les transactions effectuées. Tor (aussi connu sous le nom de The Onion Router – car hébergeant la quasi-totalité des sites internet illégaux / de marché noir) est un mécanisme de serveurs proxy enchaînés et encryptés qui permet de masquer l’identité de ses utilisateurs aux sites qu’ils visitent. Il est quasiment impossible de traquer les activités des utilisateurs ou de déterminer leur identité. Les cryptomonnaies (Bitcoin, Dash, Monero, Zcash) permettent aux cybercriminels de rester anonymes lorsqu’ils font appels à des services illégaux (achat de ransomware etc.). Les paiements deviennent intraçables : il est quasiment impossible de remonter l’identité d’un acteur utilisant la cryptomonnaie pour réaliser ses transactions.

Les cibles

Les banques ont toujours été la cible favorite des criminels. C’est aussi le cas pour les cybercriminels. Les attaques sont devenues tellement récurrentes que la cybercriminalité est maintenant considérée comme un nouveau risque systémique pour les banques. “Le risque d’un vol massif de données tout comme celui d’une attaque qui paralyserait le fonctionnement d’une institution doit être pris en compte par les autorités prudentielles comme l’ACPR, parce qu’ils pourraient être porteurs d’un risque systémique”, estime Edouard Fernandez-Bollo, secrétaire général de l’ACPR - idée soutenue par le Comité de Bâle en 2011 en rappelant qu’une bonne gestion du risque cybercriminel était nécessaire pour maintenir la stabilité financière. Ainsi, pour contrer ces attaques, les banques dépensent trois fois plus en cybersécurité que les institutions non financières.

Les acteurs

Pour mener des cyberattaques de grandes ampleurs comme celles d’aujourd’hui, il est devenu nécessaire d’avoir recours à d’importants budgets, de nombreux talents et d’une protection rapprochée - et ce sont les Etats qui ont accès à ces 3 sources. Selon le Center for Strategic and International Studies (« CSIS »), les trois pays les plus actifs dans le piratage des institutions financières sont : La Russie, La Corée du Nord et l’Iran. La Chine, quant à elle, reste surtout active en cyber espionnage - en témoignent les récentes affaires de cyber espionnage sur la France. En 2017, l’Etat Nord-Coréen fut impliqué dans le piratage de plateformes Sud-Coréennes d’échange de cryptomonnaies ; une véritable opportunité avec notamment l’explosion de la valeur du Bitcoin et des cryptomonnaies en général, mais surtout grâce à l'anonymat que procure le Bitcoin permettant à l'Etat Nord-Coréen de contourner les sanctions internationales et de maintenir une partie de ses échanges commerciaux.

De manière générale, les cyberattaques proviennent majoritairement de ces acteurs :

Avec l’émergence des cyberattaques et des cybermenaces dans un environnement économique qui se digitalise de plus en plus, les entreprises et les Etats se doivent de répondre par de nouvelles mesures de cybersécurité. Cela passe notamment par de nouvelles réglementations, de l’innovation, et une coopération d’une multitude d’acteurs : Etats, Entreprises, Cabinets etc.

[1] Steve Grobman, Chief Technology Officer, McAfee