Rechercher un rapport, une publication, un expert...
Rapport
Novembre 2018

Cybermenace :
avis de tempête

<p><span style=Cybermenace :
avis de tempête

">
Auteurs
Théophile Lenoir
Contributeur - Désinformation et Numérique

Théophile Lenoir est chercheur associé à l’Institut Montaigne. Il a développé pendant quatre ans (de 2017 à 2021) le programme de travail de l’Institut Montaigne sur les questions numériques. Ses intérêts portent sur les technologies de la communication et les transformations de l’espace public. Il est notamment le co-auteur pour l’Institut Montaigne de la note Information Manipulations Around Covid-19 : France Under Attack (juillet 2020). Il a aussi travaillé avec la Visiting Fellow Alexandra Pavliuc, doctorante au Oxford Internet Institute et auteure de la note State-backed Information Manipulation : The French Node (février 2021), et a coordonné la rédaction de plusieurs rapports, dont Media Polarization "à la française" ? Comparing the French and American ecosystems (juin 2019). 

Théophile effectue un doctorat à l’Université de Leeds, sur les controverses autour des mesures de l’impact environnemental du numérique, pour mieux comprendre ce que recouvre la notion d’objectivité en politiques publiques. Il est diplômé de la London School of Economics et de la USC Annenberg School for Communication and Journalism, où il a suivi le double programme Global Media and Communications.

Avant de rejoindre l’Institut Montaigne, Théophile a travaillé au sein de start-ups à l’intersection des médias et de la technologie (un outil d’analyse et une plateforme de contenus), à Londres et à Los Angeles.

Groupe de travail

Les opinions exprimées dans ce rapport n’engagent ni ces personnes ni les institutions dont elles sont membres.

Président du groupe de travail

  • Marwan Lahoud, associé, Tikehau Capital

Membres du groupe de travail

  • Pascal Andrei, Chief Product Security Officer, Airbus
  • Alain Bernard, directeur de la cybersécurité, L'Oréal
  • Laurent Collet-Billon, chef de la direction générale de l’Armement de 2008 à 2017
  • Michael Fiey, Chief Information Security Officer, ArcelorMittal Europe
  • Philippe Got, senior business advisor, Wavestone
  • Eric Le Grand, directeur de la prévention et de la protection du groupe, Renault
  • Jean-Philippe Naquet, Group Chief Information Security Officer / responsable de la sécurité des systèmes d’information du Groupe, Total
  • Benoît Lemaire, Head of Cybersecurity, SGS France
  • Olivier Nautet, Head of IT Risk Management and Cybersecurity – Group Chief Information Security Officer, BNP Paribas
  • Emile Pérez, directeur de la sécurité et de l'intelligence économique, Groupe EDF
  • Jean-Yves Poichotte, directeur de la cybersécurité du groupe, Sanofi
  • Thierry  Rouquet, président et co-fondateur, Sentryo

Rapporteurs

  • Bilale Ahmimache, ingénieur, Corps des Mines
  • Gérôme Billois, partner cybersécurité et confiance numérique, Wavestone (rapporteur général)
  • Dominique Yang, consultant cybersécurité et confiance numérique, Wavestone

Ainsi que :

  • Arthur Corbel, assistant chargé d’études, Institut Montaigne
  • François Jolys, assistant chargé d’études, Institut Montaigne
  • Théophile Lenoir, chargé d’études, Institut Montaigne
Personnes auditionnées

Les opinions exprimées dans ce rapport n’engagent ni ces personnes ni les institutions dont elles sont membres.

  • Jean-Philippe Authier, expert cybersécurité, Systemis
  • Florian Bachelier, député LREM, co-président du groupe d’études sur la sécurité et la souveraineté numérique à l’Assemblée Nationale
  • Côme Berbain, conseiller transformation numérique de l'Etat    
  • Dominique Bolignano, président fondateur, Prove&Run
  • Olivier Bonnet de Paillerets, commandant de la Cyberdéfense (ComCyber), Ministère des Armées
  • Pierre-Olivier Brial, directeur général délégué de Manutan et administrateur, METI
  • Patrick Calvar, directeur général de la sécurité intérieure de 2012 à 2017 et conseiller spécial de l'Institut Montaigne      
  • Hélène Chauveau, directrice des risques émergents, AXA
  • Gilles Daguet, directeur général, ACE Management
  • Christian Daviot, conseiller stratégie auprès du directeur général, ANSSI
  • Thierry Delville, délégué ministériel aux industries de sécurité et à la lutte contre les cybermenaces, Ministère de l'Intérieur
  • Frédérick Douzet, professeure à l’Institut français de géopolitique, Université Paris 8
  • Christiane Féral-Schuhl, avocat associé, Feral-Schuhl / Sainte-Marie Associés
  • Eric Freyssinet, colonel, chef de la mission numérique, Gendarmerie nationale
  • Jérôme Gossé, Cyber Manager Continental Europe, Chubb
  • Patrick Guyonneau, directeur technique, Direction générale de la sécurité intérieure
  • Estelle Hascoet, analyste risques émergents, AXA
  • Claude Kirchner, directeur de recherche émérite, Inria
  • Eric Lavertu, directeur adjoint, Centre de crise et de soutien, Ministère de l'Europe et des Affaires Étrangères
  • Laurence Lemerle, directrice risques techniques et cyber, AXA France
  • Valérie Levacque, Chief Information Security Officer, Ariane Group
  • Ulrike Leyherr, Head of PC Centre of Competence, Allianz
  • Georges Lotigier, président, Vade Secure
  • Christophe Madec, chargé de clientèle, expert Cyber, Bessé
  • Hugo Madeux, directeur de l'unité sécurité, IBM
  • Cyril Magliano, président-directeur général, Systemis
  • Nathalie Malicet, expert-comptable commissaire aux comptes, vice-présidente de la Commission Numérique et Innovation, Compagnie Nationale des Commissaires aux Comptes (CNCC)
  • Sandy Matthews, avocat senior, August Debouzy
  • Jean-Paul Mazoyer, directeur général, Crédit Agricole Pyrénées Gascogne
  • Jean-Philippe Pages, membre du comité de direction, Bessé
  • Dominique Perier, expert-comptable commissaire aux comptes, président du comité technologique, Conseil Supérieur des Experts Comptables
  • Guillaume Poupard, directeur général, ANSSI
  • Christophe Quentel, chef de la mission pour l’anticipation et les partenariats, Centre de crise et de soutien, Ministère de l'Europe et des Affaires étrangères
  • Henri Verdier, directeur de 2015 à 2018, Direction interministérielle du numérique et du système d'information et de communication de l'Etat
  • Luc Vignancour, Cyber and Crime Practice Leader, Marsh S.A.S.
  • Thomas Wilson, Chief Risk Officer, Allianz

7h30 - Gare Montparnasse. Le TGV Paris-Brest est à l’arrêt. Les communications avec les services centraux sont interrompues. Quelques minutes plus tard, les TGV en direction de Bordeaux et de La Rochelle restent à quai et rencontrent les mêmes problèmes.

7h40 - Marché de Rungis. Les ordinateurs permettant de gérer les flux de commandes ne répondent plus. L’accès au marché est bloqué et les fourgons de livraison bouchent les rues avoisinantes.

7h50- Boulogne Billancourt. Cinq chaînes de télévision sont dans l’incapacité de transmettre leurs programmes.

8h00 - Roissy. Les panneaux d’affichage du terminal de l’aéroport Charles de Gaulle n’affichent plus aucune information.

8h10 - Hôtel de Matignon. Le Premier ministre active la cellule  interministérielle de crise. Il y convoque le Commandant de la Cyberdéfense (COMCYBER) et le directeur général de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI). La piste de la cyberattaque semble privilégiée.

Cybermenace : avis de tempête - scenario


Ce scénario est fictif, mais il est la conséquence éventuelle de fragilités dans nos systèmes d’information qui, elles, sont bien réelles. A l’heure où les systèmes sont de plus en plus interconnectés et où les réseaux sont de plus en plus imbriqués, la France, comme tous les pays, est susceptible d’être touchée par un "ouragan cyber". Les attaques majeures (WannaCry et NotPetya) ont réussi à détruire des milliers de systèmes informatiques et arrêter l’activité d’organisations majeures à travers le monde. 

Les leçons ont-elles été retenues ? Une attaque de plus grande ampleur est-elle possible ? Et surtout, quelles sont les solutions pour augmenter la capacité de l'ensemble du tissu économique et de notre société à résister à de telles attaques, et, en cas de crise, à se remettre en route rapidement ?

Pour répondre à ce défi inédit, l’Institut Montaigne a travaillé durant neuf mois avec des entreprises et des universités, afin de mieux comprendre la nature de ce risque et identifier les solutions. De ces réflexions découle un besoin vital de coopération et de solidarité entre acteurs privés d’une part, et entre acteurs publics et privés d’autre part, afin d’anticiper, identifier et limiter les conséquences de ces attaques sur les systèmes d’information français.

La menace cyber, de quoi s’agit-il ?

Qui sont les attaquants ?

Plusieurs types d’acteurs perpétuent des attaques cyber. Ils peuvent être répartis en quatre catégories :

Cybermenace : avis de tempête - attaquants

 

  • Des individus isolés, généralement poussés par une volonté de nuire à l’organisation ciblée, et alimentés par des motivations qui peuvent être soit idéologiques, soit financières.
     
  • Des hacktivists, plus ou moins organisés, poussés par des motifs idéologiques, souvent dans dans le but de dégrader l’image de marque ou la réputation des structures ciblées, notamment en touchant directement la gouvernance de l’organisation. Le groupe Anonymous est un exemple célèbre. 
     
  • Des groupes mafieux organisés, attirés principalement par le gain financier (par exemple les Shadow Brokers). Ces acteurs rendent poreuse la frontière entre criminalité traditionnelle et cybercriminalité.
     
  • Des groupes menaçants liés aux États, mercenaires ou groupes liés aux services de renseignements. Ces groupes d’attaquants s’inscrivent dans des logiques de sabotage, d’espionnage ou de déstabilisation des États (y compris lors de cycles électoraux).

A quoi ressemble une attaque ?

Voici quelques exemples d’attaques ayant marqué les esprits.

Cybermenace : avis de tempête - chronologique

 

  • Estonie, 27 avril 2007 : le pays a été victime de cyberattaques massives orchestrées selon lui par la Russie. Des attaques par dénis de services distribués (DDoS), c’est à dire en inondant de requêtes un système donné et le rendant indisponible, ont paralysé des activités essentielles du pays pendant plus d’une quinzaine de jours (banques, ministères, sites de médias, etc.)
     
  • Ukraine, 23 décembre 2015 : un logiciel malveillant introduit chez le fournisseur d’électricité ukrainien via un fichier Excel piégé a permis de donner aux attaquants l’accès au système industriel. Ceux-ci ont pu prendre la main sur les systèmes de contrôle et d’acquisition des données. Les attaquants ont ainsi désactivé 30 postes électriques à distance, plongeant près de 230 000 habitants de l’ouest de l’Ukraine dans le noir durant plusieurs heures.
     
  • Amérique du Nord, 21 octobre 2016 : la plus grande attaque par déni de service distribué (DDoS) jamais enregistrée jusqu’à lors. L’attaque a été dirigée vers un acteur de l’infrastructure Internet, rendant ainsi impossible la connexion vers des sites Internet populaires comme Twitter, SoundCloud ou encore Reddit pendant plus de 10 heures. 
     
  • Attaque internationale, 12 mai 2017 : plusieurs centaines de milliers de postes de travail ont été victimes du rançongiciel WannaCry. Ils ont tous été rendus inopérants et tenus en otage jusqu’au paiement d’une rançon. Le ver informatique s’est propagé de façon indiscriminée en quelques heures uniquement, et a causé des pannes et dysfonctionnements majeurs dans près de 150 pays.
     
  • Attaque internationale, 27 juin 2017 : en moins d’une heure, la cyberattaque NotPetya a détruit les postes de travail de ses victimes. Les dégâts de cette attaque, dont l’épicentre était situé en Ukraine, seront estimés plus tard à plus de dix milliards de dollars à travers le monde.

Pourquoi la menace cyber est-elle "systémique" ? 

Un risque est systémique quand une attaque est en mesure d’affecter un nombre important d’organisations simultanément via les systèmes qu’elles utilisent. Aujourd’hui, cela est possible du fait des technologies utilisées et des interconnexions croissantes entre les organisations et donc entre leurs systèmes informatiques :

Facteur 1 : une dépendance technologique forte 

Le fonctionnement de toutes les sociétés repose aujourd’hui sur le numérique. Or, le marché des systèmes d'exploitation et celui des microprocesseurs sont ainsi largement dominés par un tout petit nombre d'acteurs. 

L’adoption grandissante du cloud public par les entreprises participe également au risque systémique. Cela est dû au fait que les infrastructures cloud sont opérées en grande majorité par trois acteurs qui représentent à eux seuls plus de la moitié du marché des services d’infrastructures cloud.

Cette situation crée une fragilité systémique : si une faille est détectée dans l’un de ces systèmes, elle peut être exploitée pour toucher un nombre considérable d’acteurs. Cette menace est d’autant plus réelle que la plupart de ces systèmes ont été conçus sans intégrer la cybersécurité par défaut. De plus, pour certaines entreprises, il est difficile de suivre la cadence des mises à jour développées par les éditeurs et fournisseurs, laissant ainsi les failles ouvertes.

Facteur 2 : une interconnexion croissante

A mesure que les entreprises et les administrations encouragent la transversalité en interagissant de plus en plus entre elles, que les organisations ont régulièrement recours à des prestataires extérieurs pour accomplir des tâches spécifiques, et que les objets connectés s'immiscent dans notre quotidien, les opportunités d’attaques et les effets de propagation en cas d’intrusion augmentent. 

A l’échelle d’un pays, cette interconnexion des systèmes rend les conséquences d’une attaque potentiellement dramatiques. A l’échelle individuelle des organisations (opérateurs de service public, entreprises, ONG, petites et moyennes entreprises), elle augmente les portes d’entrée par lesquelles peuvent pénétrer les virus.

Le risque d’un cyber ouragan est-il réel ? 

D’après les informations que nous avons recueillies lors de nos auditions, une attaque capable d’entraîner un véritable "cyber ouragan" proviendrait probablement d’un acteur non-étatique, qui aurait dérobé directement ou indirectement des outils d’attaques développés par un Etat. 

Le scénario que nous avons imaginé ici impacterait :

  • 15 000 PME ;
  • 12 grandes entreprises, dont quatre dans des secteurs stratégiques ;
  • quatre ministères.

Les effets d’une telle attaque seraient accablants. Le spécialiste de l’assurance britannique, Lloyd’s of London, a quantifié en 2017 les impacts financiers potentiels de deux scénarios : 

  • une cyberattaque ciblant un fournisseur de services cloud qui conduirait à une interruption de service ;
  • une cyberattaque exploitant une vulnérabilité dans un système largement utilisé dans le monde.

Dans le premier scénario, les pertes s’étendent entre 4,6 milliards de dollars et 53,1 milliards de dollars. Le second scénario pourrait engendrer des pertes allant de 9,7 milliards de dollars à 28,7 milliards de dollars.

 

Cybermenace : avis de tempête - impact financier
source : FMI

La France est-elle prête aujourd’hui à affronter la menace cyber ?

Les Opérateurs d’Importance Vitale (OIV) et les Opérateurs de Services Essentiels (OSE) mobilisés

Depuis l’entrée en vigueur en France de la Loi de Programmation Militaire (LPM) en décembre 2013, et l’adoption de la directive Network and Information Security (NIS) par l’Union européenne en juillet 2016, tous les États européens ont identifié les secteurs les plus critiques au fonctionnement de leur Nation et au maintien de leur sécurité et de leur défense, assurant le fonctionnement de l’économie et de la société (énergie, transports, télécoms…). Ceux-ci ont le niveau de protection le plus élevé.

Les grandes entreprises : des réactions hétérogènes

Chez les entreprises privées, le niveau de sécurité des systèmes d’information dépend du secteur d’activité. Depuis longtemps tributaires du numérique pour fonctionner, les banques sont les plus matures en matière de cybersécurité. Les sociétés dans le secteur du service et particulièrement les sociétés en B2C (Business to Consumer) se développent aussi sur le volet cybersécurité. La confiance numérique et les nouvelles réglementations (RGPD, PCI-DSS) les y ont largement poussées. Avec une moindre utilisation des outils numériques, les industries présentent le niveau de protection le plus bas par rapport aux autres secteurs. Toutefois, il est intéressant de noter qu’une faible numérisation peut parfois représenter une forme de résilience vis-à-vis des attaques informatiques. 

Les services publics : une mise à jour progressive mais lente

En dehors des services publics identifiés comme OIV, la culture du risque cyber est faible, alors que les impacts en cas d’attaques destructrices peuvent être graves (services de secours, de santé, forces de sécurité dépendantes de l’informatique). Ceci est dû en partie à des structures complexes et difficiles à transformer : des procédures d’appels d’offre lourdes, des organisations de grande taille souvent réparties sur de nombreuses zones, une réglementation propre. 

Les TPE/PME/ETI au centre des préoccupations

Les TPE/PME/ETI sont les moins bien protégées. D’après SystemX, 50 000 PME en France sont victimes de cyberattaques, avec des conséquences parfois dramatiques (il leur est souvent impossible financièrement de se remettre d’une crise). Or, selon les chiffres de l’Insee, les TPE/PME/ETI représentent à elles-seules près de 73 % des emplois français (soit plus de 19 millions d’emplois, en 2015). Si elles sont touchées simultanément par un scénario de type "cyber ouragan", cela pourrait se transformer en une véritable crise sociétale. 

Les raisons du faible niveau de sécurité de leurs systèmes d’information sont double :

  • les produits et services informatiques achetés et utilisés par les TPE/PME/ETI n’intègrent souvent pas la cybersécurité par défaut ;
  • à défaut de solutions cyber intégrées dans les services, ces entreprises ont besoin de compétences et ressources dédiées au cyber, dont elles manquent. 

Quelques initiatives ont ainsi été prises pour les aider, comme le visa de sécurité délivré par l’ANSSI permettant de mettre en visibilité les solutions de cybersécurité de confiance, ou encore le GIP ACYMA, groupement d’intérêt public qui "assume un rôle de sensibilisation, de prévention et de soutien en matière de sécurité du numérique auprès de la population française".

Treize propositions pour augmenter la cyberrésilience de l'ensemble du tissu économique et de notre société

Si le numérique apparaît aujourd’hui comme un catalyseur de l’innovation et du progrès, il est toutefois nécessaire que tous les acteurs concernés prennent la mesure des risques inhérents au cyberespace. Pour être en mesure de prévenir et contenir la nature systémique du risque, pouvant provoquer une cyberattaque destructive d’ampleur, nous avons identifié trois enjeux majeurs.

1
Mobiliser l’ensemble du tissu économique...
Détails

Proposition 1 - Pour les grandes entreprises cotées, imposer la rédaction d’un rapport sur les risques cyber à disposition des administrateurs, voire une intégration partielle dans les rapports annuels.

Proposition 2 - Mobiliser les réseaux des métiers du chiffre (experts comptables et commissaires aux comptes) pour réaliser un diagnostic cybersécurité annuel avec un cahier des charges minimum (construit avec les autorités nationales). Il serait communiqué aux dirigeants à titre d’information avec les recommandations de base pour couvrir les risques.

Proposition 3 - Inciter et mobiliser les grands groupes sur leur responsabilité pour augmenter le niveau de cybersécurité de leur supply chain et leurs fournisseurs.

Proposition 4 - Inciter à la création et la souscription d’offres cybersécurité par les TPE/PME/ETI, en particulier des offres de connectivité réseau intégrant par défaut des mesures de sécurité de base (nettoyage du trafic), des offres d’applications métier (e.g. ERP) sécurisées par défaut et des offres de cyberassurance, incluant des services en cas d’incidents.

Proposition 5 - Pour les secteurs critiques, faire évoluer le corpus réglementaire, en particulier les textes liés à la LPM 2014, pour y ajouter des exigences précises de cyberrésilience (réalisation annuelle d’exercice de crise, existence d’un système d’information de crise indépendant du SI nominal, introduction de diversité technologique sur les SI d’importance vitale, etc.).

2
Démultiplier les compétences et être solidaire en cas de crise
Détails

Proposition 6 - Créer un parcours de formation financé par l’Etat en contrepartie d’un engagement dans la réserve de cyberdéfense pour un nombre minimum d’années afin de réaliser un appui opérationnel en cas de crise et de maintenir les compétences (entraînement, action de prévention…).
 

Proposition 7 - Étendre le rôle de la réserve de cyberdéfense à la résolution de crises touchant les acteurs privés et augmenter le nombre et les compétences des réservistes en en faisant la promotion auprès des acteurs du secteur privé et de la recherche académique.
 

Proposition 8 - Proposer un cadre permettant aux acteurs privés de partager le personnel et leurs compétences avec leurs pairs en cas d’attaque.
 

Proposition 9 - Renforcer la capacité d’échange opérationnelle de signatures d’attaques et d’informations sur les menaces a minima entre les entreprises stratégiques pour la nation, via une plateforme sécurisée d’échange opérée soit par l’Etat, soit par un ou des acteurs français majeurs de la cybersécurité et de confiance (avec une possible segmentation sectorielle).

3
Pouvoir répondre à des attaques larges et rapides
Détails

Proposition 10 - Mobiliser le tissu économique et l’Etat autour de l’intelligence artificielle pour détecter et réagir à la bonne vitesse (et sécuriser l’intelligence artificielle pour prévenir les dérives)


Proposition 11 - Définir une doctrine opérationnelle spécifique à l’échelle de l’Etat pour faire face à une attaque large.


Proposition 12 - Inciter et donner un cadre aux entreprises sur la mise en place d’une stratégie de défense active mais sans sortir du cadre législatif en vigueur.


Proposition 13 - Imposer un label de cyberrésilience pour les équipements les plus à risque afin de pouvoir continuer à agir en cas de crise et préserver les vies humaines.

Télécharger
<p><span style="color:#ffffff;"><strong>Cybermenace :<br />
avis de tempête</strong></span></p>
Rapport
(118 pages)
Télécharger
Recevez chaque semaine l’actualité de l’Institut Montaigne
Je m'abonne