Cybersécurité: triompher des cybercriminels

Tant que les entreprises n’adopteront pas les bons réflexes, la pandémie numérique continuera de plus belle.

En 2021, une pandémie numérique a balayé le monde. En effet, des attaques importantes par rançongiciel ont frappé Colonial Pipeline, l’opérateur du plus grand pipeline de carburant sur la côte est des Etats-Unis, ainsi que la plus grande entreprise de transformation de viande en Amérique du Nord et le système des soins de santé d’Irlande. Des pirates informatiques brouillent les fichiers d’une organisation et exigent un paiement pour les débloquer. Selon le département de la Sécurité intérieure des Etats-Unis, les entreprises américaines ont perdu des centaines de millions de dollars à cause de ce problème en 2021. Le sujet a même dominé les discussions lors du premier sommet entre les présidents Joe Biden et Vladimir Poutine en juin. En 2022, les gouvernements et les entreprises répliqueront, mais la pandémie continuera de plus belle.

Lassés des perturbations économiques causées par les rançongiciels, les gouvernements vont riposter. En effet, de nombreux pays ont développé des cyberforces offensives menées par des services militaires et des agences de renseignements. Elles ont été conçues pour contrer les adversaires de l’Etat, mais sont également parfaitement capables de se dé- fendre contre les malfrats.

En mars 2021, huit pays occidentaux, coordonnés par les services de police de l’Union européenne, ont attaqué et désorganisé le botnet Emotet, un réseau de serveurs volés utilisés par des cybercriminels. Le FBI a mené des opérations similaires. Ces stratégies d’attaque sont amenées à se généraliser. En effet, certains Etats peuvent penser que ces démonstrations de force à l’égard des criminels sont un moyen peu risqué de montrer leurs capacités numériques à leurs rivaux. Si les gouvernements ne parviennent pas à traquer les pirates, la deuxième meilleure option consiste à récupérer les rançons. Dans la plupart des cas, les rançons sont payées en cryptomonnaies, détenues sur des comptes anonymes. Pourtant, le gouvernement américain est tout de même parvenu à récupérer la majorité de la rançon payée par Colonial Pipeline en obtenant le mot de passe du pirate lié à sa réserve de bitcoins, la cryptomonnaie dans laquelle la rançon a été payée.

Cyberassurance

Dans la plupart des cas, cependant, les rançons seront perdues à jamais. Certaines entreprises cherchent donc d’autres moyens de recours. Plus d’un tiers des hauts fonctionnaires interrogés en mars 2021 par Munich Re, un réassureur, envisagent de contracter une police de cyberassurance, qui compense les pertes liées aux rançongiciels. Le marché mondial des cyberassurances valait 7 milliards de dollars en primes brutes en 2020. Selon GlobalData, une société d’analyse, il devrait attein-dre les 20 milliards de dollars en 2025, à mesure que les entreprises se ruent sur ces couvertures.

Mais la distinction entre un cybercrime et une cyberguerre n’est pas très nette: certains pirates sont des loups solitaires, d’autres sont soutenus par des Etats et d’autres naviguent entre les deux. Les victimes risquent donc de perdre leurs indemnités si une attaque est considérée comme un acte de guerre, qui n’est généralement pas couvert par les assurances. De nombreux gouvernements crai-gnent que les indemnités d’assurance enrichissent les cybercriminels et alimentent la tendance aux rançongiciels.

En effet, selon James Sullivan du think tank Royal United Services Institute, certains pirates exploi-tent même le marché en déterminant précisément le montant de l’assurance d’une entreprise, puis en adaptant sur mesure leur demande de rançon à ce montant. Il ajoute que les assureurs doivent convenir de normes de sécurité minimum, pour que les entreprises ne puissent pas simplement choisir des fournisseurs plus laxistes. Les gouvernements pourraient même envisager une option plus drastique: interdire purement et simplement les rançons numériques, de la même manière que de nombreux pays incriminent le paiement de rançons terroristes pour le kidnapping. A l’heure actuelle, les entreprises peuvent en grande partie faire ce qu’elles veulent: certaines cyberrançons sont même déductibles fiscalement. Plusieurs Etats américains sont sur le point d’adopter une loi qui interdirait ce genre de paiements. D’autres suivront. Pourtant, les interdictions de rançons sont peu susceptibles de fonctionner. En effet, elles pénaliseront les petites entreprises, qui ne disposent pas des ressources suffisantes pour renforcer leurs réseaux, et les paiements de rançons se feront de manière clandestine. Une approche plus utile serait d’exiger des entreprises qu’elles signalent à la fois les violations et les paiements de rançon, rendant ainsi le problème public. Au fil du temps, davantage d’entreprises réaliseront également que le paiement de rançons ne garantit pas nécessairement une récupération de leurs données.

Des cybercriminels polyvalents

Les rançongiciels ne sont que la pointe de l’iceberg. Les cybercriminels sont polyvalents et leurs méthodes sont interchangeables. Un accès illicite à un système peut être utilisé pour prendre des données en otage, comme avec le rançongiciel, ou pour les voler. Les gangs de rançongiciels se rendent compte que paralyser un pipeline américain n’est pas le meilleur moyen de rester discret. Si le rançongiciel devenait trop risqué ou moins rentable, les pirates pourraient se tourner, par exemple, vers le vol de cryptomonnaies.

En définitive, mettre un frein à la cybercriminalité exige l’adoption de bons réflexes: apprendre aux employés à se méfier des e-mails suspects, mettre à jour les logiciels et sauvegarder les données. Ce type de changement culturel prosaïque n’est pas aussi sexy que des cyber-représailles ni aussi satisfaisant qu’une interdiction de rançons, mais c’est la seule solution à long terme.

Shashank Joshi, Rédacteur de la rubrique Défense, “The Economist”