Dans l’univers des cybermenaces, les attaques perpétrées par des Etats-nations ne relèvent plus de la fiction. Bien qu’on puisse d’abord penser que des pirates soutenus par un Etat cherchent à collecter des informations militaires et diplomatiques susceptibles de renforcer leur compétitivité mondiale, il existe également d’autres motivations, semble-t-il. De plus en plus souvent, les pirates aux ordres d’Etats-nations utilisent des techniques puissantes et sophistiquées pour cibler non seulement les institutions gouvernementales, mais également des sites industriels et des entreprises dans le but de déstabiliser et de perturber ces entreprises et leur pays, et de faire fuiter des informations confidentielles.
En fait, plus de 60 pays ont développé (ou sont en train de développer) des cyberarmes d’espionnage et d’attaque par ordinateur[1]. Ce qui favorise une forme de cyberguerre froide, où des gouvernements tentent de prendre le dessus sur les autres, via un arsenal croissant de cyberarmes et de stratégies de cyberdéfense. Et le cybercriminel standard apprend très vite de ces cyberarmes toujours plus « militaires », ce qui tend à combler rapidement le fossé entre les attaques de nations et les autres formes de cybercrime.
Les attaques perpétrées par des Etats-nations se multiplient par ailleurs. Et tout montre que leur fréquence et leur ampleur ne feront qu’augmenter dans les années à venir, avec des attaques mieux coordonnées, dans le monde entier – visant, par exemple, un réseau électrique pendant un blizzard ou une période de froid extrême[2].
Au-delà des conséquences potentiellement dévastatrices de l’attaque d’une nation, le coût peut s’avérer exorbitant. Récemment, une compagnie électrique aux Etats-Unis a dû payer une amende de 2,7 millions de dollars pour avoir laissé des données critiques exposées pendant plus de 70 jours, en violation des réglementations de cybersécurité du secteur de l’énergie[3]. Même si cette exposition des données ne résultait pas de l’attaque d’une nation, elle a rendu vulnérables des noms d’utilisateurs et des informations cryptographiques, qu’un pirate aurait pu exploiter pour nuire.
Pour se protéger de ces attaques, toutes les entreprises qui manipulent des informations sensibles ou de précieuses adresses IP doivent rester vigilantes. Tenez compte des points suivants pour évaluer votre niveau de cyberprotection.
- Ayez conscience des informations stockées sur vos systèmes et en transit sur votre réseau. Plus les informations sont sensibles, plus vous êtes exposé aux menaces. C’est particulièrement important, et pas seulement pour les institutions gouvernementales. Cela concerne aussi toutes les entreprises qui collectent des données sensibles, ou qui stockent des secrets de fabrication ou des adresses IP spécifiques : cabinets juridiques, fabricants, services financiers, services publics, magasins ou médias. Il est également important d’avoir une bonne visibilité sur le trafic de données sur l’ensemble de votre réseau, et d’en connaître le volume habituel. Vous pourrez ainsi détecter aussi bien les attaques DDoS à gros volume et à grande échelle, que les attaques à petit volume de courte durée comme les tests de stress, par exemple.
- N’ignorez pas l’origine des fournisseurs avec qui vous traitez. Examinez soigneusement les nouvelles technologies que vous vous procurez auprès d’entreprises basées dans les pays qui affichent le plus grand nombre de menaces, afin de limiter les intrusions sur votre réseau. L’Institut national des normes et technologies (National Institute of Standards and Technology – NIST) est une autre source très utile pour consulter les restrictions recommandées concernant les achats auprès de certains fournisseurs ou pays.
- Isolez vos réseaux internes de l’Internet. Lorsque l’accès à Internet n’est pas indispensable au fonctionnement de vos applications ou à vos fichiers de données, isolez-en vos réseaux internes. En segmentant et en séparant correctement vos réseaux, vous pouvez éviter un accès externe non autorisé aux données critiques, et établir une protection contre l’usurpation d’adresse IP et les attaques de type « homme du milieu », où un intervenant malveillant intercepte les communications entre deux intervenants légitimes.
- Appliquez soigneusement les meilleures pratiques de défense en profondeur. Veillez à disposer d’une image complète des opérations réalisées dans votre environnement (autorisées ou non), car il est impossible de protéger (ou de bloquer) ce dont vous ne soupçonnez même pas l’existence. Choisissez également des technologies et des processus capables de réduire votre surface d’attaque, de détecter les attaques qui réussissent à vous atteindre, et de réagir rapidement pour contrer les activités malveillantes et les vulnérabilités. Les technologies comme la gestion des correctifs et des vulnérabilités, les listes blanches d’applications, la gestion des privilèges, la gestion des identités, la protection des fichiers et des supports, et l’élimination des logiciels de rançon, entre autres, vous aident à vous protéger contre les attaques potentielles de pays. Enfin, optez pour des solutions qui fournissent des données et des informations très complètes pour analyser en permanence votre situation en matière de sécurité, et pour prouver votre conformité.
- Formez, re-formez et re-formez encore vos collaborateurs. Vos salariés peuvent représenter votre plus grande faiblesse ou constituer votre plus précieuse défense. Veillez à former vos collaborateurs, encore et encore, à la détection et à la signalisation des activités malveillantes. Testez ensuite leurs connaissances. La constitution d’une armée de collaborateurs bien formés pourrait apporter à votre entreprise le niveau de protection supplémentaire dont elle a besoin pour empêcher les attaques de pays de vous atteindre.
- Partagez vos connaissances. Si vous avez connaissance d’une cybermenace, que vous en ayez été victime ou que vous l’ayez déjouée, partagez les leçons que vous en avez tirées. Plus nos connaissances à tous en termes de tendances de menaces et de vulnérabilités exploitables s’enrichissent, plus il devient possible pour toutes les entreprises de se protéger correctement contre les attaques de pays potentielles.
[1] Wall Street Journal, « Cataloging the World’s Cyberforces », 11 octobre 2015
[2] Internet Marketing Association, « Understanding the Increasing Threat of Nation State Cyber-Attacks » (Comprendre la menace croissante des cyberattaques visant une nation), 18 décembre 2017
[3] Bank Info Security, « US Power Company Fined $2.7 Million Over Data Exposure », 14 mars 2018
