Ces dernières années, un nombre croissant de débats de politique internationale ont eu comme théâtre le monde numérique. Pour apporter une réponse à ce défi, les acteurs cherchent à collaborer afin de protéger à la fois les grands et les petits.
Data News s’est rendu à La Haye pour la OneConference, une conférence sur la sécurité dédiée aux organisations internationales et aux services de sécurité. À l’agenda, des discussions sur les menaces, les nouvelles législations européennes, les accords de collaboration… et le burn-out.
La guerre change tout
Plus question en 2023 d’organiser une conférence sur la sécurité sans aborder l’état général du monde ainsi que ses conséquences sur le paysage de la sécurité. Et donc plus particulièrement sur la guerre en Ukraine, le premier conflit qui se déroule en grande partie en ligne (précisons que la conférence se tenait avant la reprise des combats entre Israël et la Palestine).
«On constate que la guerre russe en Ukraine dépasse les frontières du pays, précise d’emblée Katelyn Baily, senior manager chez Mandiant, une entreprise de sécurité désormais rachetée par Google. La menace du cyberespionnage demeure, surtout sur les organisations militaires et organismes publics.» Cela étant, elle fait aussi état d’hacktivistes qui attaquent des organisations de toutes parts pour leur ‘parti’. Toutes ces évolutions se traduisent par une hausse des attaques DDOS, tant en nombre qu’en ampleur, qui peuvent être très disruptives et contribuer à épuiser le défenseur.»
«Le cybercrime, et surtout l’attaque par rançongiciel, reste l’une des plus importantes menaces actuelles, mais l’invasion de l’Ukraine nous a appris que d’autres attaques étaient potentiellement possibles», note Felicity Oswald, COO de NCSC UK. Actuellement, affirme-t-elle, les menaces pour un pays comme le Royaume-Uni viennent essentiellement de la Russie, de la Chine, de l’Iran et de la Corée du Nord. Et de craindre que la liste s’allonge encore. «Nous prévoyons que les capacités cyber deviendront courantes et ne se seront plus aux mains de quelques États seulement, dixit Oswald. Dans les romans policiers, on retrouve souvent le concept de ‘pièce close’ où un meurtre est commis dans une chambre fermée à clé, de telle sorte que le délit ne pouvait être perpétré que par un petit groupe de suspects présents dans la pièce. Tel ne sera plus le cas dans un proche avenir. La liste ne sera plus limitée.»
‘Le cybercrime, et surtout l’attaque par rançongiciel, reste l’une des plus importantes menaces actuelles’
Falicity Oswald, COO de NCSC UK
Dans ce contexte, se pose la question de savoir dans quelle mesure une entreprise ou une organisation peut se protéger contre de tels risques. Et plus encore s’il s’agit d’une ville avec tous ses départements, citoyens et services, ou encore d’un groupement d’organisations ou d’entreprises? La ville de La Haye se dit particulièrement fière – et l’affirme haut et fort – de se positionner comme une ‘Ville des Droits et de la Paix’ ainsi que de son Palais de Justice construit pour la Première conférence de La Haye ou conférence internationale de la paix. La Haye est d’ailleurs le siège de la Cour internationale de Justice ainsi que de la Cour pénale internationale, d’Europol et de très nombreuses ONG et institutions publiques.
«Nous sommes dès lors une cible privilégiée, remarque Saida Van Calsbeek, program manager Cyber Security à la municipalité de La Haye. Les pirates d’État cherchent à trouver de l’information chez nous.» Pour rendre la ville plus résiliente, différentes initiatives ont vu le jour, dont la plus inspirante est sans doute le hackathon annuel, ‘Hâck the Hague’. «Les candidats peuvent ainsi essayer de pirater tout ce qui est ouvert sur l’internet», explique Jeroen Schippers, CISO de La Haye. Il s’agit de sites web, applis, etc., certes à la condition pour les attaquants de ne pas dévoiler les données qu’ils y trouveraient. C’est ainsi que des poignées de portes électroniques et caméras sont mises à la disposition à l’hôtel de ville. «L’une des découvertes les plus étonnantes lors d’un hackathon précédent était une faille critique dans les imprimantes de Ricoh. Celle-ci a ensuite été transmise au Nationaal Cyber Security Centrum (NCSC) puis à Ricoh qui y a remédié à l’échelle mondiale», confie encore Schippers.
Stratégie
Lors d’un tel hackathon, des dizaines de failles sont mises en lumière, ce qui constitue une manière relativement efficace au plan économique pour renforcer la sécurité d’une commune. Et c’est bien nécessaire d’ailleurs, sachant que nous avons visité La Haye moins d’une semaine après l’annonce du piratage de la Cour pénale internationale, sans que personne n’ose se prononcer sur les détails de l’attaque. En 2018 déjà, les Pays-Bas devaient extrader 4 Russes qui envisageaient de pirater l’OIAC, l’Organisation pour l’interdiction des armes chimiques installé à La Haye. «Lors de cette attaque, nous avons pu intercepter 3 espions du service des renseignements russe qui tentaient de pénétrer le réseau Wi-Fi depuis un parking», explique Daan Rijnders, Cyber Secure The Hague lead. Souvent, on n’a pas la chance de les arrêter physiquement.»
Rijnders est l’un des grands stratèges de la sécurité de la ville, sachant que leur approche n’est guère différente de celle d’une entreprise en matière de sécurité. «Vous pouvez considérer une ville comme une structure intégrant des personnes, des organisations, des infrastructures et des processus et qui vit une transformation numérique. Quelles procédures et quelles technologies sont-elles nécessaires pour garantir cette résilience?» Sur un plan stratégique, La Haye se concentre notamment sur les processus critiques de la ville, comme l’enseignement, la santé, l’alimentation, l’énergie, etc. C’est ainsi qu’un ‘jumeau numérique’ du réseau électrique a été développé pour la région de la TU Delft en périphérie urbaine. De même, la ville a mis en place voici une dizaine d’années un Security Delta, un écosystème d’organisations, d’universitaires et d’entreprises qui vise à rendre la ville et la région plus résistance face aux cyberattaques de l’extérieur.
Les ONG comme cible
Cela étant, le profil de risque très particulier des organisations internationales de la ville a fait l’objet d’une attention spécifique. «Qu’entend-on par ‘être l’hôte’ de ce type d’organisations?, questionne Daan Rijnders. Nombre de traités relatifs à l’hébergement d’une organisation comme la Cour pénale internationale sont basés sur des conventions définies voici des dizaines d’années. Il n’y avait alors aucune référence à l’IT.»
Lors du piratage de la Cour pénale internationale, une collaboration de haut niveau s’est mise en place avec des prestataires de services et le NCSC notamment, le service néerlandais de cybersécurité. Mais qu’en est-il si la cible est plus modeste? Ainsi, les ONG sont de plus en plus souvent prises pour cible, sans même parfois s’en rendre compte. D’autant qu’il s’agit d’un secteur qui n’investit pas vraiment dans la cybersécurité. Étonnamment, il existe une ONG qui cible cette problématique. «Nous sommes spécialisés en cybersécurité pour les ONG», insiste Stéphane Duguin du CyberPeace Institute (CPI), une organisation à but non lucratif basée à Genève qui se veut le trait d’union entre ONG et secteur privé. «Nous ne proposons pas de réponse à un incident, mais aidons à améliorer la sécurité, et éventuellement à restaurer la situation après une crise. Nous recherchons des cyber-volontaires qui travailleront pour des ONG à renforcer leur sécurité. Par exemple la gestion des mots de passe, le monitoring du ‘dark web’, etc. Autant de services qui sont nécessaires, mais pour lesquels une ONG n’a pas les moyens nécessaires.»
A La Haye, un partenariat a ainsi été conclu entre la municipalité et DIVD, une ONG néerlandaise de pirates éthiques. «Nous formons des jeunes aux tests de vulnérabilité, précise Victor Gevers, l’un des fondateurs de DIVD. Nous scannons l’ensemble du web et lorsque nous découvrons une vulnérabilité dans une ONG, nous pouvons en faire part au CPI qui assure le suivi.» Les deux partenaires collaborent désormais avec la ville de La Haye pour aider quelque 200 ONG qui y sont installées à renforcer leur sécurité. «Le DIVD dispose d’une capacité importante pour scanner les menaces, tandis que le CPI peut aider à lutter contre ces menaces, dixit encore Duguin. Ensemble, nous pouvons proposer une solution de bout en bout qu’il serait impossible d’acheter dans le commerce, à moins de disposer de moyens importants.»
‘Ensemble, nous pouvons proposer une solution de bout en bout qu’il serait impossible d’acheter dans le commerce, à moins de disposer de moyens importants.’
Stéphane Duguin, CyberPeace Institute
Pourtant, une telle solution apparaît comme indispensable. Pour preuve, en début d’année dernière, la Croix-Rouge, pourtant l’une des ONG les plus connues au monde, a été attaquée. Lors d’une cyberattaque sophistiquée au quartier général de Genève, les données de 500.000 personnes particulièrement vulnérables ont été dérobées.
Cela étant, les attaques contre des organisations plus petites peuvent également être très dommageables. «Nous avons été contactés par une ONG qui fournit de l’aide alimentaire en Afrique, illustre ainsi Duguin. Elle a été piratée après une action de collecte et a perdu 1,5 million € en quelques secondes. De quoi mettre la clé sous la porte.»
Le CPI compte actuellement quelque 700 volontaires venus d’entreprises. «Nous vérifions désormais le bagage de ces volontaires en interrogeant les entreprises pour lesquelles ils travaillent», explique Duguin. A un moment donné, nous avions trop de volontaires et il nous était difficile de bien contrôler si les intentions sont toujours bonnes. C’est pourquoi nous collaborons à présent avec les entreprises qui ont leur propre système de contrôle interne.» De son côté également, le DIVD compte une centaine de volontaires, tous étant certifiés ‘pirates éthiques’.
Collaboration
Ce qui frappe surtout dans ces différentes initiatives, c’est l’idée de la collaboration, entre différentes autorités, différentes instances publiques, mais aussi le public-privé. C’est ainsi que le Security Delta destiné à rendre la municipalité plus résiliente s’appuie sur un groupement de 250 partenaires publics et privés, outre des start-up commerciales et des organismes de recherche universitaires.
«La situation en Ukraine nous a notamment appris que les organisations commerciales sont nettement plus rapides dans la prise de décisions en temps de crise, note Hans De Vries, directeur du NCSC. La décision d’intervenir peut prendre plusieurs jours dans un service public, alors qu’une entreprise peut décider d’agir directement.» Et de citer l’exemple de Starlink, dont la crédibilité s’est quelque peu effritée à a suite de certaines décisions de son patron Elon Musk. «Or dans une première phase de la guerre, le rôle de cette entreprise a été crucial, estime De Vries. A un moment donné, elle a permis des communications qui se sont révélées cruciales.» Comme quoi chacun a ses forces (et ses faiblesses).
Câlinez votre CISO
«Ces attaques contribuent à fatiguer le défenseur!» Tel est l’avis de Katelyn Bailey, CEO de Mandiant, qui reflète une opinion maintes fois entendue. En effet, les spécialistes en cybersécurité sont fatigués, et surtout les CISO.
«Tout brûle, les incidents se multiplient et nous devons courir. Certes, nous aimons courir, nous aimons les incidents de sécurité qui nous rendent importants. Mais nous devons prendre le temps de nous arrêter et de réfléchir», résume Jaya Baloo, CSO de Rapid7 dans un discours inspirant.
«Le secteur fait en effet face à un phénomène de burn-out, analyse Stéphane Duguin du Cyber Peace Institute. Ces experts sont confrontés à une tâche impossible. Les problèmes sont multiples et ils assument une responsabilité finale à ce niveau. La charge cognitive est extrêmement forte.»
Cette pression vaut certainement pour les rançongiciels où l’équipe de sécurité doit non seulement remettre en route les systèmes, mais aussi souvent négocier avec les criminels. «Nous constatons une hausse de la charge en raison des rançongiciels, confirme Hans De Vries du NCSC. La couche destinée à sécuriser notre société est constamment sous stress.»
«C’est l’un des seuls délits où la victime doit aussi être un peu complice, poursuit Duguin. En effet, les criminels doivent les convaincre, souvent depuis l’autre bout du monde, à collaborer, à verser l’argent et à ne pas appeler la police pour pouvoir restaurer leurs systèmes. Il faut un impact psychologique énorme.»
Si votre première réaction consiste à dire que cela ne marcherait pas avec vous, vous êtes peut-être aussi une partie du problème, prétend Baloo. «En tant que groupe, nous sommes très bons dans l’accusation et la trahison d’autrui.» Et d’ajouter que les entreprises qui admettent une attaque voient souvent leur réputation en souffrir et sont accusées de n’en avoir pas fait assez pour éviter l’attaque. Pourtant, la divulgation responsable et la communication transparente de vulnérabilités et de failles sont précisément les pierres angulaires de la sécurité. «Que signifie la transparence? Si vous admettez avoir été piraté ou avoir subi une fuite de données, quelles en sont les conséquences?, s’interroge Baloo. Nous devons faire preuve de plus d’empathie à l’égard de nos équipes. Je plaide pour davantage de clémence. Si vous avez un CISO dans votre organisation, faites-lui un câlin. Nous avons tous besoin de plus de câlinage.»
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici