www.strategie.gouv.fr Les attaques informatiques se multiplient et se complexif

www.strategie.gouv.fr Les attaques informatiques se multiplient et se complexifient sous l’effet du développement du cyberespionnage, de la cybercriminalité et d’États qui utilisent ces attaques à des fins stratégiques. Parallèlement, des usages nouveaux (cloud compu- ting, mobilité) accroissent les vulnérabilités des sys- tèmes d’information. Confrontés à cette menace, les entreprises, les administrations et a fortiori les particuliers sont soit désarmés, soit peu conscients des risques encourus et de leurs conséquences économiques et finan- cières. Des attaques informatiques peuvent piller le patrimoine informationnel des entreprises et tou- cher des infrastructures stratégiques. Le Livre blanc sur la défense et la sécurité nationale paru en 2008 avait ainsi consacré la sécurité des systèmes d’in- formation comme l’une des quatre priorités straté- giques pour la France : c’est un enjeu de compétiti- vité et de souveraineté nationale. Pour élever le niveau de sécurité, tout en tirant profit des avantages d’un Internet ouvert et décentralisé, les organisations doivent adopter une démarche rationnelle d’analyse de risques afin de mettre en œuvre une réponse adaptée sur le plan technique et organisationnel. L’offre nationale de solutions de sécurité doit également se structurer pour permet- tre une meilleure valorisation des compétences technologiques françaises et garantir un plus haut degré de souveraineté. g Cybersécurité*, l’urgence d’agir LA NOTe D’ANALySe Mars 2013 no324 Développement durable Renforcer les exigences de sécurité imposées aux opérateurs d’importance vitale (OIV), sous le contrôle de l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Développer et mettre à la disposition des petites et moyennes entreprises des outils simples pour gérer les risques. Élargir les missions de l’ANSSI pour accompagner le développement de l’offre française de solutions de cybersécurité. Revoir le cadre juridique afin de conduire, sous le contrôle de l’ANSSI et d’un comité d’éthique ad hoc, des expérimentations sur la sécurité des logiciels et les moyens de traiter les attaques. 1 2 3 Centre d’analyse stratégique PROPOSITIONS 4 * Le préfixe “cyber” se réfère, dans son acception actuelle, aux systèmes d’information. Ainsi, le terme “cybersécurité” doit-il être compris comme la sécurité des systèmes d’information. Un “cyberespace” vUlnérable, en proie à Des actes Délictueux croissants les attaques informatiques se complexifient et se professionnalisent i Des attaques à visées stratégiques La découverte du programme malveillant Stuxnet en 2010 a révélé l’existence d’attaques informatiques d’une ampleur jamais atteinte jusqu’alors. Grâce à de nom- breuses failles de sécurité, Stuxnet s’est attaqué au pro- gramme d’armement nucléaire iranien, en sabotant le processus d’enrichissement de l’uranium. Son avancée technologique est telle qu’elle équivaudrait, selon un chercheur ayant étudié l’attaque, à “l’arrivée d’un avion de chasse de dernière génération sur un champ de bataille de la Première Guerre mondiale” (2). Le ver Flame, découvert en 2012, constitue quant à lui le système d’espionnage informatique le plus sophistiqué jamais découvert à ce jour. Contrôlé à distance, il est, entre autres, capable de copier tous types de fichier, de mémoriser les frappes sur le clavier, de déclencher le micro et l’émetteur Bluetooth, et peut s’autodétruire à tout moment. Ces exemples témoignent d’un affrontement d’un type nouveau : des cyberattaques peuvent être dirigées contre des infrastructures physiques(3) (réseaux de distribution d’énergie, infrastructures de transport, chaînes de pro- duction, etc.) ou participer à des opérations de renseigne- ment. Dans certains cas, leur niveau de sophistication est tel que seules des puissances étatiques seraient en mesure de les produire. L’appropriation par les États des attaques informatiques à des fins stratégiques conduit à une “course à l’armement” susceptible d’augmenter le niveau général de la menace. i Un développement préoccupant du cyberespionnage Les attaques informatiques destinées à s’approprier des informations sensibles (parfois appelées APT : Advanced Persistent Threats) connaissent un développement impor- tant et constituent une menace pour les entreprises et les administrations(4). Les attaquants sont à la recherche de données stratégiques : – informations liées à la recherche et au développement ; – informations échangées par les dirigeants ; – données financières et commerciales : contrats, négo- ciations en cours, etc. 2 Centre d’analyse stratégique (1) Bockel J.-M. (2012), Rapport d’information sur la cyberdéfense, commission des Affaires étrangères, de la Défense et des Forces armées, Sénat. (2) Langner R. (2010), The big picture. (3) ANSSI (2012), La cybersécurité des systèmes industriels. (4) Duluc P. (2012), “Les menaces sur le cyberespace : une réalité”, Revue de l’électricité et de l’électronique, n° 2, p. 16-20. L’essor des technologies de l’information a entraîné une dépendance croissante à l’égard des outils numériques. En raison des enjeux économiques et politiques sous-jacents, les attaques informatiques se sont considérablement développées et sophistiquées au cours des dernières années. Leurs auteurs sont techniquement difficiles à identifier, et l’investissement et le risque pénal encouru sont relativement faibles au regard des gains potentiels. La découverte en 2010 du ver informatique Stuxnet, conçu pour saboter le processus d’enrichissement d’uranium iranien, a fait prendre conscience de la possibilité de “cyberattaques” contre des infrastructures physiques. Les organisations sont aussi confrontées à un “cyberespionnage” généralisé, qui vise leur patrimoine informationnel stratégique (activités de R & D, informations financières et commerciales, etc.). Ainsi, assurer un certain niveau de sécurité des systèmes d’information est-il devenu un enjeu de première importance. En France, la création en 2009 de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) témoigne d’une prise de conscience de ces questions. Cependant, comme le souligne le rapport sénatorial de juillet 2012 sur la cyberdéfense(1), le niveau de sécurité des systèmes d’information des organisations reste globalement insuffisant malgré les efforts fournis. La présente Note d’analyse fait le point sur l’état des menaces informatiques et sur les réponses apportées en France et à l’étranger. Elle formule ensuite des recommandations destinées à élever le niveau de cybersécurité. LeS eNjeux ( LA NOTe D’ANALySe Mars 2013 no324 www.strategie.gouv.fr 3 Noyées dans le flot des données échangées, ces attaques peuvent rester invisibles pendant plusieurs années et entraîner un espionnage économique massif. Ainsi l’entreprise d’équipements de télécommunications Nortel a été victime d’un espionnage généralisé à partir du début des années 2000, les pirates ayant eu accès à la totalité des documents techniques, financiers et de R & D pendant près de dix ans(5). Il s’agit très probable- ment de l’une des principales causes de la faillite de l’en- treprise en 2009. En 2010, le ministère français de l’Économie et des Finances a subi une campagne d’attaque de ce type. Environ 150 ordinateurs, principalement au sein de la direction générale du Trésor, ont été infectés, sur les quelque 170 000 ordinateurs du ministère, ce qui illustre le degré de précision du cyberespionnage. L’attaque avait notamment pour but de recueillir des informations rela- tives à la présidence française du G8 et du G20(6). Des quotidiens américains, parmi lesquels le New York Times et le Wall Street Journal, ont annoncé en janvier 2013 avoir été victimes d’espionnage de grande ampleur (vol de mots de passe, d’emails et de données de journa- listes), accusant des pirates basés en Chine. La plupart des grandes entreprises et des administrations ont très probablement été victimes d’intrusions à des fins d’espionnage. Cependant, hormis ces quelques exem- ples, il n’est pas facile de recenser ces attaques en raison de la réticence des organisations à les révéler. i La professionnalisation de la cybercriminalité La cybercriminalité désigne l’ensemble des infractions pénales commises via les réseaux informatiques (vols de données à caractère personnel ou industriel, fraude ou vol d’identifiants bancaires, diffusion d’images pédophiles, atteinte à la vie privée, etc.). Encouragé par l’importance des sommes en jeu pour un risque relativement faible, le crime organisé s’est emparé de la cybercriminalité. Selon les estimations de Norton(7), le coût financier de la cybercriminalité atteindrait en 2012 110 milliards de dol- lars, dont 42 % liés à des fraudes, 17 % à des vols ou pertes de données et 26 % aux frais de réparation. Le tra- fic de drogue (cannabis, cocaïne et héroïne) représente- rait 288 milliards de dollars, selon la même étude. i Un nombre d’attaques amené à croître Le nombre d’attaques et leur intensité devraient aug- menter. La dissémination de codes malveillants entraîne des effets collatéraux, voire “boomerang”. À titre d’exem- ple, des fonctions élémentaires du ver Stuxnet sont dispo- nibles à la vente sur Internet et peuvent être utilisées à des fins malveillantes. Si les techniques d’attaque clas- siques sont toujours très utilisées et peuvent se combiner de manière complexe, des menaces nouvelles devraient se développer (cf. encadré 1). encadré 1 Techniques d’attaques les plus fréquentes(8) – Le déni de service : saturation d’un réseau ou d’un service par un envoi de requêtes en très grand nombre afin d’empêcher ou de limiter fortement sa capacité à fournir le service attendu(9). De telles attaques ont par exemple paralysé les sites institutionnels d’Estonie en 2007 ; – Le piégeage de logiciels : utilisation de programmes malveillants (virus, ver, cheval de Troie, etc.) pour perturber le fonctionnement d’un logiciel et infecter un système d’information ; – Les techniques d’ingénierie sociale : acquisition déloyale d’information afin d’usurper l’identité d’un utilisateur. Parmi ces techniques, l’hameçonnage (phishing) consiste par exemple à faire croire à la victime qu’elle s’adresse à un tiers de confiance (banque, administration, etc.) afin de uploads/Management/2013-03-19-cybersecurite-na324-pdf.pdf

  • 15
  • 0
  • 0
Afficher les détails des licences
Licence et utilisation
Gratuit pour un usage personnel Attribution requise
Partager
  • Détails
  • Publié le Aoû 21, 2021
  • Catégorie Management
  • Langue French
  • Taille du fichier 0.6355MB