Jean-Nicolas Piotrowski (ITrust) "Pendant les Jeux olympiques, ITrust a observé des tentatives d'ingérence ciblant divers ministères"
Jean-Nicolas Piotrowski est le CEO d'ITrust. Il partage avec le JDN son analyse sur les changements dans le paysage des cybermenaces et l'évolution des techniques employées.Il interviendra le 25 septembre à l'occasion de l'événement Free Pro Hubdate, en collaboration avec le JDN.
JDN. Observez-vous de premières attaques facilitées par l'IA ? Y a-t-il une automatisation, ou semi-automatisation des attaques ?
Jean-Nicolas Piotrowski. Pour l'instant, nous observons quelques tests sur Internet, réalisés par des groupes qui commencent à explorer le potentiel de l'IA pour créer des virus, des malwares ou des attaques plus sophistiquées. Certains travaillent sur l'accélération d'attaques très évoluées avec l'IA pour échapper aux antivirus, anti-spams et systèmes de détection. Mais ces recherches visent plutôt à se préparer pour l'avenir, pour être plus intrusifs ou causer plus de dégâts dans un an ou deux.
Qu'ils soient malveillants, volontaires ou involontaires, les attaquants n'ont pas nécessairement besoin d'utiliser l'IA aujourd'hui car ils sont déjà en avance par rapport aux systèmes non protégés par des solutions avancées. Il est relativement facile d'être malveillant si une entreprise n'est pas équipée de protections adéquates. L'IA offensive fait beaucoup parler d'elle, mais elle est peu utilisée en pratique. Son utilisation massive n'interviendra que lorsque la majorité des entreprises seront équipées de solutions de protection basées sur l'IA.
Vous assurez la protection de plus de 1 200 PME, 100 grandes entreprises et entre 300 et 400 ETI à travers le monde. D'après votre expérience, quels secteurs d'activité les plus exposés ?
Aujourd'hui, les grands groupes sont généralement bien protégés, disposant de moyens importants. Cependant, certains secteurs restent particulièrement exposés. Les sous-traitants et co-traitants d'écosystèmes industriels sont souvent ciblés. Par exemple, les PME du secteur aéronautique travaillant pour Airbus ou d'autres grands donneurs d'ordre, ou encore celles de l'industrie chimique. Ces structures, qui n'ont pas toujours les moyens d'accéder aux dernières technologies ou de disposer d'équipes informatiques dédiées, sont très vulnérables.
Les hôpitaux et les collectivités territoriales sont également très touchés en raison de leur faible niveau de cybersécurité. Dans ces cas, il s'agit plutôt d'ingérence étrangère visant à déstabiliser la nation. On l'a constaté lors des Jeux olympiques, où une vingtaine d'attaques ont réussi. Ces actions malveillantes ont des motivations géopolitiques : l'objectif est davantage de révéler les failles du pays et de le mettre en difficulté que de récupérer des informations particulièrement sensibles.
Les attaques menées par des acteurs malveillants soutenus par des Etats sont-elles en hausse depuis l'augmentation des tensions géopolitiques sur la scène internationale ?
Effectivement, nous observons une recrudescence d'attaques lors de phases particulières de l'actualité. Bien que ces actions soient souvent d'origine étatique, elles sont généralement menées par des groupes mafieux ou des organisations indépendantes des États, précisément pour masquer l'implication directe de ces derniers. Nous avons pu constater ce phénomène à travers plusieurs exemples concrets. Notre entreprise supervise notamment les infrastructures de télécommunications à Nouméa, en Nouvelle-Calédonie. Pendant les émeutes, nous avons dû faire face à des attaques massives, clairement issues de pays étrangers, qui visaient à déstabiliser la situation locale.
"Le secteur des drones, qu'ils soient civils ou militaires, est particulièrement visé."
De même, durant les Jeux olympiques, nous avons observé des tentatives d'ingérence ciblant divers ministères. L'objectif était de mettre en difficulté la nation et de montrer au monde l'existence de failles en France. Ces attaques étaient manifestement commanditées par des structures très importantes, potentiellement étatiques.
Actuellement, nous constatons des tendances plus particulières. Par exemple, le secteur des drones, qu'ils soient civils ou militaires, est particulièrement visé. Tout l'écosystème français des drones fait l'objet d'attaques visant à récupérer des informations sur leur fonctionnement et sur les innovations en cours. Il s'agit clairement d'espionnage industriel. La robotique est également très ciblée. Les start-up et PME travaillant dans ce domaine subissent de nombreuses attaques. Dans ces cas, l'objectif est la recherche d'informations stratégiques, le vol de recherches et de savoir-faire.
Dans le même temps, avez-vous constaté une augmentation des attaques exploitant des failles zero-day ? Comment les entreprises peuvent-elles anticiper ces risques par définition non identifiables ?
"Parmi les attaques évoluées, 90% utilisent des zero-day."
Nous avons effectivement constaté une augmentation des attaques exploitant des failles zero-day, mais il faut nuancer. Nos chiffres montrent que 20% des attaques sont très évoluées, tandis que 80% relèvent de malveillances ou d'attaques de bas niveau, relativement faciles à détecter, voire d'actions malveillantes internes. Parmi les attaques évoluées, 90% utilisent des zero-day ou des techniques inconnues. Bien qu'elles soient moins nombreuses, ces attaques sont les plus dangereuses et les plus efficaces car elles exploitent des failles inconnues. Cette tendance s'est accentuée depuis 4-5 ans, à partir de Stuxnet. Un véritable marché du zero-day s'est développé, où ces failles sont achetées soit par des éditeurs pour protéger leurs logiciels, soit par des acteurs malveillants qui les transmettent à des groupes de hackers pour mener des attaques ciblées.
Pour anticiper ces risques, les entreprises doivent changer de paradigme. Il ne s'agit plus seulement de protéger le périmètre de l'entreprise, mais d'adopter une approche de défense en profondeur. Cela implique de superviser l'ensemble du système d'information pour détecter les signaux faibles d'une attaque zero-day. Ces signaux peuvent être subtils : un utilisateur qui devient soudainement administrateur, des processus inhabituels qui se lancent, etc. Pour les identifier, il faut analyser de très grandes quantités de données du système d'information. Cela nécessite l'utilisation de technologies avancées comme le big data, des moteurs comportementaux, l'intelligence artificielle, et la threat intelligence.
Compte tenu de l'état actuel de la technologie quantique et des estimations des experts, dans quel délai peut-on raisonnablement s'attendre à ce que les ordinateurs quantiques constituent une menace concrète pour les systèmes cryptographiques actuels ?
C'est une question difficile car nous sommes face à une rupture technologique majeure. Actuellement, la technologie quantique est principalement réservée aux gouvernements et aux grandes entreprises très avancées. On sait déjà qu'il est possible de casser certains algorithmes, mais cela reste limité. Le véritable problème se posera lorsque le calcul quantique deviendra accessible au grand public. À ce moment-là, potentiellement n'importe qui pourrait être capable de casser des codes, ce qui représenterait une menace considérable pour la sécurité des systèmes actuels.
"A terme, il est probable que nous soyons tous contraints d'adopter le chiffrement quantique."
Il est difficile de donner un délai précis car nous sommes dans l'inconnu. Toutefois, des solutions émergent déjà, comme le chiffrement quantique. Cette technologie permettrait d'envoyer des données chiffrées de manière quantique. Son principe repose sur une propriété fondamentale de la physique quantique : si quelqu'un tente de lire ou de décrypter l'information lors de son transfert, l'état quantique de la donnée change, signalant ainsi qu'elle a été interceptée.
Cette approche pourrait, par exemple, contrer les tentatives d'espionnage des communications sous-marines. Actuellement, certains États peuvent intercepter les données transitant par les câbles sous-marins en analysant la réfraction des ondes électromagnétiques ou lumineuses. Avec le chiffrement quantique, toute tentative d'observation serait immédiatement détectée. À terme, il est probable que nous soyons tous contraints d'adopter le chiffrement quantique. Cela aura des répercussions importantes, notamment en termes de consommation de ressources. Les logiciels de chiffrement pourraient devenir plus coûteux et plus gourmands en énergie.