Les cyber-attaques derrière le changement climatique, une menace

Le fait que la publication du Rapport sur les risques mondiaux 2020 du Forum économique mondial (FEM) le 15 janvier dernier ait suivi de près l'une des annonces les plus inquiétantes du Microsoft Patch Tuesday, peut sembler ironique.

La divulgation du CVE-2020-0601 par Microsoft, le 14 janvier, porte directement atteinte à la confiance que nous accordons aux environnements informatiques numériques d’aujourd’hui — confiance dans l’authentification des binaires et confiance dans la protection adéquate de nos communications chiffrées. Cette faille permettrait à un attaquant d’exploiter la façon dont Windows vérifie la confiance cryptographique, lui permettant ainsi de livrer un code exécutable et de faire croire qu’il provient d’une source fiable. Vous pouvez imaginer son utilité pour les attaques par ransomware et phishing sur des systèmes non patchés. 

Compte tenu de la prolifération des attaques par ransomware et phishing en 2019, il n’est pas surprenant de voir le rapport du FEM classer la fraude/le vol de données au 6ème rang et les cyber-attaques au 7ème rang de sa liste des dix principaux risques à long terme en termes de probabilité pour les dix prochaines années. Ces risques devancent les crises liées à l’eau, les défaillances des gouvernements mondiaux et les bulles d’actifs comme motifs d’inquiétude pour les répondants à l’enquête du FEM. En termes d’impact potentiel, la liste des dix principaux risques place la défaillance des infrastructures d’information au sixième rang et les cyber-attaques au huitième rang, ces dernières étant considérées comme le deuxième risque le plus préoccupant pour les affaires à l’échelle mondiale au cours des dix prochaines années.

Le rapport s’appuie sur l’enquête du FEM sur la perception des risques mondiaux, qui rend compte des réponses de 800 membres des diverses communautés du Forum. Le rapport identifie deux types spécifiques de cyber-attaques dans sa liste des dix principaux risques mondiaux à court terme : les attaques contre les infrastructures et le vol d’argent/de données. Plus des trois quarts des personnes interrogées (76,1 %) s’attendent à ce que les cyber-attaques contre les infrastructures augmentent cette année, tandis que 75% estiment que le vol d’argent et de données prendra de l’ampleur.  

Les attaques contre les infrastructures critiques sont particulièrement préoccupantes lorsque l’on considère la mesure dans laquelle la convergence des technologies IT et opérationnelles élargit la surface d’attaque. Norsk Hydro a déclaré avoir perdu plus de 50 millions de dollars au cours de son premier trimestre de 2019 à la suite de l’attaque LockerGoga. Ces dernières années, les pertes causées par Shamoon, WannaCry et NotPetya se sont élevées à des milliards de dollars. Comme si les pertes financières n’étaient pas suffisantes, les attaques contre les infrastructures critiques peuvent également entraîner des coûts humains énormes. La perte de services d’électricité ou d’eau a des conséquences évidentes sur la vie humaine, mais nous devons également envisager la manière dont une altération malveillante des contrôles opérationnels dans les secteurs public et privé peut altérer les ingrédients des médicaments, des aliments, des boissons ou manipuler des composants critiques comme les airbags automobiles ou la logistique des transports.

Le rapport sur les risques mondiaux du FEM, publié pour la première fois en 2007, peut être considéré comme un témoignage de l’importance croissante que les chefs d’entreprise accordent au cyber-risque. Entre 2012 — date à laquelle les cyber-attaques sont apparues pour la première fois dans la liste des cinq principaux risques en termes de probabilité — et 2017, les cyber-attaques et les vols de données ont disparu de la liste des cinq principaux risques en termes de probabilité. C’est la première année depuis 2017 qu’aucune de ces préoccupations ne figure dans la liste des cinq principaux risques probables. Nous interprétons le top cinq de cette année comme un indicateur de la gravité des problèmes climatiques, plutôt que comme une indication de toute amélioration de la cyber-sécurité mondiale depuis le rapport de l’année dernière. 

Quelques chiffres marché supplémentaires :

  • Pour la première fois, les cyber-incidents sont classés comme le risque d’entreprise le plus important au niveau mondial parmi les 2 700 experts interrogés dans 100 pays pour la 9ème édition annuelle du Baromètre des risques d’Allianz, supplantant les interruptions d’activité comme préoccupation numéro 1.  Il y a sept ans, les cyber-risques se classaient au 15ème rang, et seulement 6 % des répondants au sondage les considéraient comme un risque d’entreprise important ;
  • Près des deux tiers (62 %) des dirigeants mondiaux considèrent les cyber-attaques et les menaces comme l’une des principales priorités de leur organisation en matière de gestion des risques en 2020, selon l’enquête mondiale de Marsh & McLennan sur la perception des cyber-risques réalisée en 2019 auprès de 1 500 chefs d’entreprise.
  • La cyber-sécurité arrive en deuxième position après le cloud en ce qui concerne les priorités d’investissement dans la transformation numérique, selon le rapport intitulé "L’état de la transformation numérique 2018-2019" d’Altimeter, qui s’appuie sur une enquête menée auprès de 554 professionnels des affaires et de l’IT en Amérique du Nord, en Europe et en Chine. 

Pourtant, alors même que le cyber-risque est devenu une priorité pour les organisations ces dernières années, le rapport Marsh & McLennan constate que la confiance dans la capacité d’une organisation à gérer ce risque a diminué. En outre, la moitié des personnes interrogées ont déclaré que les cyber-risques ne constituaient presque jamais un obstacle à l’adoption de nouvelles technologies, même si 23% ont indiqué que, pour la plupart des nouvelles technologies, le risque l’emportait sur les avantages commerciaux potentiels.

Le rapport sur les risques mondiaux du FEM 2020 démontre à quel point il est essentiel que les organisations envisagent le cyber-risque avec le même degré d’analyse et de considération qu’elles accordent aux autres menaces existentielles. À cette fin, il nous incombe à tous d’apprendre ce qu’implique l’adoption d’une approche "cyber-first" pour toutes les grandes décisions commerciales. 

Des initiatives telles que l’Accord technique sur la cyber-sécurité de Microsoft constituent une étape importante vers la promotion d’un avenir cybernétique pour les organisations du monde entier. Aucun de ces problèmes ne peut être résolu isolément. Comme pour le changement climatique, la lutte contre la menace existentielle des cyber-attaques nécessite un effort concerté et soutenu de la part des secteurs public et privé. La session de l’Accord technique sur la cyber-sécurité qui s’est tenue au Forum économique mondial de Davos, en Suisse, a notamment permis de discuter ouvertement de la responsabilité de l’industrie et de la façon dont les acteurs de sécurité doivent travailler ensemble pour relever les défis de la cyber-sécurité au XXIe siècle.