Tirons profit des enseignements de la crise sanitaire pour gérer les cybercrises

Quels enseignements pouvons-nous transposer de la crise du Covid-19 dans le monde informatique pour éviter une crise cyber mondiale ou du moins tenter de la gérer de la manière la plus efficace possible ? Le point.

"Tous connectés, tous impliqués, tous responsables", c'est en ces termes que Guillaume Poupard, directeur général de l'ANSSI, faisait état de sa préoccupation face au niveau grandissant de la menace numérique en janvier 2019. Un an après sa déclaration, la planète était paralysée par l'arrivée du virus de la Covid-19. Quels enseignements pouvons-nous transposer de cette crise sanitaire au monde informatique pour éviter une crise cyber mondiale ou du moins tenter de la gérer de la manière la plus efficace possible ?

Durant la pandémie actuelle qui secoue notre planète, Internet et la digitalisation des activités ont permis de faire preuve d’un haut niveau de résilience en maintenant de nombreux secteurs vitaux tels que l’économie et l’éducation. Mais ne nous y trompons pas ! Notre degré de résilience est à la hauteur de notre degré d’impréparation tant sur le plan sanitaire que technologique. Cette crise sanitaire a mis en lumière l’ampleur du chantier numérique qui a dû, sous la contrainte et du jour au lendemain, s’accélérer pour répondre aux besoins d’interactions virtuelles d’une société privée d’interactions physiques. Cette marche forcée ne s’est pas faite sans conséquences. Les précautions d’usage ont souvent été négligées préparant le terrain à une cyber pandémie annoncée. Cette crise d’un nouveau genre pourrait paralyser nos infrastructures numériques et par conséquence nos activités en un claquement de doigts, ou devrais-je dire en un clic ! 

Ce scénario catastrophe, que nous pourrions qualifier de cyber Armageddon, est plus proche de la réalité que de la science-fiction. D’ailleurs, des exemples ont déjà eu lieu à plusieurs reprises durant la dernière décennie mais de manière localisée à l’échelle d’une ville ou d’un territoire. Ce fut le cas par exemple cette année pour plusieurs villes Françaises (ex : Douai, Angers, La Rochelle, Cannes) dont les systèmes informatiques ont été paralysés par des attaques cyber. Par ailleurs, le déploiement en cours de la nouvelle génération de technologies de communication sans fil 5G aura de profonds impacts sur nos infrastructures numériques. L’hyper-connectivité et l’interdépendance de ces réseaux est comparable à l’abolition des frontières numériques, rendant accessible tant le petit objet connecté du quotidien que la voiture, le train, l’usine, voire la ville. À ce niveau, l’ampleur et les répercussions d’une attaque cyber seront considérables et la quantification de leurs impacts difficile, voire impossible, à réaliser, notamment si des vies humaines sont affectées.

Il semble désormais évident qu’une telle crise numérique est probable. Voyons comment nous pouvons "tirer profit" des enseignements de la crise actuelle pour mieux gérer les crises numériques du futur.

Avant toute crise, l’anticipation est de mise !

La sécurité, qu’elle soit sanitaire ou numérique, est principalement une question d’anticipation. Anticiper une crise est une activité pluridisciplinaire qui mobilise d’importants moyens humains et financiers. Dans le secteur sanitaire, la gestion des crises et des urgences est encadrée par des standards (ex. ISO 22325). Dans ces standards, les activités d’anticipation et de gestion de crise sont organisées en 5 phases : prévention, mitigation, préparation, réponse et récupération. En cybersécurité, la gestion de la crise est de la responsabilité des CERT (computer emergency response teams - centre d'alerte et de réaction aux attaques informatiques) dont la méthodologie de travail est grandement inspirée de ces 5 phases.

  1. La prévention repose sur une bonne connaissance de la menace qui sera mise à profit dans l’évaluation des risques. En cybersécurité, les activités de veille (cyber-threat intelligence) réalisées par les analystes et les experts peuvent être comparées aux activités des épidémiologistes qui étudient les nouveaux virus et analysent leurs modes de propagation. Dans ce type d’activités, le partage d’information, la collaboration et les liens de confiance entre les laboratoires sont essentiels pour mettre en place des mesures préventives adéquates. En cybersécurité, la collaboration entre les CERT est une tendance forte qui tend à être intensifiée dans le futur afin d’éviter de reproduire les erreurs de cette crise sanitaire.
  2. La mitigation englobe les mesures d’atténuation ou d’annulation du risque. La crise sanitaire nous a démontré à quel point l’évaluation du risque est importante afin de sélectionner et d’engager les mesures nécessaires pour faire face à la menace. Malheureusement, de nombreux évènements récents ont démontré qu’un grand nombre de PME/TPE Françaises et Européennes n’ont à ce jour aucun plan de continuité d’activité (PCA) ou plan de reprise d’activité (PRA). Pire, beaucoup n’ont même plus de sauvegardes en adéquation avec leurs besoins opérationnels alors que leurs activités dépendent entièrement de systèmes et/ou de données externalisés. On ne le dira jamais assez, ne pas avoir de PCA/PRA relève de la négligence quand on connaît la nature et l’étendu des conséquences d’une attaque cyber. De même pour le déploiement et la mise en œuvre de solutions de protection adaptées et à l’état de l’art (pare-feu, bastion, sondes de détection, SIEM, personnel qualifié, formé et entrainé, etc.).
  3. La préparation regroupe les mesures anticipatoires visant à garantir une réaction rapide et efficace face à une crise. La crise que nous vivons doit être étudiée et enseignée comme un cas d’école. Elle illustre à la perfection la nécessité de la mise en adéquation des moyens humains, matériels et organisationnels nécessaires à la gestion d’une crise (nombre de lits de réanimation, d’appareils d’assistance respiratoire, d’aides-soignants, d’infirmiers, de médecins, de réanimateurs, etc). Une bonne préparation implique également une maitrise des nombres de patients admis, une bonne coordination des équipes et la capacité de l’organisation (i.e. l’hôpital) à s’adapter (déprogrammations, transferts de patients, mobilisation d’autres catégories de retraités, etc.) pour faire face à un nombre de patients fluctuant de jour en jour. Vous l’aurez compris, transposé à la sécurité numérique, l’exemple est criant et démontre bien l’intérêt de s’assurer que les moyens (techniques, humains et organisationnels) nécessaires à la gestion d’une crise cyber seront bien là quand il le faudra.
  4. La réponse intervient pendant la crise et consiste à mettre en application tout ou partie des mesures anticipatoires prévues dans le cadre de la phase de préparation. Si nous revenons à la crise sanitaire, nous pensons tous aux réponses apportées par le gouvernement telles que le port du masque, la distanciation sociale, l’hygiène sanitaire, le confinement, etc.  Des mesures qui parlent à tous et illustrent la nécessité d’être correctement préparé. Et si dans le monde réel, la mise en place de distanciation sociale a permis de ralentir la progression du virus, la mise en application d’une telle mesure en informatique relève de l’impossible tant les systèmes sont interconnectés. Des lors, seules les solutions de protection et de détection seront à même de mettre en œuvre l’équivalent de la stratégie tester, tracer, isoler. En sécurité informatique, l’isolement se traduirait par une ségrégation des réseaux, une mise sur liste noire d’une adresse IP (blacklist), ou d’une mise en quartenaire d’une station de travail.  Par ailleurs, la réponse à la crise de la Covid-19 a mis en évidence la capacité (humaine et matérielle) dans les services de réanimation de notre pays, nos stocks de masques, de consommables, notre dépendance vis-à-vis des chaînes d’approvisionnement se trouvant à l’autre bout du monde. En informatique, on ne parle plus de patients mais plutôt de nombre de requêtes que nos serveurs pourront gérer lors d’une tentative d’attaque par déni de service, de la formation de notre personnel à l’hygiène cyber, au nombre d’opérateurs du SOC (security operation center) capable de surveiller les systèmes vitaux de notre nation, du degré de dépendance de notre système par rapport aux chaînes d’approvisionnement (matérielles et logicielles) de pays tierces. L’analogie est frappante !
  5. La récupération vise à rétablir les fonctions du système dans leur état nominal, voire amélioré suite à une crise. Cette phase offre une opportunité aux décideurs d’apprendre des erreurs qui ont pu être faites ou de remettre en cause certains choix qui se sont révélés inadaptés lors de la réponse. Les mesures de récupération, quand celles-ci sont anticipées, sont souvent simples à mettre en place. Il s’agit par exemple de reconstituer les stocks de masques pour la santé. En informatique, ce sont les données stockées dans le cloud qu’on restaure afin de permettre au système de revenir à son état initial d’avant l’attaque, ou presque. Plus rarement, Il s’agit parfois de remplacer des équipements endommagés ou dont la performance n’a pas été à la hauteur des promesses. La récupération consiste également à changer de stratégie afin d’anticiper la prochaine crise. Dans le secteur sanitaire, on parle de relocaliser certaines productions, de former davantage de personnels, d’améliorer la gouvernance et le partage d’information. Autant de mesures, qui sont directement transposables à la cybersécurité. La pénurie de personnels qualifiés en cybersécurité est une préoccupation depuis un certain temps et la tendance est à la hausse. La coordination et le partage d’informations entre les nations sont balbutiants et les tensions géopolitiques ralentissent les coopérations alors que les cybercriminels n’ont aucune frontière et coopèrent au sein de groupes de renommée internationale. 

Il est certain que l’année 2020 restera longtemps gravée dans notre mémoire collective. Au-delà de la crise sanitaire, elle aura été marquée par un exode numérique massif des individus et des organisations vers une société virtuelle où les interactions ont pu continuer à avoir lieu, à bonne distance et dans le respect des gestes barrières et des mesures sanitaires en vigueur.

Comble du paradoxe, cette digitalisation forcée est la clef de voûte de la résilience économique, pédagogique et culturelle de notre société mais également son talon d'Achille. Dans l’urgence, la nécessité de connecter nos systèmes à internet nous a presque fait oublier que cela impliquait également de connecter internet à nos systèmes ! Dans ce contexte, la citation "Tous connectés, tous impliqués, tous responsables" de Guillaume Poupard prend pleinement son sens.

Si la transition des interactions physiques vers le numérique commence à être maitrisée, la sécurisation de ces interactions continue de poser de réels problèmes aux professionnels de la sécurité, et notamment quand celle-ci est réalisée précipitamment. Les conséquences numériques de la Covid-19 ne sont pas encore connues et ne le seront que bien des années plus tard. Les enseignements tirés de cette crise sanitaire doivent nous inciter à prendre la mesure de la menace qui nous guette et éviter que cette digitalisation accélérée ne devienne une épée de Damoclès au-dessus de nos têtes, nous citoyens, organisations et gouvernements. Une situation que nous avons tous intérêt à éviter au risque de devoir prendre des mesures drastiques pour contenir une menace qui finira par nous dépasser. On le sait tous, le coût de la sécurité n’est pas négligeable. Cependant, face à une crise cyber majeure et comparés à l’ampleur des conséquences d’une telle crise, ces coûts paraitront bien dérisoires s’ils contribuent à la maitriser, voire l’éviter.