Le piratage des donnés n’est pas une nouveauté. Afin de s’assurer que celles-ci restent à l’abri des menaces, il faut dans un premier temps être certain que seuls les utilisateurs autorisés soient en mesure d’y avoir accès ou de les modifier. Les attaques jouant sur l’intégrité des données mettent en péril ces précautions sécuritaires, en cherchant à accéder au serveur de manière non-autorisée et de pouvoir ainsi modifier les données. Cela représente le moyen ultime d’en faire de véritables armes aussi puissantes que nuisibles.
Ce fut le cas en 2008, lorsque des entreprises d’exploitation forestières brésiliennes ont accédé aux réseaux du gouvernement pour en gonfler les quotas d’exploitation. On se souvient également du ver Stuxnet qui, en 2010, a utilisé des failles mineures pour tenter de détruire le programme nucléaire iranien. Toujours à titre d’exemple, en 2013, un groupe syrien pirata le compte Twitter de l’Associated Press en indiquant que le président Obama avait été blessé lors d’explosions à la Maison Blanche. A lui seul, ce tweet a causé une baisse du Dow Jones de 147 points.
Si l’on continue à retracer les récentes attaques qui ont marqué les esprits, on peut également citer celle orchestrée par Anonymous. En publiant des rapports financiers exposant des entreprises américaines et chinoises, l’objectif était de contourner les marchés financiers, et par la même occasion, d’endommager la réputation de la marque de REXLot Holdings, un développeur de jeux qui avait gonflé ses revenus.
La même année, il y eu la faille subie par la holding américaine JP Morgan Chase et la tentative de contrôler le marché. Ce qui nous amène, bien sûr, à 2016, avec les cyberattaques subies par l’Agence Mondiale Antidopage et le Comité National Démocrate, deux illustrations parfaites de piratage ciblant des entités gouvernementales.
Dans quelle mesure les cyber-attaques vont elles s’aggraver ?
Pourquoi ces attaques devraient-elles s’aggraver ? La première génération de cyberattaques se contentait de couper l’accès aux données. Elles ont ensuite évolué en cherchant à les dérober. Aujourd’hui, nous constatons que les données volées sont modifiées juste avant d’être transférées d’une machine à une autre, affectant ainsi toutes les chaînes des opérations.
En outre, l’explosion de l’Internet des Objets (IoT) a considérablement ouvert le champ des possibles pour les pirates, en leur offrant une multitude de nouvelles cibles, représentées par autant de dispositifs connectés que d’utilisateurs. Prenons par exemple le Fitbit. Il suffit de voir le nombre de personnes qui y ont accès, de l’utilisateur au fabricant, en passant par le fournisseur de cloud hébergeant l’infrastructure informatique, à la personnes tierce qui y accède via une API (Application programing interface). Cela crée une prolifération des risques que le marché de la sécurité informatique n’avait jusqu’alors pas identifié, puisqu’il s’agissait juste d’objets utilisés par les consommateurs.
Mais les vols de données peuvent avoir de lourdes conséquences, car elles ont le pouvoir de faire tomber une entreprise, voire l’ensemble des entités qui y sont liées.
Le monde connecté d’aujourd’hui génère en permanence une multitude de données que les entreprises, professionnels et analystes du secteur utilisent pour prendre des décisions, faire des projections, émettre des prévisions et plus encore.
Les attaques visant à compromettre l’intégrité des données d’une entreprise peuvent engendrer un arrêt total de son activité. Ainsi, les marchés boursiers pourraient être attaqués et s’effondrer si leurs données devenaient défectueuses. D’autre part, le réseau électrique et les autres systèmes IoT tels que les feux de signalisation ou les centrales d’alimentation en eau potable, pourraient être gravement perturbés si les données utilisées étaient altérées. Si l’on y réfléchit, la plus grande menace pourrait venir des attaques qui passeront inaperçues pendant des années jusqu’à ce que leur potentiel de nuisance ne soit enfin révélé. Le principal enjeu est donc la confiance. La prise de décision se faisant au niveau des hauts fonctionnaires, des dirigeants d’entreprises, des investisseurs ou encore des consommateurs sera biaisée s’ils ne peuvent se fier aux informations dont ils disposent.
Que faire pour protéger ces données ?
À ce stade, il serait légitime de croire qu’il n’y a pas de solution à ce problème. Ce n’est pas le cas. Lors de mes échanges avec les entreprises pour lesquelles nous travaillons, l’une des premières questions que je leur pose est : « Que souhaitez-vous protéger ? » Si vous ne savez pas quelles données vous essayez de sécuriser, il ne sert à rien d’investir du temps et de l’argent dans cette tâche. Il s’agit d’une question assez simple, mais à laquelle il est pourtant difficile de répondre. Malgré cela, la réflexion qui doit y être apportée est primordiale pour n’importe quelle organisation. Quelques-unes des précautions à adopter ont été mises en avant dans notre récent blog intitulé « Securing the breach trumps breach prevention ».
Une chose est sûre, les vols de données continueront de se produire. Se convaincre du contraire serait utopiste. Mais même si leur complexité et leur envergure ne cessent de croitre, il ne faut pas pour autant y consacrer l’ensemble de son attention, car cela aurait pour conséquence de mobiliser la totalité des ressources de l’équipe de Sécurité IT de l’organisation. En résumé, le meilleur point de départ consiste à savoir quelles sont les informations qu’il est important de protéger.
__________
Jason Hart est CTO Data Protection chez Gemalto