Airbus CyberSecurity : Attaques contre les infrastructures industrielles, malwares boostés à l’intelligence artificielle, évolutions des réglementations sur les crypto monnaie ou pour une meilleure collaboration internationale
Markus Braendle, Directeur
1. Attaques d’extorsion ciblant les infrastructures industrielles (OT) /IIoT
Prévision : les infrastructures stratégiques seront perturbées par une attaque d’extorsion de grande envergure
Nous avons déjà observé des attaques de type extorsion lancées sur des infrastructures telles que des villes ou des ports. Tout laisse à croire que ce type d’attaque va non seulement se poursuivre, mais aussi s’étendre aux infrastructures d’énergie et de transport. À l’heure de l’Internet industriel des objets (IIoT, Industrial Internet of Things), le secteur industriel est en passe de devenir une nouvelle cible. Les pirates ciblant les entreprises ont de plus en plus recours à des pratiques d’extorsion. Dans ce contexte, les cibles potentielles quasiment illimitées ne sont qu’un moyen de parvenir à des fins financières. Au cours de l’année 2019, l’une de ces attaques provoquera, quelque part sur la planète, des bouleversements mémorables.
Pour 2019, nous nous attendons à ce que les appareils IIoT deviennent une cible majeure des pirates informatiques, en particulier dans le secteur industriel. L’avènement de l’Industrie 4.0 s’accompagne d’une tendance à l’exploitation de la technologie IIoT à des fins de collecte en temps réel de données de processus de production. Cela aura des retombées positives, mais génèrera également des risques supplémentaires, du fait du niveau de maturité encore faible des solutions de protection de cybersécurité des appareils IIoT.
2. Intelligence artificielle : le risque des malwares
Prévision : les malwares basés sur l’intelligence artificielle (IA) échapperont au périmètre de leur cible visée avec des conséquences dévastatrices
Un développeur de logiciels malveillants ayant recours au ciblage d’apprentissage automatique et/ou à l’autopropagation pourrait créer une souche tellement performante qu’elle risquerait d’ « échapper » au périmètre défini de sa cible, provoquant ainsi d’immenses dommages collatéraux. L’emploi de l’intelligence artificielle dans un événement de ce type sera susceptible d’amplifier les retombées de ce que l’on a déjà pu observer avec Stuxnet, Mirai ou encore NotPetya. En outre, on assistera pour la première fois à une cyberattaque intégrant l’apprentissage automatique pour automatiser des techniques de piratage manuelles, habituellement uniquement associées à des menaces APT. Pour constituer un contrepoids et combler le déficit de compétences en matière de cybersécurité, les centres d’opérations de sécurité (SOC, Security Operation Center) vont commencer à utiliser des algorithmes d’intelligence artificielle et d’apprentissage automatique. Les analystes de sécurité auront pour mission de s’adapter à leurs nouveaux collègues artificiels.
Les bibliothèques/frameworks d’apprentissage automatique Open Source, comme TensorFlow et Pytorch, accentuent l’accessibilité de ces techniques sophistiquées.
3. Vers une réglementation des crypto-monnaies
Prévision : les législateurs vont perdre patience au sujet des crypto-monnaies
La Blockchain représente un risque à court terme, en raison de son immaturité technologique et de sa forte dépendance au sort des crypto-monnaies. La réussite de cette technologie dans des secteurs tels que la sécurité de la chaîne logistique nécessite de parvenir à un certain stade de maturité. À mesure que l’utilisation des crypto-monnaies de la Blockchain se généralise, les craintes d’attaques à visée géopolitique sur ces monnaies vont s’intensifier. C’est la raison pour laquelle ces dernières vont subir des contrôles accrus, destinés à atténuer le risque économique, dans un contexte d’échanges croissants sur les marchés conventionnels. De façon plus générale, la confiance dans la Blockchain va fléchir. En effet, les préoccupations relatives aux problèmes de cybersécurité rencontrés avec les crypto-monnaies augmentent, et l’on se rend bien compte que la Blockchain ne constitue pas une panacée.
Les préoccupations de sécurité qui ont fait surface avec l’apparition de certaines crypto-monnaies sont susceptibles d’intéresser de plus près les autorités financières, qui seront enclines à durcir la législation à mesure que ces monnaies cessent d’être un phénomène marginal .
4. Le premier traité international sur la cybersécurité
Prévision : deux cyber-puissances vont entamer des négociations pour élaborer le premier traité international sur la cybersécurité
La population est exposée à un risque accru de blessures causées par une attaque (intentionnelle ou accidentelle) menée sur des infrastructures stratégiques telles que des centrales ou des hôpitaux. Pour faire face à ce type de menace, nombre d’idées ont été formulées. Microsoft plaide notamment pour l’adoption d’une Convention de Genève numérique, et appelle à la création d’une ONG indépendante, baptisée « Global Cyber Attribution Consortium », dont l’objectif consisterait à contrôler le respect des exigences de conformité. Il faudra sans doute attendre plusieurs années avant que cette initiative et d’autres initiatives prises par les Nations Unies voient le jour. Cependant, le rapport risque/récompense bascule lentement mais sûrement en faveur d’un système de règles, au moins pour un petit nombre de pays, surtout s’il est possible d’en tirer des avantages géopolitiques reflétés par les relations économiques et militaires entre les pays. Un traité formel de cybersécurité de ce type reposerait donc autant sur son capital politique et symbolique que sur ses détails techniques.
Les états doivent plaider en faveur de la cyber-coopération plutôt que pour la cyber-guerre. En réalité, les états sont dans l’obligation d’œuvrer à l’établissement d’un traité de ce type pour empêcher la survenue de cyber-attaques destructrices. L’année 2019 pourrait bien être l’année au cours de laquelle plusieurs pays voisins parviennent à un accord de ce type.
5. Vers une interdiction des rançons
Prévision : un gouvernement local bannira le paiement de rançons dans le secteur public
En cas d’attaque par extorsion, le paiement de rançons par des organisations du secteur public pour récupérer l’accès à leurs systèmes stratégiques est devenu monnaie courante. Cette pratique a toujours été sujette à polémique, et les règles régissant sa légalité sont complexes, même dans les pays disposant de systèmes judiciaires très développés. Les gouvernements commencent à payer le prix de cette vision à court terme. En effet, non seulement le paiement d’une rançon risque de financer de nouvelles attaques, mais en plus il n’offre aucune garantie que l’attaque ne se reproduira pas. Quant aux montants des rançons, ils ont été multipliés par dix. Les attaquants s’intéressent à présent aux infrastructures stratégiques. Or il s’agit là d’une évolution dangereuse. L’interdiction du paiement de rançons pourrait dissuader les attaques par extorsion et inciter les acteurs concernés à investir dans des solutions de sécurité conçues pour éviter que ces situations ne se produisent.
« Au vu de l’augmentation impressionnante du montant des rançons exigées en 2018, il est clair qu’un nombre croissant d’organisations a payé. Une situation intenable, en particulier dans le secteur public, où la patience des électeurs risque de se briser.
Chez Airbus CyberSecurity, nous observons également une tendance des organisations à s’écarter du simple renforcement de leur périmètre de sécurité afin de consacrer davantage d’investissements à des activités de renseignement, de détection en temps réel et d’intervention.
Voici les recommandations d’Airbus CyberSecurity :
1. La cybersécurité IT/OT doit être évaluée par les membres du conseil d’administration de l’entreprise et gérée dans le cadre d’une politique interne de gestion des risques professionnels.
2. De trop nombreuses organisations se laissent distraire par des apparences séduisantes. Or, les entreprises doivent toujours parvenir à un équilibre entre les dépenses consacrées aux interventions et à la formation, ainsi qu’à la détection.
3. Pour réussir, une entreprise doit mettre sur pied des équipes pluridisciplinaires, à même de coopérer aussi bien en interne qu’en externe. Cela n’est à la portée d’aucun service/d’aucune entreprise faisant cavalier seul.