La série « Zero Day », produite et diffusée par Netflix, avec Robert de Niro, connaît un gros succès d’audience. Toute l’intrigue de cette mini-série américaine de thriller politique repose sur une cyber-attaque massive. Mais ce scénario catastrophe est-il crédible ? Peut-elle se produire dans la réalité ?
Si le grand public ironise souvent sur la tendance d’Hollywood à recycler sans fin les mêmes intrigues, les scénaristes excellent pourtant dans l’art d’exploiter les peurs profondes de leur public. Au cours de la dernière décennie, un nombre incalculable de films et de séries ont exploré des thématiques inquiétantes, allant des pandémies aux attaques d’impulsion électromagnétique (IEM), en passant par la menace existentielle de l’intelligence artificielle. L’être humain redoute instinctivement ce qu’il ne maîtrise pas, surtout lorsque cela représente un danger potentiel. L’incertitude, en effet, alimente la peur.
Il n’est donc guère surprenant que les cyberattaques soient devenues une source d’inspiration privilégiée pour les drames contemporains. Même si le spectateur moyen de Netflix ne saisit pas toutes les subtilités techniques des cyberattaques, il reste parfaitement conscient de leur fréquence et de leur gravité croissantes. En 2024, pas moins de 61 % des personnes interrogées dans l’étude de Cybermalveillance.gouv.fr déclaraient avoir été victimes d’au moins une cyberattaque. S’ils n’appréhendent pas toujours dans le détail les mécanismes d’une attaque par ransomware, ils en perçoivent néanmoins les conséquences redoutables.
Une telle attaque pourrait-elle vraiment se produire ?
Bien que l’accueil critique de Zero Day reste à déterminer, une chose est sûre : les spectateurs débattront de la plausibilité des événements qui se déroulent sur leurs écrans. Une attaque aussi dévastatrice pourrait-elle réellement se produire ? C’est techniquement possible, mais le risque est similaire à celui d’une collision avec un astéroïde qui mettrait fin à la civilisation, un scénario qui a également inspiré plus d’un film.
Pourquoi ? C’est une chose d’interrompre les activités d’une seule entité, comme un fournisseur d’énergie, un opérateur de transport ou une grande entreprise industrielle, mais c’en est une autre d’exécuter une attaque coordonnée contre l’infrastructure critique d’un pays tout entier. Plusieurs raisons expliquent son improbabilité :
1 – Une attaque à grande échelle nécessiterait un effort beaucoup plus complexe et coordonné. Les organisations d’infrastructures critiques vont des centrales électriques aux réseaux de transport en passant par les fournisseurs de soins de santé, et ces secteurs utilisent des protocoles, des procédures et des technologies de sécurité différents. Il serait donc très difficile pour les attaquants de mettre au point une approche unique.
2 – Contrairement à une organisation unique, les infrastructures nationales sont gérées par un ensemble d’entités publiques et privées, ce qui rend plus difficile l’exploitation d’une vulnérabilité commune.
3 – De nombreux systèmes d’infrastructures critiques sont dotés de redondances et de mesures de résilience intégrées qui leur permettent de résister à des pannes ou à des attaques localisées, ce qui rend plus difficile une perturbation généralisée.
Autres moyens de dissuasion : temps, échelle et représailles
Les initiateurs possibles d’une telle attaque peuvent être examinés. Aujourd’hui, seuls les plus grands groupes cybercriminels peuvent avoir les compétences et les ressources nécessaires. Cependant, ils sont motivés par le gain financier. Ils ne verraient pas l’intérêt d’investir leurs efforts sans bénéfice futur apparent alors qu’ils disposent de dizaines de méthodes éprouvées pour rentabiliser leurs activités, de la compromission des courriels d’entreprise aux attaques par ransomware.
Un autre acteur possible de la menace, les hacktivistes motivés par des objectifs sociaux ou politiques, pourrait avoir une motivation suffisante, mais ils n’ont pas les ressources nécessaires pour un effort coordonné à grande échelle s’étendant sur plusieurs années. Les scénaristes de Netflix ne manqueront pas d’introduire un rebondissement inattendu dans l’intrigue, mais en réalité, il ne peut s’agir que d’une cyber-opération d’un État-nation.
La cyberattaque des infrastructures civiles d’un autre pays est une attaque contre tous ses citoyens. Dans le paysage numérique actuel, une telle action serait considérée comme un acte de guerre et entraînerait une traque internationale intense. Si certains États-nations se livrent volontiers à des campagnes d’espionnage et de reconnaissance, les enjeux seraient trop importants pour qu’ils risquent de s’attirer les foudres d’une superpuissance disposant d’un arsenal de ripostes très complet. Le risque d’escalade vers une guerre conventionnelle constitue un puissant moyen de dissuasion contre toute cyberattaque à grande échelle.
La réduction des risques reste impérative
Même si les chances d’une collision dévastatrice avec un astéroïde sont infimes, la NASA s’efforce toujours de réduire les risques par le biais d’initiatives de défense planétaire. De même, même si une cyberattaque comme celle décrite dans Zero Day n’est pas réaliste, il est essentiel que les organisations d’infrastructures critiques continuent à renforcer leurs postures de défense et de réponse.
Heureusement, les gouvernements du monde entier ne laissent pas ces organisations se débrouiller seules en matière de cybersécurité. Les infrastructures critiques de niveau national font désormais l’objet d’une surveillance continue de la part d’agences gouvernementales et d’organismes de sécurité spécialisés afin d’accélérer la détection des menaces et la réaction. En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) joue un rôle clé dans la supervision des efforts de cybersécurité et la coordination des protections dans les secteurs public et privé, contribuant ainsi à garantir que les systèmes critiques sont renforcés contre les menaces en constante évolution.
En outre, les agences gouvernementales et les organisations d’infrastructures critiques ont collaboré à la mise en place d’équipes d’intervention d’urgence capables d’isoler et de neutraliser rapidement les cybermenaces généralisées.
Certes, Hollywood excelle dans la création d’émissions de télévision et de films qui explorent des scénarios de type « et si… », et la cybersécurité est un sujet qui inspire naturellement les scénaristes d’aujourd’hui. Selon un vieil adage, « la télévision est le miroir de notre société ». Cependant, dans le cas de Zero Day, ce n’est que partiellement vrai : la série donne une bonne représentation de la peur du public face aux cyberattaques, mais elle ne reflète pas fidèlement la réalité : en pratique, un tel événement catastrophique demeure extrêmement improbable…
____________________________
Par Ilia Sotnikov, Security Strategist chez Netwrix
puis