Elle a sa semaine, ses prix et désormais sa cartographie. La cybersécurité est devenue une préoccupation économique virale.
De Jérôme Quiqueret
Au premier jour d’une semaine de la cybersécurité qui en compte dix – et s’achève le 25 octobre –, le ministre de l’Economie, Etienne Schneider, a présenté une cartographie de son écosystème. Alors que les projections passées laissaient imaginer que quelques dizaines d’îlots allaient y apparaître, c’est tout un monde qui y affleure et rend compte de l’édification d’un nouveau pilier de l’économie.
La cartographie parvient à un total de 304 entreprises privées actives, aux côtés d’institutions publiques et semi-publiques, chargées de soutenir la digitalisation de l’économie. Même si seulement un quart d’entre elles ont la cybersécurité pour activité principale, le chiffre véhicule l’image d’une économie bien protégée mais aussi celle d’une économie innovante, puisque 22% de ces acteurs sont des start-ups, dont la moitié sont nées ces cinq dernières années, la plupart avec noms explicites (Secourriel, Cyberhedge, Rempart, Luxidentity …).
Phishing: la banalité du mail
Impressionnant de prime abord, le chiffre paraît vite raisonnable au vu que toutes les entreprises sont confrontées à ce que Pascal Steichen, CEO de securitymadein.lu, appelle le „bruit de fond“, à l’origine de la moitié des attaques recensées. Il entend par là des attaques opportunistes qui essaient d’immiscer dans tout système informatique, à des fins purement lucratives. Il s’agit de brasser large pour trouver le pourcentage infime des victimes auprès duquel récupérer de l’argent. En général, l’attaque vise une banque ou l’un de ses clients. Elle peut aussi à se glisser entre des transactions, à se servir d’une adresse mail pour établir des fausses factures à un fournisseur, par exemple.
Dans la masse de données, le courriel reste un vecteur de premier choix, lui qui est devenu l’outil de communication commercial standard. „Les cybercriminels ne sont pas des génies qui hackent dans leur garage. Nous faisons face à une économie parallèle, avec des gens qui veulent faire de l’argent, qui ne font pas forcément tout mais achètent aussi des services aux autres“, observe Pascal Steichen.
La parade réside dans la sensibilisation et la lente diffusion d’une véritable culture de la cybersécurité. 20 années sont passées depuis le premier grand bug, I love you, qui infecta 10% des ordinateurs dans le monde. Et il faudra encore dix ans selon Steichen pour que le message soit bien passé. La Fédération des industriels luxembourgeois (Fedil) entend participer à cette culture. Elle a lancé, durant la semaine de la cybersécurité, un instrument qui permet aux entreprises, en réponse à 54 questions de „cyber hygiène“ d‘évaluer en ligne leur degré de préparation … ou d’inconscience.
La cybersécurité, ce n’est pas que la protection, c’est aussi la détection et la réparation. „Il ne faut pas seulement s’arrêter à la protection, mais disposer de la chaîne de valeur complète, pour être en mesure de déceler a une attaque en cours.“ Les petites entreprises sont des cibles plus faciles. Elles n’ont pas forcément les ressources en interne pour identifier rapidement une attaque. Des intrusions peuvent rester plusieurs mois sans que l’entreprise ne les remarque. Elle sera ensuite soit rançonnée, ou servira de base pour en rançonner une autre.
Au fur et à mesure que la culture se diffuse dans les entreprises, les attaques se déplacent également vers des cibles plus vulnérables et moins bien outillées: les êtres humains. „Les criminels cherchent les maillons faibles, où le système est moins protégé, et vont donc attaquer le client de la banque plutôt que la banque, en espérant pénétrer le système bancaire“, fait savoir Pascal Steichen. Pour nuire à une entreprise industrielle désormais bien protégée, les cybercriminels vont viser les employés des fournisseurs. Et quand ils seront pris, ils les feront chanter par e-mail, pour essayer d’éviter que la personne notifie son département sécurité.
„L’équivalent électronique d’un attentat“
Le dynamisme de l’économie luxembourgeoise l’expose particulièrement à ce type de menace. Un phénomène en est la plus parfaite illustration, selon le CEO de securitymadein.lu. „On voit même des situations où le même attaquant revient plusieurs fois vers la même victime. Si on paie, on envoie au criminel le signal qu’on est économiquement assez stable pour gérer ce risque de manière financière.“
Son positionnement géopolitique l’expose moins que d’autres pays à des attaques de plus grande ampleur, plus ciblées, mais aussi plus médiatisées. Elles visent des entreprises renommées, actives dans un secteur critique ou qui gèrent une infrastructure critique. L’objectif de ces attaques est „plutôt informationnel que lucratif“. Il s’agit de chercher un secret de fabrication ou de faire dysfonctionner certaines installations d’un Etat ennemi.
En pareil cas, les attaquants disposent de ressources importantes. Les attaques sont lancées après une longue phase de préparation. Si elles sont peu nombreuses, elles sont par contre très complexes. Y parer nécessite de recourir à des équipes spécialisées dans différentes disciplines pour pouvoir détecter, nettoyer et récupérer. L’opération peut durer plusieurs mois, comme securitymadein.lu en a déjà fait l’expérience.
C’est cette menace qui a poussé à la création, en son sein, du centre d’urgence virtuelle, le Computer Incident Response Center Luxembourg (CIRCL), qui cherche depuis novembre 2018 à détecter l’attaque durant sa gestation. „Aujourd’hui, les plus grosses menaces de sécurité sont des attaques par déni de service, des gens qui veulent faire tomber nos sites web, nos systèmes par une attaque en générant brutalement des grands volumes d’accès à nos données de sorte à faire tomber les systèmes“, explique le CIO du groupe Luxair, Yannick Kirschhoffer. „C’est l’équivalent électronique d’un attentat.“ Le secteur aérien est un secteur critique, prisé par les cybercriminels pour les effets subits.
Toutefois, le groupe n’a encore jamais dû essuyer pareille attaque. „Les vraies attaques techniques complexes sont parfois plus faciles à bloquer que des attaques simples qui s’appuient sur la confiance des gens, en abusant de la crédibilité de certaines personnes, de façon électronique à travers des courriels“, poursuit Kirschhoffer. Dans le groupe Luxair, la principale menace réside aussi dans le phishing: „N’importe qui peut envoyer un mail qui ressemble à un mail Luxair, depuis une adresse e-mail qui semble être une adresse légitime. Cela demande très peu de moyens. C’est le petit caillou qui crée parfois de gros impacts.“ La tâche est alors de prévenir régulièrement ses clients, de vérifier qu’ils sont bien sur son site internet quand ils donnent un mot de passe et en rappelant que jamais Luxair ne leur demandera leurs mots de passe par téléphone. Elle peut être aussi de chercher à l’imiter le trafic internet en provenance d’Etats de non droit depuis lesquels ces attaques sont émises.
Si Luxair n’a pas à craindre de pertes commerciales soudaines en cas d’attaque comme un site commercial marchand le ferait, elle peut redouter d’écorner son image et de perdre la confiance des clients. La sécurité est depuis toujours un argument clé dans le secteur aérien. La cybersécurité l’est devenue également.
Sie müssen angemeldet sein um kommentieren zu können