Avec le gigantesque pouvoir démultiplicateur dont les technologies numériques font preuve partout ailleurs, l’innovation permet à des groupes d’individus, fonctionnant comme des startups de s’attaquer en mode « agile » à des cibles plus ou moins démunies. Qu’ils agissent seuls ou pour le compte de grosses organisations criminelles, leur appétit de conquête est sans limites, leur terrain de jeu est la planète entière.
Les attaques sous forme de ransomware, ces programmes informatiques qui verrouillent les données de leurs victimes et réclament une rançon, paralysant l’activité d’un grand nombre d’hôpitaux en pleine pandémie ont montré par exemple la capacité étendue des cybercriminels à intervenir là où ça fait mal autant que leur absence de scrupules. La palette de la cybercriminalité est vaste, allant de la petite escroquerie au numéro de carte bancaire obtenu par phishing jusqu’à la cyberattaque pilotée par un état pour bloquer les infrastructures d’un pays ou influer sur une élection présidentielle. L’effraction se fait toujours en douceur : pas de violence, c’est même en rusant avec les systèmes de reconnaissance, les identifiants, les mots de passe, que le cybercriminel parvient à s’infiltrer dans un système, avec la furtivité d’un Ninja entièrement numérisé. Aujourd’hui, tout le monde (entreprises, personnes physiques, industries, administrations, organisations, institutions gouvernementales, universités, collectivités publiques, services, dispositifs technologiques, etc.) est potentiellement dans la mire du cybercrime.
La cybercriminalité, c’est la prise de pouvoir sur ce qui est devenu à la fois le plus intime et le plus public : les données. Même lorsque les attaques consistent en un blocage d’un système et non pas un vol de datas, il s’agit d’interdire l’accès aux données, et ceci constitue aujourd’hui l’une des atteintes majeures que peut subir une organisation : privée de cet accès, elle ne peut purement et simplement plus fonctionner. Ainsi, la cybercriminalité est la preuve la plus irréfutable de la valeur de la data, ce nouvel « or noir » d’aujourd’hui. Si les datas n’avaient pas de valeur, il n’y aurait pas de cybercriminel. La data est devenue un phénomène économique majeur. C’est donc aujourd’hui l’une des matières premières parmi les plus importantes. C’est là que se concentre, sous des formes multiples, une proportion toujours grandissante de criminalité.
Le problème a acquis ces dernières années une énorme dimension. Le gouvernement français a d’ailleurs classé la cybercriminalité parmi les cinq types de risques majeurs aux côtés de la menace terroriste, des risques sanitaires, technologiques et naturels. Selon Guillaume Poupard, le directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), « les conflits de demain vont être numériques, tous les grands États s’y préparent ».
La jungle de la digitalisation
Les nouvelles technologies issues du digital ont créé un monde globalement plus ouvert et plus transparent où l’accès à l’information est théoriquement infiniment facilité. C’est précisément cette ouverture qui permet l’existence d’une nouvelle criminalité, et qui désigne la place de la cybercriminalité en lui donnant accès aux réseaux et aux datas.
La société ouverte a un problème : elle est ouverte. Comment alors doit-elle gérer ses frontières, si elle ne veut pas renoncer à cette ouverture qui fait sa qualité ? Cette question cruciale, qui concerne celle de la souveraineté, est installée au tout premier plan par l’ouverture et la transparence apportées par la digitalisation du monde. Comment défendre un territoire, dès lors qu’il est attaqué, et d’autant plus attaqué qu’il est ouvert avec des frontières parfois même inconnues ? Ce problème prend une importance supplémentaire dans le cadre de la cybercriminalité où se joue une autre dimension des rapports entre innovation et nouvelles frontières.
La cybercriminalité est exactement un nouveau Far West, terme qui désignait la zone instable définie par l’avancée de la frontière dans la conquête de l’Ouest américain. Au-delà de la frontière, on n’est plus vraiment dans la norme établie par la loi, dans une zone où tout est à inventer. Dans ce Far West 4.0, on est dans une zone grise où tout est permis : on peut s’installer et s’enrichir, mais aussi rançonner, terroriser, voler, et autres plaisirs de l’existence. Venus des quatre coins du globe, desperados et hors-la-loi y voient un eldorado où prospérer facilement. Et ceci parce qu’on ne sait pas encore très bien de quoi est faite la loi, ni comment elle règne sur ces territoires encore partiellement vierges. Et si chacun utilise des armes, tout le monde n’en a pas la même maitrise. Dans ces moments de dépassement de frontières, la souveraineté n’est pas encore clairement établie. Là où l’innovation dégage de nouveaux espaces et repousse des frontières, elle permet dans le même geste de s’approprier ces espaces, y compris dans une perspective criminelle – et ceci en employant les mêmes outils digitaux offerts par l’innovation.
L’innovation amène son lot d’améliorations et aussi son lot de risques. Le progrès n’est pas une notion univoque, il va à la fois en avant et en arrière, quoique dans des proportions différentes. Tout progrès s’accompagne de risques régressifs, comme si chaque avancée devait se payer d’un prix.
Ainsi, les cybercriminels sont le miroir déformant ou le reflet grimaçant de la technologie numérique. Ils incarnent le summum du détournement de la technologie à mauvais escient, quel que soit le but recherché. La cybercriminalité est évidemment liée à l’innovation, et plus particulièrement aux nouvelles technologies. La singularité est que ce détournement est fait par la technologie elle-même. Les outils du progrès peuvent aussi être ceux de la régression.
Comme au Far West où le colt du shérif et celui de l’outlaw dont la tête est mise à prix sont les mêmes, la cybercriminalité met en évidence qu’aujourd’hui les moyens de faire le mal sont exactement les mêmes que ceux pour faire le bien. Contrairement à la criminalité ordinaire dont les moyens sont différents de ceux qu’on emploie pour lutter contre elle (on n’emploie pas la prostitution ou le racket pour lutter contre la prostitution ou le racket…), la cybercriminalité et la cybersécurité emploient les mêmes moyens, les mêmes technologies. Un peu comme si la drogue était le moyen de lutter contre la drogue. Identiques, les armes pour faire l’un comme l’autre établissent une symétrie inédite entre criminels et défenseurs de la loi. Tout se résume à la maîtrise des technologies numériques. C’est d’ailleurs en raison de cette surprenante symétrie que des hackers, qui sont des cybercriminels, sont très souvent recrutés par des entreprises de cybersécurité ou par les forces de l’ordre. Malgré cette symétrie de principe, les criminels possèdent la plupart du temps une bien plus grande maitrise des « armes » numériques que leurs victimes. Celles-ci utilisent naïvement ou innocemment le numérique sans se douter des failles qu’elles laissent ouvertes et des fragilités des systèmes qu’elles utilisent.
Un hôpital hacké par un ransomware, ce sont des systèmes interconnectés, des machines, des scanners (tout ça est de l’innovation), toute une architecture digitale bloquée par un code informatique, donc par un autre système digital : pas de différence de nature entre ce qui bloque et ce qui est bloqué. Seule l’intentionnalité de l’acte qui utilise la technologie fait la différence.
Les virus aident les virus
La pandémie a favorisé l’explosion de la cybercriminalité, qui est aussi une forme épidémique. Le SARS-CoV 2 n’est pas le seul virus dangereux. Il est accompagné par d’autres systèmes viraux, ayant pour nom « malware », « ransomware », « spyware », « trojan », « vers », « rootkit », « backdoor », etc. Ces systèmes viraux prolifèrent, et la pandémie les favorise (les virus s’entraideraient-ils entre eux ?), notamment à travers la généralisation du télétravail.
Celui-ci rend les systèmes plus perméables à la cybercriminalité, faisant des collaborateurs ayant dû adopter ce mode de travail en distanciel l’un des maillons faibles de la cybersécurité. Le télétravail multiplie les failles de sécurité, et offre donc aux cybercriminels des facilités supplémentaires inédites pour atteindre l’entreprise (« atteindre » est ici à entendre au double sens d’« accéder à » et de « léser »). En effet, chaque collaborateur en home office est une porte d’entrée, généralement peu sécurisée, ouverte sur un réseau, ce qui multiplie les possibilités d’accès pour les cybercriminels. Il est plus facile pour les cybercriminels d’utiliser l’ingénierie sociale (cibler les collaborateurs, notamment par les réseaux sociaux) que l’ingénierie technique. Ceci pose d’importants défis aux DSI pour réduire les conséquences potentiellement néfastes des parcours en ligne des collaborateurs. Aussi, les « gestes barrières » et la vigilance doivent s’imposer dans les réseaux comme ils l’ont fait dans la vie physique, surtout lorsque le collaborateur travaillant en distanciel devient un internaute visitant de chez lui des sites plus ou moins sécurisés avec son ordinateur personnel.
Avec cet accès par le télétravail, la cybercriminalité punit tout particulièrement les entreprises à la forte politique de Responsabilité Sociale et Environnementale (RSE). En effet, le chef d’entreprise, qui recourt au télétravail pour aller dans le sens de la transition écologique (en réduisant l’empreinte carbone due aux transports des employés), pour favoriser le bien-être au travail des collaborateurs (en leur donnant la possibilité de moduler leur présence physique dans l’entreprise), ou encore pour augmenter la productivité sans pénaliser les salariés, se trouve alors gravement pénalisé par l’ouverture que ses initiatives génèrent pour la cybercriminalité.
La guerre est ouverte
Tout le monde est désormais une cible. La guerre économique est redoublée par une guerre d’un nouveau genre, à laquelle chaque entreprise est désormais exposée. Les prises d’otage se multiplient. La rançon moyenne demandée pour une clé de déchiffrement d’un réseau hacké par un ransomware a pratiquement triplé en 2020. Chaque entrepreneur doit prendre conscience que la guerre est ouverte, que le combat est là, et qu’il va falloir adapter systématiquement ses outils de défense au contexte évolutif des attaques. Cela doit faire partie intégrante des plans de chaque année, car les dommages peuvent être dramatiques, aussi bien en termes d’exploitation ou financiers que concurrentiels. (Cf. Chantelle qui a déposé le bilan après une cyberattaque).
La cybersécurité est clé. Tout comme la transformation digitale, elle s’impose aujourd’hui dans les conseils d’administration et les comités de direction des entreprises en raison de ses impacts.
C’est pourtant un élément uniquement négatif qui n’apporte que de la dépense sans aucune espérance de gain. Contrairement à une assurance, qui protège en cas de problème, mais se résume à une dimension contractuelle, la cybersécurité repose sur une technologie. Et l’acquisition de cette technologie, qui par ailleurs peut difficilement s’amortir sur le long terme tant elle est vite rendue obsolète par les progrès des cybercriminels, en fait un investissement particulièrement lourd, notamment dans le budget d’une entreprise.
C’est la face sombre de la digitalisation du monde. Chaque innovation a une face négative : ce qu’elle détruit ou élimine pour le remplacer. Mais chaque fois, elle crée une contrepartie : le web réduit la fréquentation des magasins mais créée du business, le click & collect génère une économie de la distribution, etc. L’innovation en cybersécurité, elle, est uniquement négative : elle n’apporte aucun profit direct. Malgré cette dimension exclusivement négative, elle doit être traitée avec le plus haut degré de priorité.
Figure désormais obligatoire dans le bilan des entreprises, c’est une dépense nette, sans contrepartie positive hormis celle de la sécurité. Alors que les technologies de la transformation digitale présentent un intérêt, au sens où elles initient un progrès, la cybersécurité qui les utilise quasiment toutes n’est porteuse que d’un gain paradoxal : un profit négatif, un « gain de non perte ». C’est un investissement dans le « au cas où ».
Une façon positive de considérer cette particularité est de la concevoir comme l’occasion d’un test géant et permanent de la fiabilité de nos organisations de défense. Elle met en évidence nos faiblesses, permettant ainsi de les corriger.
Article initialement paru sur La Tribune.