La crise actuelle en Ukraine a mis en lumière de nouvelles facettes des conflits entre États-nations dont l’impact va bien au-delà de la région géographique immédiate. En tant qu’entreprise internationale, nous éprouvons une grande empathie pour tous ceux qui sont touchés, déplacés ou affectés d’une autre manière par les attaques en cours, notamment un grand nombre de membres de la famille F5. Sans négliger les aspects très réels et très humains du conflit entre la Russie et l’Ukraine, des clients nous ont également demandé de leur fournir des conseils sur les types de cyberattaques qu’ils pourraient voir se multiplier dans les jours à venir, à la lumière des événements récents. En conséquence, l’article ci-dessous vise à répondre à ces demandes de manière directe, respectueuse et pratique.
Le rôle des cyberattaques dans les conflits entre États-nations a fait naître de nouvelles préoccupations en matière de cybersécurité, à une échelle différente de celle à laquelle de nombreuses organisations ont été confrontées traditionnellement, ce qui souligne encore davantage l’importance de se défendre contre les attaques sophistiquées par une stratégie de cybersécurité proactive.
Avec l’évolution d’Internet, les opérations commerciales mondiales ont énormément changé. La transformation numérique se produit à une échelle exponentielle, ce qui stimule au même rythme les progrès technologiques et la sophistication des cyberattaques. Parallèlement, les organisations d’aujourd’hui doivent toujours faire face à des attaquants traditionnels motivés par des raisons financières, mais aussi à des États-nations et à des acteurs dont les objectifs sont plus larges. Bien entendu, avec la sophistication croissante des cyberattaques, les protections correspondantes doivent elles aussi évoluer régulièrement. Dans l’économie d’aujourd’hui, il est beaucoup plus probable que vous rencontriez des acteurs étatiques qui développent des exploits pour des vulnérabilités connues (et inconnues).
En pratique, cela conduit les acteurs étatiques à développer en permanence des exploits qui ciblent l’infrastructure Internet (et les services critiques) d’autres nations. Si les scénarios qui viennent immédiatement à l’esprit sont les conflits géopolitiques entre États-nations, bon nombre des mêmes principes doivent maintenant être appliqués de manière générale aux pratiques de sécurité traditionnelles des entreprises, en particulier parce que les États-nations attaquent souvent une combinaison de ressources Internet gouvernementales et privées comme moyen de déstabilisation. Les cyberattaques ciblées constituent donc une menace importante pour l’intégrité des nations, mais aussi pour ceux qui tentent de mener des activités commerciales connexes avec (ou dans) une région ciblée. C’est pourquoi la cybersécurité proactive et continue est devenue une priorité pour tous les types d’organisations.
De manière générale, des États-nations adverses lancent des cyberattaques ciblées pour affaiblir gravement l’infrastructure leur cible et perturber le fonctionnement de leurs systèmes Internet, ce qui peut avoir un impact sur les infrastructures financières et militaires. La figure 1 présente un exemple d’attaque ciblée (dans ce cas, le phishing) en action.
Figure 1 : Attaque d’hameçonnage ciblée en action
Les cyberattaques ciblées sont exécutées à l’aide de code malveillant conçu pour mener des opérations furtives. Parmi les exemples de code malveillant, citons les exploits (exploitation des vulnérabilités), les rootkits (altération du noyau et du mode utilisateur pour des opérations non autorisées), les boîtes à outils d’administration à distance (gestion des systèmes compromis), les wipers (destruction des Master Boot Records du système), les rançongiciels (chiffrement des données sensibles et demande de rançon) et bien d’autres. Bien que l’on parle généralement de cyberattaques, on peut considérer ces tactiques individuelles comme des « armes numériques ».
Les adversaires ont recours à des attaques très variées lors des conflits entre États-nations, les menaces numériques côtoyant celles de nature physique traditionnelle. Les États-nations d’aujourd’hui sont rompus à l’art de mener de multiples types de cyberattaques, dont les exemples les plus marquants sont présentés ci-dessous :
Dans le même ordre d’idées, voici une rapide ventilation des cyberattaques notables susceptibles d’être utilisées comme « armes numériques » dans les conflits entre États-nations :
Type de cyberattaque | Nom de code malveillant (« Arme numérique ») |
Caractéristiques |
---|---|---|
Déni de service distribué (DDoS) | Unknown Botnet | Déni de service : impact sur la disponibilité des infrastructures critiques telles que les portails web des institutions financières, militaires, etc. |
Distribution de logiciels malveillants | Whisper Gate | Destruction des données et blocage du système : corruption du Master Boot Record (MBR) des systèmes compromis et chiffrement des fichiers sensibles |
Distribution de logiciels malveillants | Hermetic Wiper | Destruction des données et destruction du système : corruption et effacement des fichiers sensibles sur les systèmes compromis |
Tableau 1 : Code malveillant susceptible d’être utilisé dans les cyberattaques lancées lors de conflits entre États-nations
À l’aide des armes numériques énumérées ci-dessus, les acteurs étatiques peuvent lancer une série d’attaques considérables afin de porter gravement atteinte aux infrastructures appartenant à des gouvernements et des organisations. Cela fait généralement partie d’une stratégie plus large visant à perturber la capacité de l’État-nation à communiquer librement, et à perturber les systèmes financiers et militaires à la volée en contournant l’intégrité, la disponibilité et la confidentialité des systèmes actifs de l’infrastructure.
Encore une fois, si cela peut sembler plus immédiatement pertinent pour les États-nations en conflit, il existe un risque plus large lorsque les outils et les exploits utilisés dans ces attaques se frayent un chemin dans le paysage plus large des menaces (le bug NotPetya de 2017 constitue un exemple historique de ce phénomène).
La cybersécurité proactive est devenue l’approche nécessaire prédominante. Si les gouvernements sont généralement chargés de veiller à ce que les infrastructures critiques (y compris les portails web militaires, les sites web des institutions financières et les infrastructures SCADA) soient surveillées et protégées en permanence contre les cyberattaques, la frontière entre la sécurité du secteur public et celle du secteur privé est devenue beaucoup plus floue. Globalement, la sécurisation de l’infrastructure réseau et des applications déployées est essentielle pour contourner les attaques réseau telles que les attaques DDoS et le code malveillant distribués sur le réseau, afin de préserver l’intégrité des ressources de l’infrastructure sans en compromettre la disponibilité. Plus important encore, il faut également protéger les applications critiques contre les attaques HTTP. Le plus important est de s’assurer que la communication sur Internet reste ininterrompue. Pour cela, les organisations doivent s’assurer que leurs infrastructures sont dotées de mécanismes de sécurité pour lutter contre les cyberattaques.
Le rythme accéléré de la transformation numérique a entraîné l’adoption d’applications modernes par les gouvernements et les organisations afin de parvenir à l’efficacité opérationnelle. Cependant, ces applications nécessitent une protection contre les cyberattaques avancées, qui peuvent être de nature ciblée ou généralisée. Il devient encore plus pertinent, en période de conflit entre États-nations, de veiller à ce que les applications critiques puissent rester disponibles. Les gouvernements, et toutes les organisations, doivent rester vigilants en tenant compte des points clés suivants :
La mise en place d’une posture de cybersécurité forte et robuste doit inclure la disponibilité, c’est-à-dire le fait de pouvoir toujours utiliser les applications critiques si elles sont attaquées. La sécurité, la résilience et la disponibilité ininterrompue sont les critères de référence de la cybersécurité proactive, étant entendu que les menaces (et les mesures d’atténuation) ne cesseront jamais d’évoluer.