La montée irrésistible des préjudices d’attaques informatiques s’effectue au fil des années par de brusques poussées entrecoupées de plateaux. Les récents confinements – avec les pratiques de télétravail mal sécurisé désormais inscrites dans les mœurs – ont fourni une nouvelle impulsion à cette tendance lourde, dont la persistance incite les acteurs de la sécurité à modifier leurs postures.
L’absence de frein à l’inflation des dégâts force à préparer des scénarios catastrophes, dont la probabilité d’occurrence s’accroît tout autant que les coûts potentiels.
De tels scénarios qui ne mobilisaient il y a cinq ans que quelques chercheurs ou grands industriels tels que de l’aéronautique, ainsi notamment que les réassureurs (les assureurs des assurances), se « démocratisent » puisqu’il n’est plus une entreprise ou un hôpital qui désormais n’a pas une réflexion sur un que-faire face à de telles hypothèses.
L’arrivée de la 5G avec son effet multiplicateur d’objets communicants ajoutera une dimension supplémentaire aux précédents risques du tout-internet. Les remparts ou les amortisseurs traditionnels que sont les États, avec leur appareil judiciaire, et les assureurs, prennent peu à peu la mesure de leurs propres limites face à des chocs dont la magnitude possible croît plus vite que les ressources mobilisables par eux.
Ressources en hommes concernant l’État, or les experts en sécurité informatique ne sont pas multipliables à l’envi. Il serait à demander pendant combien d’années notre enseignement supérieur saurait répondre à un besoin d’accroître par exemple de 15 % annuellement les effectifs de l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour répondre au du taux de croissance du piratage, et de ses homologues aux ministères des Armées et de l’Intérieur : une telle croissance arithmétique serait hélas insoutenable avant une décennie. Au contraire serait-elle un rythme de croisière envisageable pour les attaquants.
Une asymétrie se dévoile, où les limites seront du côté du bouclier davantage que de l’épée, pour laquelle les succès des actuelles attaques font office d’agent recruteur et de financeur. À terme, le bouclier sera perdant s’il ne change pas la donne technologique qui aujourd’hui fait de nous des cybervoyageurs en terre hostile.
Comment assurer le risque d’attaques informatiques ?
Ressources financières, concernant le monde de l’assurance. L’eldorado entrevu à tort par quelques optimistes il y a dix ans, revêt aujourd’hui les traits d’un risque en partie immesurable, et peut-être démesuré au sens d’extrême. L’aspect immesurable est peu compatible avec un métier centré sur les calculs d’actuaires, sur des statistiques fiables et stables aujourd’hui manquantes ; l’expertise capitalisée notamment chez quelques courtiers spécialisés est précieuse mais il est incertain qu’elle puisse répondre aux besoins croissants des près de quatre millions d’entreprises françaises. L’aspect démesuré renvoie aux scénarios catastrophes (comme une attaque provoquant l’effondrement total du système électrique d’un pays), et met en comparaison des préjudices en accélération avec des primes d’assurance dont les entreprises ne pourraient soutenir durablement une croissance tarifaire forte.
S’il n’est pas question encore de sentiment d’impuissance – selon l’expression consacrée-, un signe avant-coureur apparaît à travers quelques attitudes, en particulier aux États-Unis où certaines autorités de police locale, voire fédérale ont, publiquement, non pas seulement toléré mais suggéré faute de mieux à des victimes d’acquitter la rançon demandée. Comportement qui n’est pas à interpréter comme désinvolte, mais d’aveu personnel par un représentant de la loi qu’il est démuni devant un cas de détresse et d’urgence.
Les États-Unis font figure de laboratoire à plus d’un titre. Le pays a vécu une ouverture précoce du marché de la cyberassurance, puisqu’il représentait à lui seul il y a cinq ans 90 % environ du marché mondial en termes de primes. Tôt mature, ce banc de test a depuis révélé d’autres particularités inquiétantes car il ne s’y est pas constaté d’effet positif très notable contre l’origine du problème, que sont les failles informatiques. Somme toute s’est-il contenté de croire qu’une solution non pas aux attaques mais aux conséquences des attaques suffirait à son équilibre, en créant à cette occasion le nouveau métier de cyberassureur. Un cercle vertueux était effectivement envisageable, où l’assureur aurait émis des exigences pour imposer des standards élevés en matière de sécurisation, tant chez les entreprises voulant s’assurer que chez leurs prestataires de sécurité et surtout chez les éditeurs de logiciels : le mécanisme où davantage d’assurances aurait engendré davantage de sécurité donc moins de préjudices à indemniser, eut été gagnant, or le bilan actuel enregistre davantage d’assurances certes mais plus encore de dommages. Le compte n’y est pas, sauf à rehausser drastiquement le montant des primes.
Une paresse a prévalu, où chacun s’est cru couvert sans effort autre que d’acquitter une prime dont le montant était artificiellement bas du fait d’une volonté chez certains assureurs de conquérir rapidement des parts de marché.
Quand les victimes préfèrent payer des rançons
Une seconde solution de facilité a été le réflexe trop vite installé de céder aux demandes de rançons, puisqu’il suffisait croyait-on de verser une rançon modeste au regard des maux évités. Celle payée en 2021 par Colonial Pipeline ne viendrait pas démentir ce constat, quand quelques millions versés paraissent éviter un coût en milliards de dollars pour l’économie américaine.
Certaines victimes ont témoigné avoir reçu des feux verts à de tels paiements émanant de leur assureur ; il est vrai que les professionnels anglo-saxons sont traditionnellement plus réceptifs au principe et à la pratique d’assurer les frais d’une rançon supposée éviter sinon des frais de réparation.
Le ratio approximatif de 1 à 1000 dans le cas de Colonial Pipeline relève néanmoins d’une rentabilité à courte vue. D’un côté une victime – et son assureur parfois – se libère d’un malheur en versant un tribut à son bourreau, mais qui sera demain enrichi, aguerri, plus affamé. Ce payeur nourrit les attaques futures que subira la collectivité, il a préféré son intérêt à celui de ses voisins.
Cependant cette même collectivité n’a pas fait montre de solidarité à l’heure où la victime s’est trouvée solitaire face à un cryptovirus qui la paralysait et pouvait la conduire au dépôt de bilan.
Ce jeu de mistigri procède fondamentalement d’un égoïsme réciproque. Deux rationalités s’affrontent, l’une de la victime qui a intérêt individuellement et sur l’instant à obtenir un moindre tort par le paiement de rançon, l’autre de la collectivité qui aurait intérêt pour garantir son avenir à ce que ces versements n’aient pas lieu mais qui reste dans le moindre effort.
Ce double égoïsme n’appelle aucun jugement moral, il résulte d’une impasse à la fois individuelle et collective qui ne propose pas d’autre issue qu’un chacun pour soi. Le un pour tous, tous pour un se délite face à l’inexorabilité ressentie du péril.
Le principe de l’assurance n’est pas hors-jeu, mais se révèle insuffisant. D’ailleurs n’est-il qu’une forme de pari statistique, où chacun paye son écot en proportion de ce qu’il espère recevoir a minima un jour ; il diffère de l’autre forme de solidarité qu’est un impôt sur la sécheresse ou autre catastrophe naturelle.
D’autres pistes restent à réfléchir, parmi lesquelles certaines trouvent inspiration dans l’architecture de la protection santé née en 1945 en France, comprenant « un système d’assurance hybride (avec) une cyberassurance collective (et d’autre part) une cyberassurance individuelle et complémentaire », comme le propose Betty Thomas dans « L’implémentation d’un système d’assurance hybride » en 2021. Un tel dispositif, dont on ne sait s’il serait incitateur à la vigilance de chacun, répliquerait sur l’aléa numérique le distinguo opéré par la Sécurité sociale, entre une « Caisse Nationale d’Assurance Informatique, par le biais d’une affiliation obligatoire » et « une cyberassurance individuelle » optionnelle souscrite auprès d’assureurs ou de mutuelles.
Une créativité sera nécessaire pour pallier le réflexe de sauve-qui-peut. Sans perdre de vue que celui-ci résulte de la prise de conscience hélas lucide d’une montée du risque numérique ; le cœur du problème est là, pour lequel des réponses devront être apportées : grâce à plus de moyens alloués à un système judiciaire aujourd’hui sous-calibré (autre myopie, d’un État géré selon une logique comptable qui voit les dépenses budgétaires mais pas ce qu’elles économiseraient) ;
et moins de latitude accordée aux pirates, chose qui ne s’obtiendra pas sans évolution d’un Internet insécurisé par nature.
Cet article reprend et développe une intervention tenue dans le cadre d’une formation sur la transition numérique. Cette conférence a été donnée lors du cycle national de formation 2020-2021 de l’IHEST, l’Institut des hautes études pour la science et la technologie, par Philippe Laurier.