Cybersécurité : la piqûre de rappel de l’attaque contre la ville de Baltimore

La ville américaine est victime d'une attaque de hackers depuis le 7 mai dernier. Remitski Ivan/Shutterstock

La cybersécurité est l’un des thèmes favoris des scénaristes d’Hollywood (Wargames, Die Hard 4, Skyfall, La vengeance dans la peau). Les habitants de la ville de Baltimore pourraient donc être au cœur d’une prochaine superproduction. En effet, des pirates informatiques paralysent, depuis le 7 mai dernier, tous les services administratifs de la ville. Les règlements des factures d’eau, des amendes, ou des impôts sont en conséquence impossibles et quelque 1 500 ventes immobilières ont par ailleurs été suspendues.

Les hackers réclament une rançon de 13 bitcoins, soit près de 105 000 dollars au cours actuel, mettre fin à l’attaque. Pour le moment, la mairie refuse de céder au chantage.

Cet évènement est l’occasion de rappeler plus largement que la cybersécurité va au-delà des questions techniques et juridiques traditionnelles. Les États-Unis disposent en effet d’un arsenal conséquent en matière de cyberdéfense qui n’a cessé de se renforcer depuis 1998 et la signature par le président Bill Clinton d’un premier décret présidentiel visant à notamment éliminer les vulnérabilités des systèmes informatiques gouvernementaux. En 2017, le président Donald Trump a signé un nouveau décret visant à mieux protéger les systèmes informatiques dans les secteurs stratégiques (banques, électricité et transports).

Le maire de Baltimore refuse pour le moment de céder au chantage. Sergey Novikov/Shutterstock

Une meilleure cyberdéfense, mais plus d’attaques

De l’autre côté de l’Atlantique, l’arsenal s’est également considérablement développé ces dernières années. En France, la Loi de programmation militaire (LPM) 2014/2109, qui fait suite aux deux livres blancs de 2008 et 2013, a installé un appareil législatif visant à défendre les OIV (opérateurs publics ou privés exploitant des établissements ou utilisant des installations et ouvrages, dont l’indisponibilité risquerait de diminuer d’une façon importante le potentiel de guerre ou économique, la sécurité ou la capacité de survie de la nation).

L’Union européenne a de son côté adopté en 2016 une directive sur la sécurité des réseaux et des systèmes d’information connue sous l’appellation « directive NIS ». Ce texte ayant vocation à s’appliquer immédiatement et sans besoin de transposition dans tous les États membres a créé une nouvelle catégorie d’opérateurs : les Opérateurs de services essentiels (OSE). Trois critères permettent de définir un OSE : le service rendu est essentiel au maintien d’activité économiques critiques ; la fourniture du service est tributaire de réseaux informatiques ; un incident sur ces réseaux aurait un effet perturbateur pour la fourniture du service. Tout comme pour les OIV, le fait pour une entreprise d’être désignée OSE va lui créer des obligations.

Mais, contrairement aux nuages radioactifs de Tchernobyl, la cybercriminalité ne s’arrête pas aux frontières. Une action internationale est donc nécessaire. C’est pourquoi la Convention de Budapest du 23 novembre 2001 a été proposée par le Conseil de l’Europe. Tous les 18 mois, une grande réunion internationale (du nom d’Octopus) se tient avec tous les acteurs concernés. Ces conférences permettent de faire le point sur les nouvelles problématiques qui apparaissent.

Malgré ces dispositifs, la cybercriminalité – crimes sur Internet, piratages, vols d’identité – pèsent de plus en plus sur l’économie mondiale. Son coût a été évalué à près de 600 milliards de dollars pour l’année 2017 selon une étude réalisée par McAfee, entreprise de logiciels et notamment d’antivirus, avec un cercle de réflexion américain (CSIS), 200 milliards de plus qu’en 2014.

Ces chiffres et le récent hacking de la ville de Baltimore illustre encore une fois que la cybersécurité n’est plus uniquement une affaire d’informaticiens et de juristes, mais de culture, de sensibilisation, de formation… bref, de management. Cet évènement rappelle par ailleurs que les organisations locales de gouvernance sont en première ligne face aux risques. Un chercheur du CNAM, Rémy Février, avait été à ce sujet le premier à le souligner, en 2014, dans son livre « Les collectivités territoriales face à la cybercriminalité ».

Rappelons donc quelques bonnes pratiques car, si les attaques tendent à devenir de plus en plus sophistiqueés, les méthodes plus « classiques » restent très employées par les pirates. Par exemple, les ransomware attacks (ou attaques par rançongiciel), qui consistent en l’installation d’un logiciel pour « prendre en otage » les données via l’ouverture d’un e-mail frauduleux, ont augmenté de 350 % entre 2017 et 2018. C’est d’ailleurs cette méthode qui a été utilisée par les pirates à Baltimore.

Manager la cybersécurité

Alors, comment poser les bases d’une cyberstratégie efficace ? La première étape est de prendre conscience que nul n’est à l’abri d’une cyberattaque. Toute information, quelle que soit son importance, peut être monnayée auprès de son propriétaire. Tout système informatique peut être paralysé (attaque par déni de service). Personne n’est « en dessous des radars ». Le cas de la ville de Baltimore, dans le malheur des habitants, pourra au moins participer à cette prise de conscience et donc favoriser cette nécessaire acculturation.

La deuxième étape consiste en l’élaboration d’une « cyber-hygiène ». Cela consiste à changer de comportements, tant collectifs qu’individuels. Les entreprises, comme les collectivités, doivent mettre en place une véritable politique de management de la cybersécurité. Cela peut passer par des chartes d’utilisation des outils informatiques. Cette politique managériale devra être complétée par un accompagnement des salariés.

Une fois cette sensibilisation effectuée, il s’agira de passer à l’étape de la formation. Son objectif n’est pas de former les salariés au codage mais d’échanger les bonnes pratiques en s’appuyant sur les spécialistes (en France, l’ANSSI ou la CNIL). La difficulté rencontrée par les entreprises, comme les collectivités, est l’isolement. En effet, encore trop souvent, faire appel à des spécialistes et témoigner est perçu comme une preuve de faiblesse en la matière.

Le cas de Baltimore, comme ceux des milliers d’entreprises rançonnées, confirme que la cybersécurité est avant tout une question comportements, de prise de conscience. Et, au-delà, il rappelle la nécessité d’analyser la cybersécurité comme une arme de guerre économique nécessitant une véritable cyberstratégie du tissu économique, en France comme ailleurs.