Sensibiliser pour cyber-sécuriser

Pour ce dernier épisode d'un hors-série de trois, Bryan Ferrari, hôte du podcast, discute avec trois invités de cybersécurité. Bertrand Lathoud est COO à la Luxembourg House of Cybersecurity, Philippe Parage est IT Infrastructure Engineer au National Cybersecurity Competence Center et Lars Weber est CISO chez Spuerkeess.

Où s'arrêtent les menaces techniques et où commencent les stratégies criminelles sophistiquées ? Comment les entreprises peuvent-elles sécuriser leurs infrastructures tout en restant performantes ? Les experts ont répondu à toutes nos questions.

Bryan Ferrari : Pour commencer cet épisode, il est important se poser une question. La cybersécurité, qu'est-ce que c'est et qu'est-ce que ce n'est pas ?

Bertrand Lathoud : La cybersécurité, c'est la sécurité de toute infrastructure liée à l'Internet. C'est avant tout un travail de prévention, un travail de protection. Et puis, quand c'est nécessaire, un travail de réaction sur incident. Mais la fraude va au-delà de la sécurité. La fraude, c'est un phénomène où un criminel qui va abuser d'un système ou d'autres personnes afin de leur voler des actifs, que ce soit de l'argent ou des informations. Là, on va avoir des modes opératoires qui peuvent être anciens – ce que par exemple, en Suisse, le Code pénal appelle le vol à l'astuce, qui est un des noms de l'escroquerie et qui va consister à abuser de la crédulité de personnes – qui peuvent être renforcés en utilisant des outils très modernes, comme par exemple des deepfakes – des fausses vidéos ou enregistrements sonores pour accentuer l'usurpation d'identité.

Lars Weber : On parle vraiment de protection d'infrastructures informatiques par rapport à des menaces qui sont spécifiques au monde informatique. Souvent, elles se manifestent sous forme d'une exploitation de mots de passe qui sont vulnérables ou d'une vulnérabilité qui est présente dans des systèmes. C'est comme ça que de notre côté, on délimite ce périmètre, communément appelé cybersécurité.

Bryan : On connaît tous la fraude au président, par exemple. Quelles sont les cyberattaques qui sont les plus répandues ? Est-ce qu'il y a un certain schéma ?

Bertrand : Non, mais on pourrait différencier les attaques qui visent des utilisateurs individuels et les attaques qui visent des entreprises. Et dans le monde de l'entreprise, ces fraudes croissent. Mais ce qui restait, en tout cas jusqu'à récemment, le type d'attaque le plus commun, c'était le ransomware. Parce que ça permet aux criminels de gagner beaucoup d'argent avec un volume d'efforts relativement limité.

Bryan : Le ransomware… c'est quoi ?

Bertrand : Le ransomware, ce sont des criminels qui vont envoyer un malware, donc un logiciel malfaisant qu'ils ont préparé, dans le système d'une entreprise. Ensuite, ils vont chiffrer toutes les données de cette entreprise et demander à l'entreprise une rançon pour pouvoir lui rendre ses données. Grosso modo, c'est le mécanisme.

Bryan : Est-ce que c'est très répandu aussi en entreprise ?

Bertrand : Actuellement, c'est la principale attaque contre les entreprises.

Lars : C'est aussi souvent vu comme une forme d'attaque opportuniste. On envoie un courriel préparé, qui contient soit un virus, soit qui pointe vers un endroit où le virus peut être activé, à tout un ensemble d'adresses e-mail. Tous les internautes peuvent être touchés. Souvent les impacts sont différents pour une personne privée que pour un employé. Mais néanmoins, on voit vraiment ce type d'attaque arriver chez tout le monde vu que souvent le vecteur de distribution est la messagerie. On a aussi d'autres formes d'attaque. Les dénis de service, malheureusement très à la mode dernièrement, qui visent essentiellement à saturer soit la bande passante vers Internet d'un système, voire de saturer un système au niveau de ses capacités disques ou mémoires. On rend indisponible un service et on espère être payé pour que l'attaque s'arrête.

Philippe Parage : Pour rajouter un autre type d'attaques, il y les exploitations des failles logiciels, en anglais les Zero Day Attacks, qui sont beaucoup plus techniques que les DDoS et le phishing. Elles ne dépendent pas d'une action de la victime ou d'un retour de l'utilisateur. L'arnaqueur vise une vulnérabilité qui déclenche un processus qui permet de lancer l'attaque. Les attaques Zero Day ne se ressemblent pas, car propres à chaque logiciel, et sont très dangereuses.

Bryan : Je n'ai encore jamais entendu parler des Zero Day. Est-ce qu'il y a des exemples qui peuvent l'illustrer ? Et pourquoi est-ce qu'elle s'appelle Zero Day ?

Lars : Lorsque les premiers virus informatiques ont fait surface, on voyait le virus apparaître et en général, le logiciel antivirus le connaissait déjà et en était protégé. Mais au bout d'un certain moment, les éditeurs de virus se sont rendus compte que leurs virus étaient très souvent, très rapidement détectés. Ils ont alors commencé à faire des virus qui changent rapidement de forme et qui deviennent indétectables par les logiciels. Aujourd'hui, ce sont des virus qui ne sont pas détectés par la majorité des antivirus avec signature à jour. On les appelle Zero Day parce que justement le jour où ils apparaissent, ils ne sont pas détectés. Ce nom vient donc d'une évolution historique.

Bertrand : Ça a été étendu aux vulnérabilités en général. Parce que les vulnérabilités, quand sont découvertes, elles sont en général publiées avec un patch. De cette façon, on peut tout de suite la réparer dans notre système. Ce que décrit Lars, ce sont les vulnérabilités qui n'ont pas encore été découvertes par les chercheurs en sécurité, mais qui l'ont été par des criminels qui vont les exploiter. Zero Day recouvre l'ensemble, tant du côté virus que du côté vulnérabilité. Et comme l'a souligné Philippe, l'utilisateur n'a pas à être impliqué. Donc c'est très, très pratique pour l'attaquant, parce qu'il va pénétrer le système et en prendre le contrôle sans que ce soit détecté. Les utilisateurs ne peuvent même plus dire "On m'a demandé quelque chose d'anormal" et le signaler.

Bryan : Mais, question naïve, ne pourrait-on pas contourner le problème en évitant que les gens ne téléchargent des logiciels sur les PC de l'entreprise ?

Lars : On peut aussi éviter le risque en éteignant les systèmes… mais il faut trouver l'équilibre entre le besoin qu'on veut adresser en utilisant les systèmes informatiques et les risques qui y sont liés. Donc éviter les téléchargements de fichiers, oui, ça va fonctionner dans certains cas où les gens n'ont pas besoin d'être sur Internet ou n'ont pas besoin de télécharger des fichiers. Malheureusement, en réalité, on doit l'autoriser parce qu'on en a besoin. On doit donc vraiment trouver une configuration qui minimise les risques, mais qui adresse aussi les besoins du métier.

Bertrand : Les utilisateurs, eux, doivent remplir leur mission business. Donc si on leur interdit, ils vont essayer de trouver un moyen pour contourner l'interdiction. Et là, on se trouve dans une situation qui est beaucoup plus compliquée parce que l'on peut voir la mise en place de systèmes parallèles, où des utilisateurs arrivent quand même à ramener des fichiers externes dans le système de l'organisation. C'est très problématique. Lars a souligné l'un des problèmes : le plus difficile pour les responsables de sécurité, c'est d'arriver à trouver cet équilibre entre la pression due aux attaques qui donne envie de fermer un maximum de possibilités et le fait que ce n'est pas la sécurité qui fait rentrer de l'argent dans les caisses de l'entreprise. Ce qui est intéressant, c'est que là on n'est pas sur un problème technique, on est sur un problème humain et organisationnel. On ne peut pas résoudre les problèmes de sécurité avec un outil magique qui bloquerait tout.

Bryan : Ok, mais alors qu'est-ce qu'on fait, au niveau personnel comme au niveau de l'entreprise ? Parce qu'on semble être dans une course où on a toujours le deuxième prix…

Lars : Pas forcément. Puis ça existe aussi dans d'autres domaines de la vie. Tu es venu travailler en voiture ce matin. Ta voiture, elle aussi a des faiblesses. Tu prends aussi des précautions, tu respectes le code de la route. Tu ne pousses pas ta voiture à ses limites, du moins pas tous les jours. En informatique, c'est un peu la même chose. On construit des systèmes complexes hautement intégrés et il est très difficile, voire impossible, de maîtriser 100 % de toutes les interactions dans les différents composants des systèmes. Donc si tu veux vraiment avoir 100 % de sécurité, il faut faire une conception très longue, très détaillée. Il faut constamment l'adapter et ça va rendre les cycles d'innovation très lents. Ça va augmenter énormément les prix des systèmes. Ralentir le rythme. Donc quelque part, il faut accepter que les systèmes ne sont pas parfaits. Et pour te protéger contre les risques résiduels que tu acceptes en utilisant ces systèmes-là, il faut avoir une certaine hygiène de base.

Bertrand : Au niveau d'une entreprise, ce qu'on va essayer de faire, c'est de faire en sorte que si jamais une attaque se produit sur un des points de faiblesse restant, elle ne se répande pas de partout. L'idée, c'est de limiter l'impact au maximum pour limiter le dommage. Là aussi, ce sont des mesures d'architecture. Pour les individus, on peut aussi avoir cette idée de minimisation en étant conscient de ce qu'on met en ligne, des données qu'on connecte. On n'est pas obligé de tout mettre, tout connecter. Dans ce cas-là, le fraudeur ira voir ailleurs. Ce qui me rappelle d'ailleurs une anecdote où, justement, on parlait de questions de sécurité à un groupe de travail européen, et des représentants d'un pays avaient résumé cela en disant que finalement, il ne faut pas courir plus vite que l'ours, il faut courir plus vite que son voisin.

Bryan : Donc si le voisin est plus faible, l'attaqueur aura tendance à l'attaquer lui.

Bertrand : Oui, c'est exactement ça. Après, on ne peut pas réduire les choses à l'action individuelle. On ne doit pas se satisfaire de ça. L'action des autorités publiques est extrêmement importante pour pouvoir permettre aux plus faibles d'avoir quand même cette protection minimale. C'est ce qu'on essaye de faire au niveau de la Luxembourg House of Cybersecurity ; mettre à disposition de l'ensemble de l'écosystème des outils ou de la documentation qui soient accessibles. Le rêve, ce serait que la réputation chez les criminels soit que ça ne vaut pas la peine d'aller essayer de frauder au Luxembourg parce qu'on perd notre temps et notre argent.

Bryan : Pour une entreprise comme la Spuerkeess, c'est différent que si on est une petite PME d'une vingtaine de personnes. Le coût de tout cela devient plus important. Si on doit choisir entre business et sécuriser ses systèmes, on va faire du business. En pratique, qu'est-ce qu'un entrepreneur peut faire ?

Philippe : La sensibilisation est essentielle. Au NC3, on organise des simulations d'attaques, comme celles proposées avec la ROOM#42, pour évaluer les processus, tester la résilience des participants face au stress, et améliorer leur capacité à communiquer efficacement. Ces exercices permettent d'identifier les failles existantes, d'optimiser la préparation des entreprises, et surtout de sensibiliser les participants à la complexité d'une attaque réelle. Même s'il s'agit d'un exercice, il met en lumière les défis concrets auxquels les organisations pourraient être confrontées.

Bertrand : Puis il faut aussi se souvenir qu'en tant qu'agence publique, nous ne sommes pas là pour faire de la concurrence aux entreprises de sécurité du marché. Notre idée, c'est plutôt de faire les premiers tests ou de donner les conseils de base qui permettent d'amorcer la démarche de sécurité dans les petites et moyennes entreprises. Après, on les renvoie vers le marché, parce qu'on veut aussi que se développe un écosystème d'entreprise luxembourgeoise de sécurité. Et donc, c'est pour ça qu'au niveau de la LHC, en complément de ce que fait le NC3, on va avoir une plateforme qu'on appelle cybersecurity.lu, communément appelé Cyberlux, qui permet d'avoir une vision de l'ensemble des acteurs du marché, donc tous les offreurs de sécurité. Et on a plus de 300 entreprises qui se sont inscrites.

Bryan : Comment peut-on accéder à la ROOM#42 ?

Philippe : Pour l'instant, il suffit simplement de contacter la Luxembourg House of Cybersecurity pour réserver une session dans nos locaux. Une session peut accueillir entre 5 et 8 participants et s'articule autour d'un briefing, l'exercice en tant que tel et un débriefing. Petit spoiler… vous ne gagnerez pas.

Bryan : En toute objectivité donc, il faut être meilleur que son voisin. Si on se compare aux pays limitrophes, est-ce qu'on est bien équipés ?

Bertrand : Évidemment, quand on regarde la France ou l'Allemagne, on est face à des grands pays qui ont des ressources très importantes. On voit leurs agences centrales, c'est impressionnant. Mais ils ont aussi des défis qui sont d'un autre ordre. Toutefois, ce qu'on constate, parce que Luxembourg est quand même très bien présent dans les instances européennes, c'est que l'on est perçu comme un pays très actif en matière de cybersécurité. On dit souvent, en anglais, qu'on boxe au-dessus de notre poids. On a mis en place pas mal de choses qui font que Luxembourg est bien perçu. Il y a encore du travail, il ne faut pas se reposer sur ses lauriers, mais il y a une reconnaissance. Nous sommes sur la bonne voie.

Bryan : Qu'en est-il du système bancaire luxembourgeois ?

Lars : Je ne pense pas qu'il faille comparer. On a les mêmes adversaires. On a vu récemment que les frontières nationales n'arrêtent aucune attaque informatique. Mais au niveau luxembourgeois, je pense que, rien que de par les exigences réglementaires, on est bien placés. On est constamment mis à l'épreuve pour s'améliorer, pour suivre tout ce qui fait surface. On est clairement confronté à des menaces qu'on prend très au sérieux et qu'on essaie d'adresser au plus vite. Donc nous ne sommes pas concurrents entre nous.

Bryan : Si on vous en donnait l'opportunité, que feriez-vous en priorité pour faire avancer les choses d'un pas supplémentaire ?

Lars : Je crois qu'il faut surtout continuer à regarder ce qui arrive, anticiper les attaques et s'y préparer. Constamment s'adapter. Ça, c'est vraiment le plus important. C'est une course qui ne se termine jamais. Tant qu'on a des systèmes qui sont connectés, qui sont là, où il y a de l'électricité dedans, on devrait partir du principe que tôt ou tard quelqu'un pourrait être tenté d'exploiter une faiblesse dans notre système.

Philippe : Revisiter la sensibilisation, commencer plus tôt. Dans les écoles déjà, expliquer que c'est possible et que de telles attaques sont possibles. On doit devenir une société "aware" qui ne néglige pas cette menace et à travers cette conscience, adopter une hygiène de sécurité rigoureuse pour se protéger efficacement. Cela inclut l'utilisation de mots de passe complexes et uniques, l'activation des mises à jour automatiques, et une vigilance accrue face aux comportements à risque, comme par exemple ne pas cliquer sur des liens ou pièces-jointes provenant de sources inconnues. Pour les entreprises, segmenter les systèmes est une pratique clé pour limiter la propagation des incidents en cas d'attaque.

Bertrand : Moi, j'insisterais sur le partage. Le partage d'informations entre professionnels, destinées à améliorer la prévention, à mieux se préparer. Cela permet une meilleure visibilité sur les menaces. Aussi le partage de documentations, de formations, du côté de la population et des défenseurs, des choses qui soient accessibles et qui permettent à tout à chacun d'adopter des pratiques qui minimisent énormément l'exposition. Donc dans le prolongement de ce que dit Philippe, avoir non seulement l'éducation à l'école, mais ensuite aussi avoir ces informations qui seraient partagées de manière plus durable. Parce que partager, ce n'est pas seulement mettre en ligne, c'est aussi faire en sorte que les gens puissent trouver l'information, sachent où aller.

Bryan : J'ai une grosse crainte… c'est l'intelligence artificielle. Je suppose que l'intelligence artificielle, qui va s'auto-améliorer, ne va pas faciliter votre travail…

Lars : Ça dépend. L'intelligence artificielle, on peut la voir comme opportunité, on peut aussi la voir comme menace et probablement que la réalité est entre les deux. Je crois qu'on doit utiliser aussi toutes les capacités de solutions qui sont basées sur une intelligence artificielle pour se protéger. Je crois qu'il faut clairement utiliser ces solutions-là dans un but de protection, parce que les attaquants, ils l'utilisent.

Bertrand : Ce qu'on voit, pour l'instant en tout cas, c'est une amélioration de certaines étapes des attaques grâce à l'intelligence artificielle. Mais on n'a pas vu de changement de paradigme complet. Ça veut dire que certains des outils de défenses sont mis à mal, mais aussi qu'il y en a qui sont encore efficaces. Donc si on a en place une sécurité à peu près cohérente, on est encore protégé. C'est un point important, il ne faut pas paniquer. Mais il est clair qu'il faut être super vigilant.

Bryan : Récemment, il y a un an, une grosse faille dans le système avait empêché des avions de décoller. C'était Cloudflare. Faudra-t-il s'habituer à ce genre d'événements et avoir en parallèle un plan d'urgence prêt à être déployé ?

Lars : Je crois que pour tous les processus critiques d'une entreprise, on doit s'être posé la question de savoir ce qu'on fait si on n'arrive plus à le faire tourner. Dans cette réflexion-là, on peut avoir plusieurs approches. La première, c'est de dire : "OK, on accepte que cette activité-là, même si elle est critique, ne fonctionne pas pendant quatre heures ou deux jours." On peut aussi voir est-ce qu'on a des solutions de repli à activer au cas où la panne durerait trop longtemps. Je pense que souvent, la tactique employée est d'avoir une solution indépendante qui permet de fonctionner en mode dégradé pendant un certain temps.

Bertrand : Il n'y a pas de réponse universelle puisque ça va dépendre du secteur d'activité. Par exemple dans le monde des hôpitaux, actuellement il y a toute une réflexion parce qu'on ne peut pas se permettre de faire l'impasse et d'arrêter l'hôpital. Les gens meurent. Ce sont des secteurs qui sont considérés comme hautement sensibles. Au niveau d'une entreprise, Lars l'a bien résumé. C'est quelque chose qui est défini formellement. Il y a des méthodes, il faut les suivre. Et puis progressivement mettre en place une planification pour garantir sa continuité d'activité. D'autant que pour certains secteurs, c'est une obligation de par la loi. On a parlé de partage d'informations auparavant. Un point qui est assez important à avoir en tête quand on les partage, c'est le fait qu'il y a un certain nombre de choses qui demandent du temps pour être analysées d'un point de vue technique parce qu'elles sont complexes. Donc on ne peut pas on ne peut pas donner de réponses. Et il faut être très prudent. Je me souviens d'un cas qui a été très, très médiatisé. C'est celui de TV5Monde en France. C'était en 2015. Leur système avait été complètement détruit par des attaquants. Ça avait l'air d'être revendiqué par l'État islamique sur leur site qui lui avait été piraté. Pendant plusieurs jours, donc tout le monde s'est excité dans les cercles parisiens autour de cette attaque foudroyante de l'État islamique. Quelques temps plus tard, on s'est rendu compte en fait que c'était une attaque qui avait été faite par le renseignement russe. Ce qui les a perdus, c'est le fait que leur traduction du communiqué en arabe n'était pas celle d'un locuteur natif. Mais il a fallu du temps pour arriver à cette conclusion.

Bryan : On revire donc vers la géopolitique…

Bertrand : Oui… c'était juste pour donner des exemples connus, sur lesquels il n'y a pas de discussion possible et qui sont quand même très, très marquants parce qu'ils ont visé des entités qui étaient des entités importantes et visibles.