Actualité brûlante, destructrice et fascinante à la fois: les cyberattaques sont le point culminant de la polycrise actuelle. Alors que les infrastructures critiques sont attaquées et que les plaintes s'accumulent auprès des services de police criminelle des Länder et des parquets, les experts le savent: Les cyber-attaques ne peuvent pas être évitées. Ce qui compte désormais, c'est la manière dont les entreprises y réagissent. C'est aussi sur ce point qu'elles seront jugées à l'avenir.
Comment les entreprises peuvent-elles mieux se prémunir contre les cyberattaques ? Et si les attaques réussissent: Comment passer en mode "Incident Response" plutôt qu'en mode "Headless Chicken" ? Il est temps de poser la question à un expert: Philipp Seebohm d'AON partage les connaissances et les recommandations tirées de huit années de gestion des cyber-risques.
Monsieur Seebohm, vous êtes expert en gestion des cyber-risques - cela semble être un travail passionnant.
C'est le cas. Et même si la technologie y joue un rôle essentiel: Je travaille avant tout avec des personnes très nombreuses et très différentes, parfois issues d'organisations internationales, avec des niveaux de maturité informatique, des tailles et des origines très variés. Cette diversité me plaît énormément !
Qu'en est-il de l'excitation ?
Auprès de l'entreprise attaquée ou auprès de moi ?
N'hésitez pas à parler des deux:
La situation est extrêmement variable selon les entreprises. Il y a quelques grandes organisations qui sont très bien préparées et qui ont déjà connu divers incidents de cyber-attaques. Elles sont alors relativement calmes, ont de super processus, peuvent très bien classer les incidents de manière professionnelle et structurée. Mais il y a aussi des entreprises, principalement des PME, pour lesquelles l'impact perçu d'une cyberattaque est nettement plus élevé. Par exemple, lorsque les directeurs sont également les associés. Dans ce cas, une attaque et la coordination deviennent parfois un problème massif. L'excitation est alors grande et se transmet rapidement au personnel. En ce qui concerne mon excitation, je travaille depuis huit ans dans le domaine de la gestion des cyber-risques. Au début, j'étais confronté à beaucoup d'inconnues. L'excitation était définitivement plus grande qu'aujourd'hui. Entre-temps, j'ai été confronté à de très nombreux cas et l'excitation au sein de l'équipe est également limitée. Il serait malsain de faire autrement: nos clients ont besoin de sérieux, de calme et de sérénité pour prendre les bonnes décisions en cas d'attaque.
Cela s'appelle alors "Incident Response" au lieu de "Headless Chicken-Mode".
Exactement, une action coordonnée au lieu de continuer à courir "décapité" et de faire rapidement n'importe quoi qui s'avérera faux par la suite.
Quelles sont les réactions typiques du "headless chicken" qu'il vaut mieux éviter en cas d'attaque ?
Cela dépend beaucoup de l'incident. Une réaction typique est de tout arrêter, de débrancher partout - c'est-à-dire: d'éteindre de manière non coordonnée. Cela ne peut fonctionner que dans des cas isolés.
Pourquoi le déconseillez-vous ?
Parce qu'après une attaque, il faut sauvegarder une certaine quantité de données médico-légales. Ainsi, on peut d'abord déterminer ce qui s'est passé. Comment les pirates sont-ils entrés dans le systèm ? Quels droits ont-ils pu obtenir ? Comment se sont-ils propagés ? Il faut également pouvoir s'assurer que les pirates n'ont pas implémenté de backdoors, c'est-à-dire de portes dérobées qui leur permettraient d'accéder à nouveau au système après leur expulsion. Si le système est désactivé sans un certain niveau d'informations médico-légales, il sera difficile de s'assurer qu'un incident ne se reproduise pas.
Après des cyberattaques, on entend également parler de sauvegardes cryptées: les entreprises ont certes pris leurs précautions et se sont donc préparées en cas d'urgence, mais les attaquants avaient déjà une longueur d'avance. De quoi les entreprises doivent-elles tenir compte pour leurs sauvegardes ?
C'est vrai, c'est aussi une réaction typique de "headless chicken": sous l'effet de la panique - et parce que tout doit continuer à fonctionner et à être produit - on envoie des sauvegardes dans le système sans les vérifier. Dans ce cas, il faut agir de manière réfléchie : Seules les mesures de restauration vérifiées devraient être lancées.
D'accord, vous avez déjà mentionné le mot-clé "backdoors", que les pirates placent pour maintenir les accès ouverts. Mais quelles sont les portes d'entrée précédentes dans les systèmes: y a-t-il des classiques ?
Les portes d'entrée sont très variées. Les e-mails d'hameçonnage font partie des plus classiques: les pirates trompent le personnel en l'incitant à ouvrir certains codes ou pièces jointes, à cliquer sur des liens et à télécharger des logiciels malveillants. Les points faibles des systèmes accessibles depuis Internet constituent une autre porte d'entrée. Elles peuvent également apparaître à tout moment suite à des mises à jour. Tout code, tout logiciel peut contenir des failles qui sont ensuite exploitées par des pirates. Ces failles sont classiques, car il est difficile de combler les vulnérabilités qui apparaissent en permanence ou de désactiver complètement le logiciel. Il s'agit entre autres de voies de communication ouvertes comme les programmes de messagerie électronique.
Si nous pensons à la vague d'infection mondiale de WannaCry en 2017, l'histoire des cyber-attaques a déjà connu quelques cas spectaculaires. Quel cas curieux vous vient à l'esprit ?
Un collègue de la criminalistique numérique m'en a décrit un récemment. Elle remonte à un certain temps et n'a pas été très médiatisée, mais elle est très curieuse: une entreprise a été attaquée presque simultanément par deux groupes de pirates différents. Le premier groupe avait crypté les données de l'entreprise. Le second avait presque simultanément posé son cryptage sur le premier. Il y avait pratiquement un cryptage du cryptage. Deux organisations criminelles ont voulu s'attaquer simultanément à la même entreprise. Il n'y a pas eu de concertation.
Quelle devait être cette entreprise qui suscitait l'intérêt de plusieurs groupes de pirates en même temps ? Était-elle particulièrement lucrative ?
Vous soulevez un point intéressant avec cette question: les organisations criminelles ne s'intéressent pas forcément à l'entreprise. Ce qui est lucratif pour elles, ce sont les vulnérabilités, la multitude de surfaces d'attaque, les possibilités que les entreprises leur "laissent". L'activité des entreprises n'est donc pas prioritaire: Ce sont les possibilités qui sont au centre de l'attention.
C'est tout à fait logique. Car si l'on regarde par exemple le schéma de proie du groupe de pirates "Double-Spider", il comprend des entreprises de production comme Matratzen Concord, des infrastructures critiques comme l'hôpital universitaire de Düsseldorf, des entreprises de médias comme Funke et des administrations de district comme celle d'Anhalt-Bitterfeld. Ne peut-on donc pas parler de secteurs particulièrement privilégiés ou menacés ?
Certaines organisations criminelles agissent déjà de manière très ciblée et attaquent des entreprises spécifiques, même si la surface d'attaque des entreprises reste déterminante. Si nous considérons l'Allemagne, nous constatons déjà une concentration sur les entreprises de production. Elles ont deux paysages: IT et OT, en partie aussi IoT. Les installations de production sont nombreuses et sont désormais également commandées numériquement. Les systèmes pour les machines, qui fonctionnent parfois depuis plus de 30 ans, sont toutefois difficiles à mettre à jour. Cela augmente la surface d'attaque.
Nous avons en Allemagne un grand nombre d'entreprises de production, elles représentent également une grande partie de la performance économique globale. L'Allemagne est-elle un pays d'intérêt pour les pirates et particulièrement menacé ? Une statistique sur les ransomwares place tout de même l'Allemagne en troisième position des pays les plus attaqués - après les Etats-Unis et le Royaume-Uni. Il est également fait état d'une augmentation des attaques. Est-ce dû au succès économique de l'Allemagne ?
En toute logique, oui. Après tout, le pay-off est plus important lorsque des particuliers ou des entreprises disposant d'un patrimoine plus important sont victimes d'extorsion.
Quel est donc le statu quo: les entreprises allemandes sont-elles bien préparées aux cyber-attaques ?
Cela dépend des entreprises, mais nous observons un changement de mentalité de plus en plus fréquent: De nombreuses organisations misent de plus en plus sur la gestion des cyber-risques et sur les cyber-assurances. Elles investissent dans la prévention, la détection et la réaction aux attaques. De mon point de vue, c'est également très important, car de nombreuses entreprises seront victimes d'une attaque à l'avenir.
Vous conseillez les entreprises dans ce domaine: quelle est l'idée fausse que vous rencontrez encore souvent - en ce qui concerne la cybersécurité et les attaques ?
Il est faux de croire que les cyber-attaques sont exclusivement un problème informatique. On suppose que l'informatique est responsable du problème et qu'elle le résout. Ce n'est pas le cas: les cyberattaques constituent un risque opérationnel pour l'ensemble de l'entreprise. L'informatique n'est qu'un maillon de la chaîne. En cas d'attaque, la protection des données est tout aussi concernée que les secteurs de production, le management et la comptabilité. Il faut donc aussi ancrer une gouvernance dans l'entreprise qui gère le problème dans son ensemble.
Dans quelle sécurité les entreprises se pèsent-elles souvent ?
Après une nouvelle mesure - par exemple un test d'intrusion ou l'implémentation d'une nouvelle solution de sécurité - les entreprises ont souvent un sentiment de sécurité trompeur. Elles pensent que rien ne peut plus leur arriver. Après tout, toutes les vulnérabilités ont été trouvées. Mais les systèmes dynamiques ne peuvent pas être protégés par des mesures statiques. Cette formule ne fonctionne pas à long terme. Les attaques ont beaucoup trop de facettes pour une mesure ponctuelle.
Le risque évolue donc constamment. Quelles sont les dernières évolutions des cybercriminels ? Comment procèdent-ils depuis peu ?
Il y a plusieurs nouvelles approches. Mais de manière générale, l'une d'entre elles est particulièrement frappante: Les attaques sont devenues nettement plus professionnelles et organisées. Les organisations criminelles ne se contentent pas de chasser les points faibles : dès qu'elles obtiennent l'accès, elles explorent l'entreprise très longtemps et très silencieusement, avec de très nombreuses ressources. C'est une nouveauté. Ils apprennent à mieux connaître leurs victimes, collectent des informations sur les données qu'elles traitent, leurs vulnérabilités, les voies de communication, les infrastructures de sauvegarde et bien d'autres choses encore. Ils étudient également comment les entreprises pourraient se recover, c'est-à-dire comment elles pourraient récupérer des données après une attaque. Pour ce scénario, ils découvrent comment infecter les sauvegardes en conséquence. Ils extraient également des données sensibles afin de pouvoir exercer un chantage supplémentaire sur les entreprises - si celles-ci ne veulent pas payer de rançon pour le décryptage. Ce processus existe depuis longtemps, il s'appelle "double extorsion".
On dit que des modèles commerciaux entiers découlent de ce principe: un groupe de pirates informatiques craque l'accès et le vend. Le suivant extrait des données sensibles et les vend. Enfin, un autre groupe extorque une rançon à l'entreprise.
Et ainsi de suite, absolument ! Entre-temps, les mots "ransomware-as-a-service" (RaaS) sont déjà utilisés de manière inflationniste. Trouver des failles, exploiter des failles, mais surtout vendre ou exploiter des données sensibles: Il y a là une division du travail accrue entre les criminels. De cette manière, l'affaire se professionnalise aussi nettement.
Les e-mails d'hameçonnage sont devenus nettement plus professionnels. Alors qu'il y a quelque temps, on pouvait les distinguer sur la base d'une orthographe incorrecte ou de composants visuels frappants, il faut aujourd'hui y regarder de très près.
Oui, les nouvelles technologies jouent ici un rôle important: les IA comme ChatGPT permettent aux pirates de créer très facilement des e-mails de phishing structurés et automatisés avec une orthographe irréprochable. Le professionnalisme s'est nettement amélioré dans ce domaine. Ce n'est qu'une question de temps avant que nous ne recevions également de plus en plus de faux appels téléphoniques et ensuite de faux appels vidéo. Les deepfake audio sont une réalité depuis longtemps. Au total, de nombreux risques sont ainsi réunis, qui malheureusement touchent souvent les plus faibles - je pense ici à l'astuce des petits-enfants.
Nous constatons que les cyberattaques sont extrêmement sophistiquées et que les cybercriminels ont souvent plusieurs longueurs d'avance. La prévention est-elle encore possible ? Si oui, comment les entreprises agissent-elles au mieux en amont ? Quelles sont les étapes nécessaires ?
Sans vouloir minimiser les exercices d'incendie: Pour les entreprises, la probabilité d'être victime d'une cyberattaque est plus élevée que celle d'un incendie. Pour pouvoir agir de manière coordonnée en cas d'urgence, je recommande aux entreprises de faire un exercice sur table, de supposer que l'organisation a réellement été victime d'une cyberattaque et de jouer ensuite le scénario: Les parties prenantes deviennent nerveuses, les clients craignent que leurs données soient publiées, les fournisseurs ne peuvent soudainement plus faire partie de la création de valeur. Parallèlement, les obligations monétaires sont pressantes. Il faut donc imaginer un problème aussi complexe que possible, réfléchir ensemble de manière préventive, parler ensemble, discuter, peser le pour et le contre, avoir un plan. Un peu comme de nombreuses entreprises le font depuis des décennies pour la protection contre les incendies. C'est la première étape.
Quelles sont les questions qui devraient être posées et auxquelles il faudrait répondre lors de la mise en œuvre d'un tel scénario catastrophe ?
Certains sont : Existe-t-il un plan d'urgence ? Est-il à jour ? Existe-t-il physiquement ou est-il numérique - et donc également crypté ? Tous les numéros de téléphone et contacts sont-ils à jour ? Quels sont nos processus critiques ? Négocions-nous réellement avec des maîtres chanteurs ? Avec qui communiquons-nous quoi - par exemple avec des partenaires externes ? Comment gérons-nous les heures supplémentaires et le travail du week-end ? Quels sont les secteurs qu'il vaut mieux mettre en chômage partiel ? Dispose-t-on d'un certain niveau de liquidités ? Qu'est-ce qui doit être payé immédiatement ?
Avez-vous une astuce pour les plans de crise que l'on a tendance à négliger ?
Oui, keep it short. Le document doit être pragmatique et constamment adapté. Lorsqu'une entreprise est touchée, elle travaille avec des ressources limitées. Un ouvrage de 200 pages n'est alors d'aucune utilité. Il est plus important d'ancrer qui doit faire quoi en cas d'urgence. Un exemple: la gestion des sinistres: Qui enregistre les dommages ? Une entreprise ne doit pas seulement prouver sur le plan médico-légal qu'elle a été victime d'une attaque. Si elle est assurée, elle doit également pouvoir chiffrer ses dommages. Les rôles doivent donc être bien répartis à l'avance et définis dans le plan de crise.
Ce qui nous amène au "comment": Vous dites qu'il est plus important que jamais de savoir comment les dirigeants d'entreprise réagissent aux attaques. Pourquoi ?
Parce que c'est finalement le "comment" qui détermine les dommages que l'entreprise subira à long terme suite à une attaque. Si les entreprises réagissent de manière précipitée et incontrôlée, trop d'erreurs se produisent, tant sur le plan technique qu'organisationnel. Et plus les problèmes se multiplient, plus le problème dure longtemps, plus les répercussions de la crise sur le bilan sont importantes. La gestion de crise est ici la clé. Comment les dirigeants d'entreprise et les organisations réagissent: C'est à cela qu'ils seront jugés à l'avenir.
Bien. Supposons que le pire des cas se soit produit. Un matin, "You are f*****d" s'affiche sur tous les écrans. C'est ce qui est arrivé à l'administration du district d'Anhalt-Bitterfeld il y a un peu plus de deux ans. Quelles sont les trois premières étapes dans une telle situation ?
Priorité 1: garder son calme et agir de manière coordonnée.
Priorité 2: faire appel à une expertise en interne - en priorité la gestion de crise et la médecine légale.
Priorité 3: Couper les voies de communication des pirates de manière réfléchie et judicieuse. Priorité 4: faire une analyse médico-légale : entre autres, collecter des preuves et examiner les sauvegardes.
Priorité 5: Créer un système parallèle pour maintenir les processus d'urgence en fonctionnement.
Ok, j'ai pour conclure trois thèses, parfois abruptes, en vous demandant de les évaluer. Thèse n° 1: les cultures d'entreprise autoritaires sont plus susceptibles d'être victimes d'attaques de pirates informatiques que les autres. Oui ou non ?
Il est difficile de répondre de manière générale. Les entreprises ayant une culture d'entreprise très autoritaire ont d'une part l'avantage que les directives sont strictement suivies par tous. D'autre part, elles ont souvent du mal à pratiquer une culture ouverte de l'erreur et une gestion active des crises. Dans ce cas, aucune expertise externe n'est consultée et aucune remise en question n'est encouragée au sein du personnel. C'est précisément ce qui peut faciliter la tâche des agresseurs: En cas de doute, les femmes PDG réussissent plus facilement si elles ne sont pas remises en question.
La thèse n° 2 est une citation: "Mieux vaut le "Pen and Paper": la numérisation ne fait après tout que nous rendre vulnérables".
Il est certain que la surface d'attaque augmente avec la numérisation croissante. Mais le risque ne réside pas dans la technique: dans la plupart des cas, il réside dans les personnes. Actuellement, nous nous trouvons en Allemagne dans une sorte de "Twighlight-Zone", c'est-à-dire que nous ne sommes pas peu numérisés, mais pas encore entièrement. Le risque provient principalement des structures historiques: elles disposent encore de vieilles machines, d'une vieille informatique, d'un manque de mises à jour et d'une méconnaissance. Cette combinaison fait naître des risques qui se manifestent ensuite par des attaques. Ne pas se numériser n'est donc pas la solution, bien au contraire: la numérisation apporte d'immenses avantages. Elle rend compétitif, elle renforce les entreprises et les sites économiques. Mais elle nécessite aussi du courage.
Thèse n° 3: les organisations criminelles aiment aussi extorquer des rançons en publiant des données très sensibles - par exemple des dossiers disciplinaires de fonctionnaires, voir Case D.C. Police (2021) - ou des procès-verbaux de conseils d'administration qui documentent en partie leurs propres violations de la loi. Si c'est le cas, on pourrait supposer que "les cyberattaques rendent les entreprises plus correctes à long terme". N'est-ce pas ?
Je doute que les cyberattaques rendent les entreprises plus correctes ou plus honnêtes. Mais la pression pour payer des rançons sera en tout cas plus forte pour les entreprises. Et ce que je peux dire définitivement à ce sujet: Avec de telles attaques, les entreprises sont de plus en plus conscientes des risques qu'elles encourent. Mais cela augmente également l'investissement dans la protection des données sensibles.
Merci beaucoup pour cet entretien passionnant, Monsieur Seebohm.
