La cyber : analyse militaro-financière

On rajoute à ce tableau l’extrême concentration du secteur, le recours à un nombre très limité de fournisseurs de logiciels, prestataires ou hébergeurs (au regard des montants financiers manipulés par ces organismes), les attaques en supply chain ont de beaux jours devant elles dans le monde bancaire.
Bref, ce n’est pas la joie.

Petit travelling arrière : le chiffre d’affaires des business illégaux (drogue, prostitution, enlèvements, chantages, etc.) est estimé entre 1 000 et 2 000 milliards USD par an (fourchette très large car, par définition, on n’en voit que la partie émergée). Si l’on y adjoint celui des drogues « légales » (tabac, alcool, beuh – lorsque son usage est autorisé), on obtient pas loin de 1 000 milliards USD supplémentaires, toujours par an. Depuis environ cinq années pleines, on a vu arriver une nouvelle forme de prise d’otage : les ransomwares. Sur le strict plan du business, la crapulerie mondiale est juste en train d’apporter une offre de services additionnelle à son catalogue – déjà pas mal étoffé.

Ceux qui affirmaient il y a peu (Anssi en tête, désolé de le rappeler) que l’on finirait par venir à bout des ransomwares comme on a fini par venir à bout de la piraterie maritime feraient bien de réfléchir à ces trois aspects du problème.

Primo, comme je m’en suis déjà expliqué dans ces mêmes colonnes, les attaques cyber sont fortement dissymétriques : l’attaquant risque très peu et peut gagner beaucoup. Ce n’était pas le cas de la piraterie maritime, où les pirates risquaient littéralement leur peau à chaque abordage inamical – le risque était alors à la hauteur de l’enjeu. Et quand on voit le niveau technique – relativement faible – requis pour mener des attaques avec tout l’outillage à libre disposition sur le Dark Web, on peut être préoccupé.

Deuzio, j’invite le lecteur à écouter en replay l’émission Le Temps du débat de France Culture du 2 mai dernier, consacré à l’explosion du trafic de stupéfiants dans le monde : certains experts pensent que les États sont en train de perdre la bataille. Et il ne faut pas oublier que, pour ce qui concerne les stupéfiants, la faiblesse structurelle vis-à-vis des forces de l’ordre tient à la nécessité d’un flux physique (culture, grossiste, distribution, vente au consommateur final – si ce dernier volet s’ubérise avec recours à des messageries sécurisées telle Sky ECC, ce n’est pas pour rien). Alors que, dans le cas des attaques cyber, tout se fait à distance, y compris le paiement. Bon courage.

À découvrir → En direct de l’APSSIS – Sécurité informatique : le nombre d’attaques en baisse depuis le début de l’année

Tertio enfin, à la différence du marché des stupéfiants pour lequel, sauf exception notable, la plupart des États structurés mettent pas mal de moyens dans la lutte contre le trafic, en ce qui concerne les attaques cyber, il est de notoriété publique que certains pays au contraire les utilisent comme une arme complémentaire dans leur arsenal militaire plus ou moins conventionnel/officiel. Difficile de venir à bout d’un tel phénomène quand tout le monde ne tire pas dans le même sens.

Nous nous trouvons exactement dans le contexte de l’analyse de Niall Ferguson dans son fabuleux ouvrage La Place et la Tour, qui analyse les grands courants historiques à l’aune de la lutte perpétuelle entre les organisations hiérarchiques (la Tour) et les réseaux décentralisés (la Place), les seconds l’emportant quasi systématiquement sur les premiers. Le rapport[2] d’Europol du 5 avril dernier fait mention de pas moins de 800 organisations mafieuses sur le territoire européen, toutes extrêmement mobiles et adaptatives. La Place est en train de l’emporter sur la Tour pour ce qui est des stupéfiants, et je ne vois vraiment pas pourquoi il n’en serait pas de même pour les cyberattaques quand une partie de ces réseaux décentralisés bénéficient en plus manifestement d’appuis étatiques.

Alors je me remonte le moral en phosphorant très fort sur une uchronie tout ce qu’il y a de plus improbable. On va imaginer la légalisation de la beuh la même année que celle des attaques cyber. Avec BlackRock qui crée un ETF dédié au secteur (je vous signale qu’il existe déjà des fonds pour la beuh et un ETF pour les bitcoins), une cotation sur plusieurs places de marché, la création d’un écosystème d’entreprises nickel sous tous rapports, d’écoles de formation en licence et master avec les bonnes cases à cocher dans Parcoursup. Bon, Kevin, pour ta dernière année en école d’ingé, tu choisis quoi comme option, les alcaloïdes ou le chiffrement ?

[1]   https://www.latribune.fr/opinions/tribunes/la-stabilite-financiere-mondiale-bientot-minee-par-le-risque-cyber-995115.html

[2]   https://belgian-presidency.consilium.europa.eu/fr/actualites/un-rapport-deuropol-identifie-les-reseaux-criminels-les-plus-menacants-dans-lue/

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.