Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

La cyber : analyse militaro-financière

07 mai 2024 - 11:07,
Tribune - Cédric Cartau
Dans un article[1] récent de La Tribune, les auteurs développent l’idée selon laquelle la stabilité financière mondiale va être bientôt mise à mal par le risque cyber. Si l’on prend en compte le cumul des pertes financières du secteur bancaire mondial depuis 2020 à la suite des attaques cyber, les cours de la Bourse chahutés et le risque de contagion systémique dans un secteur où tout le monde se tient peu ou prou par la barbichette de la dette (souvenez-vous de 2008), il y a effectivement de quoi s’inquiéter.    

On rajoute à ce tableau l’extrême concentration du secteur, le recours à un nombre très limité de fournisseurs de logiciels, prestataires ou hébergeurs (au regard des montants financiers manipulés par ces organismes), les attaques en supply chain ont de beaux jours devant elles dans le monde bancaire.
Bref, ce n’est pas la joie.

Petit travelling arrière : le chiffre d’affaires des business illégaux (drogue, prostitution, enlèvements, chantages, etc.) est estimé entre 1 000 et 2 000 milliards USD par an (fourchette très large car, par définition, on n’en voit que la partie émergée). Si l’on y adjoint celui des drogues « légales » (tabac, alcool, beuh – lorsque son usage est autorisé), on obtient pas loin de 1 000 milliards USD supplémentaires, toujours par an. Depuis environ cinq années pleines, on a vu arriver une nouvelle forme de prise d’otage : les ransomwares. Sur le strict plan du business, la crapulerie mondiale est juste en train d’apporter une offre de services additionnelle à son catalogue – déjà pas mal étoffé.

Ceux qui affirmaient il y a peu (Anssi en tête, désolé de le rappeler) que l’on finirait par venir à bout des ransomwares comme on a fini par venir à bout de la piraterie maritime feraient bien de réfléchir à ces trois aspects du problème.

Primo, comme je m’en suis déjà expliqué dans ces mêmes colonnes, les attaques cyber sont fortement dissymétriques : l’attaquant risque très peu et peut gagner beaucoup. Ce n’était pas le cas de la piraterie maritime, où les pirates risquaient littéralement leur peau à chaque abordage inamical – le risque était alors à la hauteur de l’enjeu. Et quand on voit le niveau technique – relativement faible – requis pour mener des attaques avec tout l’outillage à libre disposition sur le Dark Web, on peut être préoccupé.

Deuzio, j’invite le lecteur à écouter en replay l’émission Le Temps du débat de France Culture du 2 mai dernier, consacré à l’explosion du trafic de stupéfiants dans le monde : certains experts pensent que les États sont en train de perdre la bataille. Et il ne faut pas oublier que, pour ce qui concerne les stupéfiants, la faiblesse structurelle vis-à-vis des forces de l’ordre tient à la nécessité d’un flux physique (culture, grossiste, distribution, vente au consommateur final – si ce dernier volet s’ubérise avec recours à des messageries sécurisées telle Sky ECC, ce n’est pas pour rien). Alors que, dans le cas des attaques cyber, tout se fait à distance, y compris le paiement. Bon courage.

À découvrirEn direct de l’APSSIS – Sécurité informatique : le nombre d’attaques en baisse depuis le début de l’année

Tertio enfin, à la différence du marché des stupéfiants pour lequel, sauf exception notable, la plupart des États structurés mettent pas mal de moyens dans la lutte contre le trafic, en ce qui concerne les attaques cyber, il est de notoriété publique que certains pays au contraire les utilisent comme une arme complémentaire dans leur arsenal militaire plus ou moins conventionnel/officiel. Difficile de venir à bout d’un tel phénomène quand tout le monde ne tire pas dans le même sens.

Nous nous trouvons exactement dans le contexte de l’analyse de Niall Ferguson dans son fabuleux ouvrage La Place et la Tour, qui analyse les grands courants historiques à l’aune de la lutte perpétuelle entre les organisations hiérarchiques (la Tour) et les réseaux décentralisés (la Place), les seconds l’emportant quasi systématiquement sur les premiers. Le rapport[2] d’Europol du 5 avril dernier fait mention de pas moins de 800 organisations mafieuses sur le territoire européen, toutes extrêmement mobiles et adaptatives. La Place est en train de l’emporter sur la Tour pour ce qui est des stupéfiants, et je ne vois vraiment pas pourquoi il n’en serait pas de même pour les cyberattaques quand une partie de ces réseaux décentralisés bénéficient en plus manifestement d’appuis étatiques.

Alors je me remonte le moral en phosphorant très fort sur une uchronie tout ce qu’il y a de plus improbable. On va imaginer la légalisation de la beuh la même année que celle des attaques cyber. Avec BlackRock qui crée un ETF dédié au secteur (je vous signale qu’il existe déjà des fonds pour la beuh et un ETF pour les bitcoins), une cotation sur plusieurs places de marché, la création d’un écosystème d’entreprises nickel sous tous rapports, d’écoles de formation en licence et master avec les bonnes cases à cocher dans Parcoursup. Bon, Kevin, pour ta dernière année en école d’ingé, tu choisis quoi comme option, les alcaloïdes ou le chiffrement ?


[1]   https://www.latribune.fr/opinions/tribunes/la-stabilite-financiere-mondiale-bientot-minee-par-le-risque-cyber-995115.html

[2]   https://belgian-presidency.consilium.europa.eu/fr/actualites/un-rapport-deuropol-identifie-les-reseaux-criminels-les-plus-menacants-dans-lue/


L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

Contourner les règles, faille cyber éternelle et consubstantielle à l’espèce humaine

21 avril 2025 - 19:07,

Tribune

-
Cédric Cartau

Récemment, un post sur LinkedIn racontait l’histoire suivante : un enseignant soucieux de repérer les élèves qui faisaient rédiger leur copie par ChatGPT transmettait ses consignes sous forme de fichiers PDF dans lesquels il incluait des morceaux de texte en caractères blancs, donc invisibles pour l...

Illustration Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

08 avril 2025 - 07:19,

Tribune

-
Cédric Cartau

Le temps des mails provenant d’un prince nigérian qui requiert votre aide pour toucher un héritage, ou de la petite Marie qui attend désespérément une greffe, est révolu : les techniques ont évolué, les outils aussi, les réseaux se sont structurés et professionnalisés. Petit panorama, forcément inco...

Découvrez les résultats du 1er baromètre E-santé DSIH !

14 mai 2024 - 11:28,

Actualité

- DSIH

Depuis plus de 15 ans, déjà, DSIH Magazine partage les expériences, les interrogations, les difficultés et les réussites des directeurs et responsables des systèmes d'information de santé. 

Illustration Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

Ségur numérique : Mise à jour du calendrier réglementaire pour les dispositifs de la Vague 2 à l’hôpital

24 mars 2025 - 20:32,

Actualité

- DSIH,

Afin de garantir au plus grand nombre d’établissements de santé l’accès aux mises à jour financées par le Ségur numérique, le calendrier des dispositifs dédiés aux logiciels Dossier Patient Informatisé (DPI) et Plateforme d’Interopérabilité (PFI) a été étendu par un arrêté modificatif, publié ce jou...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.