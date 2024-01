HarfangLab : Bonne année 2024 et attention secousses !

janvier 2024 par HarfangLab

Qui dit nouvelle année dit résolutions, ou projections. Alors que chacun se penche sur ses projets pour l’année à venir, et sur les priorités à tenir pour mettre toutes les chances du côté de la réussite, un certain nombre de facteurs doivent être pris en considération pour associer résilience, ambition, et cybersécurité. Afin de faciliter les analyses de risque, mais également d’anticiper les principaux facteurs qui peuvent influencer la stratégie cyber des entreprises, les experts d’HarfangLab se sont penchés sur ce qui va, à coup sûr, dessiner le paysage numérique européen en 2024.

Un contexte de guerre, où l’arme cyber est plus stratégique que jamais… et l’Europe surexposée par les nombreux événements internationaux

Selon Anouck Teiller, Chief Strategy Officer chez HarfangLab, on peut s’attendre à une croissance de la menace cyber sophistiquée étatique ou paraétatique du fait du contexte géopolitique tendu, en témoignent certaines activités récentes telles que l’attaque Kiyvstar en Ukraine et les attaques contre des gouvernements européens et des infrastructures critiques américaines, au travers de services Microsoft. Ces menaces seront d’autant plus pesantes pour l’Europe dans un contexte de surexposition avec de grands événements internationaux (Jeux Olympiques et Paralympiques de Paris 2024, élections européennes, Euro de Football, etc.) et de nombreuses élections politiques (US, Russie, UE, etc.).

Selon l’équipe Cyber Threat Research chez HarfangLab, ce contexte conflictuel pourrait s’illustrer notamment à travers :

– Plus d’opérations de manipulation de l’information ayant pour objectif d’influencer l’opinion publique, et plus de cyberattaques en soutien de telles opérations.

Comme cela a déjà été illustré par plusieurs cas documentés publiquement (Ghostwriter, Doppelganger, etc.), les réseaux sociaux sont dorénavant largement utilisés pour influencer voire manipuler l’opinion publique en soutien d’intérêts politiques ou internationaux. Certaines de ces opérations ont été soutenues par des cyberattaques en amont (GRIZZLY STEPPE - piratage du parti démocrate américain, MacronLeaks, etc.). Les experts s’attendent à ce que les opérations liées à l’information et à l’influence de l’opinion publique passent à la vitesse supérieure en 2024, compte tenu du contexte international : des conflits en Israël et en Ukraine en passant par les élections européennes, américaines et russes, ou encore les Jeux Olympiques et Paralympiques de Paris 2024 pour lesquels l’exclusion des compétiteurs russes est un point de tension. On peut s’attendre à ce que plus de cyberattaques soutiennent de telles opérations de manipulation pour amplifier le message, capter des données, inhiber les capacités de contre-influence, ou simplement pour propager la peur.

– Plus d’hacktivistes agissant dans la continuité des capacités cyber étatiques

Les frontières entre les groupes hacktivistes et les acteurs agissant au profit des Etats seront de plus en plus poreuses en 2024. Des cas tels que le parrainage russe présumé d’Anonymous Sudan, les "opérations indépendantes" de Killnet contre des cibles occidentales et la réponse de l’"Armée informatique de l’Ukraine" ont incité le Comité international de la Croix-Rouge à rédiger un règlement à l’attention des "hackers civils". L’hacktivisme est une forme d’action de plus en plus tolérée - voire promue et soutenue par l’opinion. Les États peuvent avoir intérêt à ce que ce flou soit maintenu en cas de conflit, afin de pouvoir bénéficier d’une réserve flexible de capacités cyber, tout en rendant difficiles les représailles contre des actions qui seraient attribuées à des civils agissant de leur plein gré.

– Plus d’attaques destructrices

Nous identifions davantage de logiciels malveillants destructeurs, de plus en plus utilisés comme armes non cinétiques dans les conflits. Ces attaques, qu’elles soient perpétrées par des acteurs soutenus par un État, des hacktivistes ou des groupes criminels, peuvent avoir des motivations politiques. La tendance est croissante et souligne l’importance que revêt l’identification des motivations et objectifs des cyberattaques, aussi cruciale que la compréhension des techniques et tactiques d’attaques pour une attribution précise.

– Des acteurs soutenus par les Etats prennent des mesures contre les entreprises et chercheurs en cybersécurité

Les activités de cybersécurité permettent de découvrir des opérations malveillantes avancées visant à entraver l’action militaire en temps de guerre. Les défenseurs qui exposent les cyberattaques ruinent parfois des mois d’efforts déployés par les acteurs malveillants pour mettre au point leurs opérations cyber. En conséquence, les États ou les acteurs qu’ils soutiennent pourraient exercer davantage de pressions contre les organisations et les experts de la cybersécurité, notamment en temps de conflit. Des cas publiquement documentés tels que Triangulation ou la compromission de FireEye par NOBELIUM démontrent déjà que les organisations et les acteurs de la cybersécurité sont pris pour cible. Les chercheurs HarfangLab s’attendent à des représailles plus variées contre les acteurs de la cybersécurité au cours de l’année à venir, notamment par le biais de cyberattaques, d’actions en justice, de mesures de dissuasion et d’opérations psychologiques.

– La réévaluation du cadre de protection des infrastructures critiques

Avec l’attaque sur le système KA-SAT lors de son tout premier jour, la guerre entre l’Ukraine et la Russie a démontré que les infrastructures de communication satellites pouvaient être ciblées lors d’un conflit, et que les effets associés pouvaient se propager bien au-delà des lignes de front. Dans la mesure où certaines infrastructures tels que les systèmes de communication soutiennent à la fois les intérêts civils et militaires pendant une guerre, certains belligérants considèrent qu’elles sont à « double emploi » et que de ce fait, peuvent être une cible militaire selon les règles de la guerre. Une telle logique expose donc certaines infrastructures critiques communes – principalement celles de l’énergie et de la communication – à des perturbations générales tragiques dès lors qu’un conflit éclate. Les cadres existants de protections des infrastructures critiques nationales risquent donc de ne plus être suffisants pour faire face à de tels risques. Les experts s’attendent donc qu’au regard de tels faits, les Etats et organisations internationales redéfinissent la protection des infrastructures critiques. Ce, en établissant des cadres internationaux coordonnés, ou à l’inverse, en enfermant encore plus les infrastructures nationales.

Pierre Delcher, directeur de l’équipe Cyber Threat Research explique « Globalement, les conflits internationaux tendent à accroitre les tensions dans le cyberespace, ce dernier supportant toute planification stratégique, tout effort diplomatique, tout acte militaire et toute expression d’opinion. Indépendamment du contexte politique conflictuel, l’inflation, les sanctions internationales et l’opportunisme financier encouragent plus que jamais les acteurs de la menace cyber à l’action et à l’innovation. De nouvelles surfaces de vulnérabilités ouvertes par l’IA, à l’exploitation massive croissante de vulnérabilités techniques avancées - y compris sur les téléphones mobiles, en passant par de nouvelles méthodes de contournement des outils de protection tels que les EDR, l’année 2024 constituera sans aucun doute un nouveau défi pour les défenseurs ».

Une volonté européenne de résilience et d’autonomie cyber

Face à ces menaces de plus en plus nombreuses, qui affectent des acteurs essentiels au fonctionnement de nos sociétés et de nos économies, la pression règlementaire va grandir, posant un nouveau défi aux responsables de la sécurité des systèmes d’information, pourtant déjà bien occupés.

Cette pression règlementaire sera particulièrement vraie en Europe mais également aux Etats-Unis. En effet, en 2024, la transposition de la directive NIS 2 renforcera la prise en compte de la cybersécurité dans tous les secteurs d’activités essentiels. De même, les régulateurs sectoriels (finance, défense, énergie etc.) continuent à renforcer les exigences de cybersécurité pour les entités de leurs secteurs. Cela impliquera de nouveaux enjeux pour les entreprises : la gouvernance, la prévention et la conformité à des règles de cybersécurité comme la déclaration des cyberattaques ou la mise en place de solutions de détection, même pour des acteurs qui ne se considéraient pas concernés par la cybersécurité. En effet, cela aura un impact particulièrement prégnant pour l’ensemble des acteurs de ce que l’on appelle « la chaîne d’approvisionnement » (supply chain) puisque cette directive concernera également les petites entreprises intervenant dans un secteur sensible ou travaillant auprès d’acteurs sensibles. En parallèle, le volet répressif des régulateurs tend également à s’accentuer, avec notamment des patrons d’entreprises victimes de cyberattaques, aujourd’hui poursuivis en justice car jugés coupables de négligence (SolarWinds, Vastaamo, etc.) et la directive NIS2 y contribuera directement.

Dans ce contexte, les critères de performance des outils, de confiance dans les solutions et experts, mais également d’autonomie stratégique dans la gestion des données sensibles, formeront alors un triptyque critique pour les entreprises.

Anouck Teiller, explique « La mise en application de directives telles que NIS 2 est essentielle pour la construction d’une cybersécurité européenne robuste et performante. Néanmoins, et on le voit souvent, ces nouvelles règlementations font peser sur les organisations de nouvelles contraintes qu’il est parfois difficile de prioriser. Comment choisir les actions de sécurisation à mener en premier ? Comment choisir des solutions de cybersécurité qui soient performantes et permettent une mise en conformité alors que la cybersécurité est étrangère à l’organisation ? Aujourd’hui, chez HarfangLab, nous sommes convaincus que ces responsabilités doivent être partagées par les organisations mais aussi par les éditeurs de solutions de cybersécurité. Notre rôle, face à cette menace croissante, est très clair : protéger toutes les organisations avec des outils à la fois performants, aidant à la conformité et garantissant la maîtrise des données aux organisations. C’est d’ailleurs notre approche de l’autonomie stratégique. »