Le déclenchement de la guerre sur le sol ukrainien a intensifié une autre guerre, cyber elle, qui se déroulait déjà depuis longtemps. Avec des risques notables pour les entreprises françaises. Tour d’horizon.

Dans le cyberespace, le théâtre d’opération ne connait pas de frontières. Si la guerre en Ukraine se situe aux portes de l’Europe, à moins de 2000km de la France, la distance est encore plus courte pour le numérique. La cyberguerre pourrait tout aussi bien se passer dans le bureau d’à côté.

A lire aussi : Guerre en Ukraine : plusieurs points de contacts dédiés aux entreprises affectées

Ainsi, dès le déclenchement des hostilités jeudi 24 février, les préfets français ont été appelés par le secrétaire général du ministère de l’Intérieur à ne pas s’éloigner de leur lieu d’affectation afin de pouvoir répondre en moins d’une demi-journée à des incidents qui seraient la conséquence du conflit. En particulier, c’est le risque de cyber attaque élevée qui a été pointé du doigt.

Une cyber-guerre déjà engagée depuis longtemps

L’agence nationale de la sécurité de l’information (Anssi) ne dit pas autre chose quand elle appelle toutes les organisations françaises à « la mise en œuvre des mesures de cybersécurité et le renforcement du niveau de vigilance sont essentielles pour garantir la protection au bon niveau des organisations ». Dans les faits, il n’est pas question d’une menace ciblée spécifiquement contre l’économie française, mais plutôt des craintes des conséquences de l’intensification d’une cyber-guerre qui se déroule depuis des années en arrière-plan des joutes diplomatiques, économiques et géostratégiques qui se sont cristallisées en Ukraine depuis 2014 et l’annexion de facto de la Crimée par la Russie.

Au micro de FranceInfo, le président du directoire d’Euronext, l’opérateur boursier européen, Stéphane Boujnah, a résumé le 24 février dernier sa perception inquiétante de la situation en appelant « chaque dirigeant d’entreprise » ainsi que « chaque ménage » à prévoir des « précautions pour renforcer la cybersécurité des systèmes d’information, qu’ils soient modestes, de bureautique, ou plus significatifs, liés à la production, ou plus systémiques, liés au cœur de l’activité ».

Alors que risquent vraiment les entreprises françaises ?

Pour apporter quelques éléments de réponses, il faut déjà regarder ce à quoi elles ont été déjà exposées par le passé du fait de la situation en Ukraine. En la matière, le CyberPeace Institute, organisme indépendant qui étudie l’impact des cyberattaques sur la société civile, s’est dernièrement livré à un exercice révélateur : créer une frise chronologique des cyberattaques qui ont touché notre voisin. Les attaques récentes sur les postes de contrôle au frontière, les médias ou même les fournisseurs d’accès Internet locaux, ne doivent ainsi pas faire oublier la diffusion de malware comme HermeticWiper depuis au moins le début de l’année, visant à détruire des systèmes d’information d’organisations, notamment financières, ayant des liens avec l’Ukraine. Il en va de même pour un autre malware « WhisperGate », qui a tous les atours d’un rançongiciel mais ne prévoit aucun mécanisme de récupération des données chiffrées par les attaquants ; parmi les victimes, de nombreuses entreprises de technologie.

Bien sûr, les premières organisations concernées sont ukrainiennes ; mais la frise du CyberPeace Institute rappelle à très juste titre l’inquiétant précédent de l’attaque dite « NotPetya » durant l’été 2017 : très similaire, celle-ci avait ses racines en Ukraine mais avait très rapidement fait des dégâts au sein d’entreprises françaises comme Saint Gobain ou Auchan. De fait, il y a bien des « effets rebonds » à craindre pour toute entreprise française. Des milliers d’abonnés français au fournisseur d’accès internet Nordnet en ont fait les frais, alors que le réseau satellite ViaSat, couvrant des pays européens et l’Ukraine, était mis en défaut du fait de la récente attaque massive sur les modems terrestres assurant la connectivité pour les usagers.

« On rentre dans une autre dimension. Une dimension risquée pour le moins »

On notera en particulier qu’il est très difficile d’attribuer spécifiquement des cyberattaques à un auteur en particulier ; cette démarche étant avant tout politique plutôt que la seule finalité d’une analyse technique. La France s’est d’ailleurs toujours refusé à pratiquer l’attribution publique.

En effet, la situation de guerre est synonyme de chaos et de désinformation massive (voir encadré plus bas), ce qui est exploité par tous les Etats, dans la continuation de luttes existantes sur le terrain ou dans le cyberespace. Elle l’est aussi par des criminels qui entendent se saisir des opportunités générées par la confusion. La crise pandémique a déjà montré à quel point une situation de tensions exceptionnelles était un terreau fertile pour des prises d’otages numériques ou des arnaques en tout genre.

Les entreprises françaises peuvent donc facilement devenir des « dommages collatéraux » d’une cyberguerre qui emmène de plus en plus d’acteurs dans la nasse. Ainsi, le groupe de hackers « Anonymous » a revendiqué ces derniers jours leurs propres cyberattaques sur des médias russes, après s’en être pris à des sites gouvernementaux. En période de guerre, les frontières entre ce qui relève du renseignement et de la cyberdéfense d’Etat et ce qui relève de la cybersécurité des entreprises, du militantisme ou de la criminalité se brouillent ostensiblement.

We are creating an IT army. We need digital talents. All operational tasks will be given here: https://t.co/Ie4ESfxoSn. There will be tasks for everyone. We continue to fight on the cyber front. The first task is on the channel for cyber specialists.

— Mykhailo Fedorov (@FedorovMykhailo) February 26, 2022

Sur LinkedIn, le médiatique expert Gérome Billois de Wavestone commente ainsi à juste titre : « Le mouvement lancé par les #Anonymous est assez classique et attendu ; mais avec les premières actions en Biélorussie (attaque sur l’opérateur ferroviaire), et maintenant l’#ITArmy lancé par le gouvernement Ukrainien, on rentre dans une autre dimension. Une dimension risquée pour le moins ».

L’initiative du média The Record, qui tente de suivre depuis la fin février les ralliements de groupe de hackers à l’un ou l’autre des camps et les conséquences qu’elles peuvent avoir, montrent à quel point la situation se complexifie de jour en jour.

Les entreprises doivent absolument muscler leur culture cyber

En France, le problème viendra peut-être du désintérêt pour la question cyber de la plupart des organisations qui ne sont pas des grandes entreprises.

« Il est important de noter que la cybersécurité n’est pas qu’une question de solutions technologiques, mais aussi une prise de conscience à tous les niveaux de la population du risque cyber ainsi qu’à la montée en maturité des utilisateurs dans ce domaine. La cyberdéfense doit être l’affaire de tous pour être efficace » rappelle ainsi Louis Vieille-Cessay du groupe Micro-Focus, dans une note en réaction à la situation en Ukraine.

La « culture cyber » est encore faible dans l’Hexagone, alors qu’en comparaison les Ukrainiens ont eu 8 ans pour renforcer leur vigilance, comme le rappelle Maria Avdeeva, directrice de recherche du think tank ukrainien European Expert Association. Présente à Kiev, elle a détaillé au téléphone pour Alliancy quelques aspects de cette maturité : “La société ukrainienne est résistance face à la désinformation russe parce que cela commencé en 2014 quand la Russie a occupé la Crimée et le Donbass. Aujourd’hui nous avons de brillants experts en cybersécurité et en sécurité de l’information qui s’organisent et travaillent ensemble pour disséminer de informations nécessaires. Le message principal est suivi et se repend dans tous les médias et réseaux sociaux, notre voix se fait entendre très fortement. Nous donnons autant d’informations que possible sur ce qui se passe pour que les gens voient ce qui se passe réellement ».

Pour la spécialiste, la lutte contre la désinformation a ainsi considérablement musclé la vigilance cyber, au sens le plus global, de toutes les strates de la société. Avec un effet sur la posture de cybersécurité dans le pays. Le site Politico a par exemple décrit comment l’Ukraine anticipait depuis plusieurs semaines pour protéger ses données. Les entreprises locales en bénéficie donc, au même titre que les autres citoyens.

Des boites à outils disponibles pour les organisations

L’Anssi mène un travail similaire de sensibilisation depuis des années. Mais si les plus grandes organisations ont considérablement transformé leur culture cyber, la situation reste compliquée pour les PME et les particuliers, malgré des initiatives comme cybermalveillance.gouv.fr pour les épauler.

Parmi les conseils de base fournit par l’Anssi afin d’aider les entreprises dans cette période de tension, on note cinq axes principaux :

1. Renforcer l’authentification sur les systèmes d’information
2. Accroître la supervision de sécurité
3. Sauvegarder hors-ligne les données et les applications critiques
4. Établir une liste priorisée des services numériques critiques de l’entité
5. S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque

Aux Etats-Unis, l’agence pour la cybersécurité et la sécurité des infrastructures (Cisa) n’a pas manqué pour sa part de prodiguer ses propres conseils et de lister des « ressources gratuites » utilisables par les entreprises, que ce soit en prévention d’attaques, pour renforcer sa détection, pour gérer la crise ou encore augmenter sa résilience globale. Une partie de ces outils sont open-source.

Du côté des PME, l’invité à notre dernière émission Coup de Boost, Pascal Le Digol résumait lui-aussi quelques incontournables pour les entreprises qui ne savent pas par où commencer.

Reste quoiqu’il arrive l’urgence d’observer avec attention l’évolution de la situation, car comme le fait bien remarquer Louis Vieille-Cessay « l’escalade du conflit avec l’OTAN peut nous faire redouter ce type d’attaques à grande échelle qui pourrait ainsi s’étendre au-delà du territoire ukrainien. Aussi lointaine que la ligne de front puisse nous paraître, nous pourrions subir des impacts majeurs sur des services publics, des infrastructures industrielles majeures ou toute entreprise, jusqu’aux TPE et PME, faisant partie d’une chaîne d’approvisionnement critique dans un effort de guerre. On pourrait assez vite retrouver des villes, des régions, ou même des pays entiers dans le chaos ». Chaque entreprise a donc tout intérêt à envisager l’impact que sa dépendance vis-à-vis du numérique pourrait avoir dans le cas où le conflit se prolongerait.