La rationalité froide des attaquants face à l’impréparation opérationnelle des entreprises

La rationalité froide des attaquants face à l’impréparation opérationnelle des entreprises

Photo de FLY:D sur Unsplash

Pour le cyber attaquant, seule compte sa propre finalité : mener à son terme l’attaque. Pour un cybercriminel : obtenir le paiement de la rançon, quitte à négocier. Car la structure de coût de l’attaquant est à l’image du modèle économique des startups SaaS : le coût d’attaque d’une entreprise supplémentaire se rapproche de zéro. Pire : le risque opérationnel de l’attaquant est très limité, protégé par plusieurs jurisdictions et de nombreuses couches technologiques entre sa cible et son “repère” numérique.

Paradoxalement, une attaque pourrait même être plus intéressante dans un contexte très réglementé : car l’opérateur de rançongiciel va menacer de révéler aux tiers (clients, autorités, médias) la fuite de données. Un tel “triple rançonnage” deviendra sans doute un mode opératoire courant pour les cibles les plus “appétissantes”. En février 2021, le groupe de rançongiciels REvil a annoncé qu’il allait ajouter deux étapes à son schéma d’extorsion : attaques par déni de service distribué (DDoS) et appels téléphoniques aux partenaires business de la victime et aux médias.

Que cela ne nous empêche pas de faire des efforts significatifs pour la conformité, car les entreprises la doivent aux régulateurs et à leurs clients. Mais il est dangereux de substituer la cyber-conformité à une cyber-sécurité opérationnelle. Car cette dernière est pilotée par trois indicateurs principaux : le délai moyen de détection, de triage et de récupération. Avec les efforts financiers adéquats.

Malgré les cas d'attaques et d’incidents observés depuis 20 ans, avec des modes opératoires pourtant parfois si proches dans cette période pourtant si large - en témoigne la comparaison des modes opératoires des attaques menées par Kevin Mitnick, jeune cybercriminel en solo, en 1994 et celle subie par le géant Twitter à l’été 2020, par des adolescents - on ne s’attaque pas suffisamment aux véritables causes. Elles résident avant tout dans l'organisation du sujet cyber dans les structures et plus généralement de son facteur humain. Car le sujet cyber est un sujet humain qui se cache derrière un problème technique (BCG). Ou, plus exactement, c’est à la fois un problème éminemment technique et un problème éminemment humain. D’où sa complexité.

Il faut dire que dans le domaine cyber, les moyens financiers sont trop rarement alloués véritablement en fonction des enjeux. Mais dans une approche réactive suite à incident. Ou corrective suite à un audit. Il s’agit pourtant de mener, proactivement, une véritable approche budgétaire centrée sur les risques, comme le défend McKinsey. Et d’aller plus loin : de bâtir, d’entraîner et de challenger des capacités pour faire face à ces risques, dans le même concept que celui des forces militaires. Qui n’est pas à confondre avec le principe d’une homologation de cybersécurité : celle-ci s’applique aux systèmes d’information sensibles, pas aux dispositifs propres à la cybersécurité.

Parmi ces risques, l’origine humaine représente 70 à 90% des sinistres déclarés aux assureurs spécialisés alors que seul 1 a 2% des budgets cyber sont réellement consacrés au facteur humain. En soi, la conclusion est choquante :

Les dépenses cyber se résument souvent à : tenter de noyer le problème sous de l’argent (throwing money at a problem).

Ce constat restera vrai tant qu’une méthode robuste d’appréciation de l’efficacité des budgets cyber (c'est-à-dire de calcul de ROI) n’est mise en place dans chaque entreprise qui veut traiter sérieusement le sujet. Méthode portant non seulement sur les risques (et pertes, fraudes), mais aussi sur les économies réelles et les opportunités saisies.