Le secteur de l’énergie est composé d’infrastructures considérées comme vitales et assure des services essentiels pour un pays. Le secteur, marqué par une digitalisation croissante, est sans conteste une cible privilégiée des cyberattaquants avec des conséquences qui peuvent toucher par rebond la quasi-totalité des infrastructures et services de notre société. Si l’approvisionnement en électricité était interrompu durant plusieurs jours, d’autres services tels que le transport, la santé, les communications, ne pourraient assurer leurs fonctions.

 Un secteur en pleine transformation

Le secteur de l’énergie amorce une transition énergétique avec l’arrivée des énergies renouvelables. Elle s’appuie également sur de nouvelle façon de gérer l’équilibrage du réseau, essentiel au secteur et qui devient de plus en plus complexe. A chaque instant, la quantité d’électricité injectée sur le réseau doit être égale à la quantité d’électricité soutirée. Cette transformation induit une augmentation du besoin de flexibilité pour assurer la sécurité de l’approvisionnement et des investissements importants sur le réseau.  C’est l’objectif de concepts comme les Smart Grids qui rendent possible le pilotage de la consommation d’énergie et son optimisation pour le consommateur.

Pour répondre à cette transformation métier, l’industrie énergétique est en pleine transformation numérique qui bouleverse les modes de production, de transformation, de stockage, de transport et de consommation de l’énergie. Les technologies de l’information et de la communication ont permis d’optimiser la chaîne d’approvisionnement dans son ensemble.

Ainsi, on remarque le déploiement d’un grand nombre de dispositifs de l’internet industriel des objets (IIOT), avec une connectivité plus importante. Cette transition a déclenché une explosion sans précédent des données. Les entreprises du secteur de l’énergie doivent maintenant être plus agiles dans leurs décisions en exploitant efficacement ces données.

Une telle transformation expose l’industrie énergétique à des risques cyber accrus. Cette situation oblige à faire de la cybersécurité une priorité du secteur de l’énergie.

Prenons un exemple concret : pilotés à distance, les éoliennes et les panneaux solaires sont par nature des objets connectés. Ils doivent être accessibles à distance et par conséquent sécurisés. Seulement, ces nouveaux projets ne prennent pas systématiquement en compte dès la phase de conceptions l’ensemble des contraintes cybersécurité et des solutions techniques associées (protocoles sécurisés, des technologies d’accès appropriés…).

Un secteur de plus en plus visé

Faisons un peu « d’archéologie » de la cybersécurité liée au secteur : la découverte de Stuxnet en 2010 a créé une onde de choc au sein de l’industrie énergétique. Cette attaque a servi de projecteur sur des vulnérabilités inconnues.

En décembre 2016, une partie des habitants de Kiev et de sa périphérie a été privée d’électricité pendant environ 1 heure dû à la déconnexion de la sous station du réseau de transport électrique de Pivnichna. L’attaque a commencé dans le cadre d’une campagne de phishing massive survenue en juillet de la même année, qui a exploité une vulnérabilité de Windows XP. La panne a été causée par la commutation à distance des disjoncteurs de manière à couper l’alimentation.

Depuis plus une année sans évènement cyber. Un autre exemple : Les énergies renouvelables sont des nouvelles cibles pour les cyberattaquants. En 2019, dans l’Utah aux Etats-Unis, un réseau éolien et solaire a subi des pertes de connexion pendant 12 heures avec le centre de contrôle de l’entreprise, ce qui a provoqué des pannes d’électricité dans les foyers aux environs. Les cyberattaquants ont exploité une vulnérabilité connue sur des pare-feu non patchés provoquant un déni de service des équipements.

En 2021, les dirigeants de Colonial Pipeline, qui relie les raffineries à travers tous les Etats-Unis, ont décidé de bloquer toutes leurs opérations de distribution suite à la propagation d’un ransomware. L’entreprise a déclaré avoir payé 4,4 millions de dollars de rançon pour que les hackeurs fournissent un outil informatique permettant de rétablir leur activité ^[1].

Le secteur de l’énergie est un des secteurs les plus visés. Selon le rapport X-Force Threat Intelligence Index 2022 ^[2], en 2021, le secteur de l’énergie s’est classé comme le quatrième secteur le plus touché, avec 8,2% des attaques observées, derrière l’industrie manufacturière, le secteur de la finance et le secteur des services professionnels.

En 2021, les ransomwares ont été le type d’attaques le plus courant contre les organisations énergétiques avec 25% des attaques. Les entreprises pétrolières et gazières sont particulièrement touchées par ce phénomène. Les attaques de cheval de Troie (RAT), de DDoS et d’usurpation d’identité en entreprise (BEC) sont aussi fortement recensées avec 17% des attaques chacune.

Alors que les cyberattaques ont dans le cas le plus fréquent une visée lucrative et d’espionnage, l’industrie énergétique est aussi confrontée à des intentions de sabotage, parfois pour des raisons géopolitiques. Certains hacktivistes peuvent également représenter une menace en s’attaquant aux infrastructures critiques. L’actualité récente de déstabilisation majeures géopolitique en cours renforce ces risques.

Le secteur de l’énergie possède des infrastructures de biens essentiels. Dans un monde de plus en plus interdépendant, toute perturbation, même initialement limitée à une entité ou une zone géographique, peut produire des effets en cascade plus larges comme présentés ci-dessous :

Chaine d’Impact-Wavestone

Afin de lutter efficacement contre ces nouvelles menaces, les états et l’Union Européenne ont adopté des règlementations contraignantes pour assurer un niveau de cybersécurité renforcé sur les installations les plus critiques.

Quel rôle pour la règlementation ?

En France, l’autorité compétente en matière de cybersécurité est l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Pour répondre à l’accroissement des menaces, la stratégie de défense s’articule autour de la loi de programmation militaire depuis 2013 (LPM) afin de sécuriser les Opérateurs d’Importance Vitale (OIV). L’ANSSI insiste principalement sur des procédures d’homologation, de contrôle et de maintien en condition de sécurité des Systèmes d’Informations d’Importance Vitale (SIIV).

Au niveau européen, la volonté est aussi de protéger les organisations sensibles que sont les opérateurs de services essentiels (OSE) du secteur de l’énergie. Le point de référence pour la cybersécurité est actuellement la directive Network and Information System Security (Directive NIS). Elle a pour objectifs premiers d’accroître la coopération entre les Etats membres de l’UE, en facilitant l’échange d’informations stratégiques et opérationnelles, et d’améliorer la cyber-résilience des entités publiques et privées des secteurs essentiels tels que l’énergie. Ici, pour l’énergie, l’ENISA souhaite se prémunir des menaces de grandes envergures avec des réseaux de plus en plus transfrontaliers et interdépendants.

La complexité se trouve maintenant dans l’application opérationnelle de certaines mesures dans des milieux industriels où les équipements et moyens de production sont prévus pour durer plusieurs dizaines d’années. Ainsi, modifier les processus opérationnels d’exploitation et/ou les équipements pour y intégrer plus de cybersécurité est un réel défi. Les impacts de cette transition sont importants aussi bien en termes financier qu’en termes de modification des façons de travailler. Cela rend  le partage entre les acteurs de l’énergie d’autant plus primordial pour trouver des solutions pragmatiques et adaptées : architecture réseaux adaptés, solutions techniques compatibles avec le monde industriels, processus de gestion des vulnérabilités et mises à jour construites avec les équipes opérationnelles par exemple.

Conclusion

Compte tenu de la criticité des infrastructures, celles-ci sont des cibles de 1^er plan. Il est primordial que les acteurs métiers et cybersécurité du secteur de l’énergie communiquent sur les bonnes pratiques de cybersécurité, tirent les enseignements des précédentes attaques et contribuent à faire évoluer le niveau de protection globale. C’est dans ce contexte que le premier forum spécialement dédié aux acteurs de l’énergie « Cyber4Energy », se tiendra à Marseille le 30-31 mars 2022. Cet évènement sera l’opportunité pour les professionnels d’échanger sur les défis de la cybersécurité et les solutions spécifiques qui s’offrent au secteur.

Références :

[1] Etats-Unis : les oléoducs Colonial Pipeline ont versé une rançon de 4,4 millions de dollars à des hackeurs (lemonde.fr)

[2] X-Force Threat Intelligence Index 2022, IBM Security X-Force Threat Intelligence Index 2022 (ibm.com)

Cet article Secteur de l’énergie : Une obligation de cybersécurité face aux attaques pour garantir la fourniture de services essentiels est apparu en premier sur RiskInsight.

Cet article CERT-W Newsletter Février 2021 est apparu en premier sur RiskInsight.

Cet article CERT-W Newsletter Janvier 2021 est apparu en premier sur RiskInsight.

Un axe fondamental ne changera pas, c’est celui de la menace, par lequel toute démarche de réflexion stratégique doit commencer. De notre point de vue, sans surprise, le Ransomware restera la menace majeure à laquelle feront face les entreprises. Depuis la fin de l’année 2019 et les nombreux faits d’arme de Maze, Sodinokibi ou plus récemment Egregor, ces attaques destructrices sont combinées à des exfiltrations massives de données, ajoutant une nouvelle dimension au chantage opéré par les criminels. Tout le monde est touché : collectivités, PME et grands groupes internationaux, que ce soit en France ou ailleurs.

De plus, comme nous l’évoquions dernièrement auprès du journal Le Monde, les opérations des cybercriminels se sont fortement professionnalisées et leur assurent un retour sur investissement élevé. Ces financements leur permettront demain d’augmenter la profondeur et la technicité de leurs attaques et ils n’hésiteront plus demain à cibler les activités cœur des métiers des entreprises (réseau industriel, systèmes de paiements…). En 2021, le bras de fer pour le paiement des rançons devrait encore s’accentuer avec un réel penchant des groupes criminels à rendre leurs attaques largement visibles. Des prémices ont été observées cette année avec l’aide d’astucieux procédés : annonce d’une attaque via des publicités sur Facebook, négociation directe avec les patients de la cible, jusqu’à l’impression de la demande de rançon via les caisses enregistreuses en magasin… Il s’agira d’anticiper au maximum ces situations, que ce soit en les jouant durant des exercices de crise ou en préparant des réponses adaptées et réfléchies en amont.  

Outre l’hydre du rançongiciel, nos équipes sur le terrain envisagent pour 2021 une croissance forte de deux autres menaces. D’une part, les attaques indirectes, utilisant les services de tiers : les cybercriminels n’hésitent pas à contourner les mécanismes de sécurité des grands donneurs d’ordre en compromettant des partenaires moins protégés, ou en visant des fournisseurs de services informatiques. D’autre part, les attaques visant les systèmes Cloud devraient s’accélérer avec de nouvelles natures de compromission. L’exploitation des vulnérabilités liées à la gestion des identités et des accès (IAM), en particulier sur les API des fournisseurs, pour compromettre des périmètres chaque jour plus critiques pour les entreprises sera au cœur des incidents de 2021. Ce sujet représente aujourd’hui un réel challenge pour les équipes IT, encore trop peu familières  aux spécificités très fortement évolutives de ces plateformes.

Face à ces différentes menaces, le RSSI devra faire preuve d’agilité et de solidité, notamment dans sa maîtrise des fondamentaux sécurité (en particulier sur l’Active Directory, application des correctifs et l’authentification multi facteurs) et dans la démonstration concrète de ses capacités de cyber-résilience (avec des engagements de plus en plus exigés sur des délais de reconstruction et sur la capacité de résilience métiers sans IT). 

En parallèle, certains sujets seront au cœur des évolutions de la DSI et le RSSI pourra les transformer en opportunité pour la cybersécurité de son organisation. Nous pensons en particulier aux projets “Digital Workplace” mais aux travaux d’optimisation des moyens à disposition, qui seront forcément lancé dans ce contexte de réduction budgétaire. Les investissements des années précédentes en cybersécurité recèlent souvent de nouvelles fonctionnalités peu connues ou utilisés, en particulier dans le cloud, et en faire l’inventaire peut être un moyen de faire progresser la cybersécurité à coût réduit.  

Sur l’angle réglementaire, 2021 verra de nouveau s’accentuer les sujets liés aux frontières numériques (“Cyber borders”), voire au protectionnisme cyber. Il va ainsi nécessiter de prendre en compte de fortes exigences d’isolation et de protection des données mais aussi l’interconnexion à des systèmes nouveaux, voir inconnus (Alibaba en Chine, Yandex en Russie…) des réseaux des organisations.

Parmi les évolutions futures à garder à l’esprit, nous identifions trois tendances : le Zero-trust, le Confidential Computing, et l’Informatique Quantique dont vous trouverez les détails ci-dessous et sur lesquelles des actions de veille devraient a minima être prévues. 

La menace se complexifie, les moyens se restreignent… Le RSSI devra montrer son agilité en 2021 et composer avec de nombreux sujets tout en maintenant un cap stratégique clair : protéger son organisation contre les cybercriminels et accompagner, voire développer de nouveaux usages numériques ! 

La transformation numérique à marche forcée

Quels sujets émergeants anticiper en 2021 et au-delà ?

Une nouvelle approche entièrement dans le Cloud avec le Zero Trust

Promu par Forrester à la fin des années 2000, le modèle de sécurité Zero Trust a le vent en poupe ces dernières années. Pour rappel, ce système est à l’opposé de l’approche château-fort traditionnelle, qui visait à défendre le périmètre à l’aide de grands remparts (i.e. des pare-feu), mais est peu à peu devenue impuissante face aux nouvelles menaces.

En effet, la transformation numérique a eu des impacts en profondeur sur l’architecture des systèmes et les interconnexions avec des tiers. Dès lors, il n’est plus suffisant de se protéger uniquement de l’extérieur, la menace pouvant plus facilement utiliser l’écosystème de sa cible pour s’introduire dans ses systèmes et la compromettre. Gestion des accès, des identités, des comptes à privilèges sont des sujets particulièrement centraux dans le Zero Trust et qui répondent à de nombreuses problématiques d’aujourd’hui. En 2021, les entreprises continueront leur mouvement vers le cloud. C’est donc une vraie opportunité pour orienter progressivement les architectures et les systèmes sur le principe du Zero-Trust, ou, pour les retardataires, de commencer à défricher le sujet.

Une révolution dans la protection des données avec le confidential computing

Un des défis majeurs du Cloud reste la confiance avec ses différents partenaires, notamment pour les données les plus sensibles des organisations ou institutions. Pour répondre à cette problématique, des concepts comme le Confidential Computing et le data privacy by-design ont peu à peu émergé ces dernières années, ainsi que des solutions plus concrètes.

Parmi ces solutions, le chiffrement homomorphe permet à des algorithmes de chiffrer des données tout en laissant la possibilité d’effectuer des traitements sur celles-ci, réduisant donc fortement les risques de divulgation et fuite de données. IBM a un coup d’avance sur ce sujet et a partagé dès l’été 2020 une bibliothèque open source, HElib. Les jeunes pousses françaises Cosmian et Zama sont également actives sur cette thématique.

Enfin, une réponse originale à ces enjeux peut également être apportée par les données synthétiques. A l’aide d’algorithmes renforcés par de l’intelligence artificielle, les générateurs de données synthétiques comme celui proposé par la startup britannique Hazy permettent de créer des jeux de données gardant les caractéristiques et la logique de données réelles mais n’en étant pourtant aucunement. Un autre moyen pour éviter tout risque de fuite de données sur le Cloud !

La menace fantôme de l’ordinateur quantique

8 heures : c’est le temps qu’il faudra à un ordinateur quantique suffisamment puissant et fiable pour mettre à mal la sécurité de nos communications. Une course technologique internationale a déjà démarré et les entreprises et institutions doivent se préparer dès aujourd’hui, car les investissements seront lourds pour permettre les migrations techniques nécessaires. Quelles données doivent être protégées en priorité ? Quelles clauses inclure dans mes contrats dès aujourd’hui ? Quels acteurs peuvent accompagner dans ces migrations ?

De nombreuses questions se posent et doivent être répondues dès que possible. Une chose est certaine : le RSSI aura un rôle majeur dans cette révolution, s’il est un des premiers à sonner l’alarme et à anticiper les nombreux travaux qui seront nécessaires.

En France, des acteurs ont déjà pris en main comme la spin-off d’INRIA et Sorbonne CryptoNext-Security, déjà lauréate de plusieurs concours d’innovation et proposant une solution de cryptographie Quantum-safe, déjà testée par l’armée française pour une application de messagerie instantanée sur mobile.

Cet article RSSI, entre nouveau monde et menaces persistantes, quelles sont les priorités pour 2021 ? est apparu en premier sur RiskInsight.

L’identification et la cartographie des processus clés

Commençons par une définition du régulateur : la Banque Centrale Européenne définit la cyber-résilience comme la capacité à se protéger et à reprendre rapidement les activités en cas de succès d’une cyber-attaque. Cette définition a amené de nombreuses entreprises à adopter une vision à 360° sur le sujet (prévention, gestion de crise, reconstruction, continuité d’activité, etc.) à travers le prisme d’une cyberattaque concrète sur les processus clefs de l’entreprise. La nouveauté réside surtout dans le fait de centrer toute l’analyse sur les chaines métier critiques, encore faut-il les connaitre. L’identification et la cartographie des processus clés représentent souvent la partie la plus complexe d’un Programme de cyber-résilience. Et il n’y a malheureusement pas de méthode systématique : liste établie par la Direction des risques, décision du Directeur des opérations, recyclage des analyses d’impact sur l’activité, critères établis lors d’audits régulateurs, etc. Une chose est certaine, cette liste ne peut être établie par l’équipe cybersécurité dans son coin et nécessite d’impliquer les métiers au plus tôt dans la démarche.

Analyser la cyber-résilience d’une chaine métier : la méthode A.R.M.

La cyber-résilience d’une chaine métier peut être « améliorée » en agissant sur plusieurs paramètres : 1/ l’évitement de l’attaque, 2/ la reconstruction rapide, 3/ le maintien d’activité métier pendant l’attaque. Par conséquent de nombreuses entreprises ont structuré leur Programme de cyber-résilience autour des indicateurs A (AVOID), R (RECOVER) et M (MAINTAIN), permettant de cibler une menace à la fois. Bien évidemment, la plupart des initiatives actuelles travaillent sur des scénarios Ransomware (Ryuk, Maze, Sodinokibi, etc.).

A – AVOID [Eviter la cyber-attaque]

Il s’agit tout d’abord d’évaluer le niveau de résistance des chaines métier face aux menaces cyber redoutées. Le Framework ATT&CK est de plus en plus souvent utilisé ici et cet indicateur peut tout simplement correspondre au pourcentage de techniques utilisées par l’attaquant contre lesquelles la chaine métier est protégée (par exemple : la chaine est protégée contre 60% des techniques d’attaque utilisées par les groupes ransomware du moment). Le niveau d’assurance exigé diffère d’une entreprise à l’autre : même si la plupart des entreprises travaillent encore via auto-déclaration, il est possible d’intégrer dans la démarche une revue de preuves ou des audits Redteam pour fiabiliser les résultats.

R – RECOVER [Savoir reconstruire vite]

Il s’agit ensuite d’évaluer le temps de reconstruction de la chaine métier en cas d’attaque (par exemple : la chaîne peut être remontée en 9h après une attaque de type ransomware). Ce temps peut évidemment être différent d’une attaque à l’autre : destruction souvent restreinte aux systèmes Microsoft, possibilité d’utiliser les sauvegardes ou non, vérifications d’intégrité nécessaires après reconstruction, etc. Cela nécessite une analyse fine des impacts de chaque attaque étudiée. Attention, lors de la cartographie, il faut considérer la reconstruction de TOUS les assets impactés par l’attaque. On constate souvent que quelques assets spécifiques peuvent doubler ou tripler le délai de reconstruction global. Ici aussi, le niveau d’assurance exigé diffère d’une entreprise à l’autre : il est possible de travailler sur papier, mais le test de reconstruction réel est clairement la meilleure option pour se rassurer.

R – MAINTAIN [Maintenir l’activité métier]

Il s’agit enfin d’évaluer les capacités du métier à travailler en dégradé avant le retour à la normale. C’est un indicateur purement métier, évidemment différent d’un secteur et d’une chaîne à l’autre : il peut s’agir de transactions, de réception de colis ou d’un nombre de passagers en fonction du secteur et de la chaine choisie. Pour le calculer, il est nécessaire de travailler avec le métier sur l’hypothèse d’une indisponibilité long-terme de la chaine critique et d’évaluer le pourcentage de l’activité pouvant être délivrée d’une autre manière. Pour comprendre l’approche de manière théorique, et volontairement provocatrice : un processus métier vulnérable à une attaque cyber, mais dont l’activité peut être maintenue sans SI pendant quelques jours, nécessite-t-il réellement d’augmenter les investissements en cybersécurité ? C’est le type de sujet qu’un Programme de cyber-résilience doit permettre d’arbitrer.

La plupart des stratégies et Programmes de cyber-résilience sur le marché embarquent évidemment cette phase récurrente d’évaluation, en ajoutant au fil des années des menaces cyber et des chaines métier à analyser. Elles pilotent en parallèle un ensemble de projets de cybersécurité, IT et métiers permettant d’augmenter le niveau de résilience. Les Programmes les plus matures maintiennent également des catalogues de solutions permettant d’accélérer la démarche et d’améliorer le scoring des différents métiers (coffres-forts de données, sauvegardes standardisées, partenariats de place, solutions de repli métier mutualisées, etc.).

Nous l’avons vu, une stratégie de cyber-résilience embarque de multiples compétences : la filière cybersécurité pour sélectionner les menaces et évaluer la robustesse des chaines, les métiers pour choisir les chaines critiques et travailler sur la continuité d’activité, l’IT et le Plan de Continuité d’Activité (PCA) pour la gestion de crise et l’évaluation des capacités de reconstruction. La meilleure solution est d’héberger ce type de Programme directement au niveau de la Direction des Opérations, afin d’influer sur toutes ces filières. Or, en réalité, ces Programmes se structurent plutôt actuellement au niveau au niveau du RSSI ou de la Direction des Risques. La clé dans ce cas est de déployer une gouvernance efficace qui permette à toutes les parties-prenantes de rester dans leur domaine d’expertise.

Cet article La Cyber-Résilience, une opportunité pour rapprocher la cybersécurité et les métiers est apparu en premier sur RiskInsight.

Adresser le besoin de savoir et le besoin de rassurance

Soutenue par l’augmentation du nombre d’incidents et d’attaques sur les systèmes d’information, la crise cyber s’est installée dans l’espace public. La démocratisation de son champ lexical est ainsi un indicateur marquant de la place médiatique qu’a pris ce sujet. Fuite de données, ransomware, hacktiviste, DDoS, phishing, lanceur d’alerte, ces mots ont quitté les salles serveurs et les blogs spécialisés pour se faire une place dans les colonnes des journaux nationaux et dans le vocabulaire de la plupart des français. La crise cyber n’est plus un simple incident qualité silencieusement traité en interne et est devenue un événement qui suscite l’intérêt de tous les publics entraînant mécaniquement dans son sillage une crise de nature communicationnelle. Cependant, si la popularité nouvelle de cette thématique se décline logiquement dans l’accroissement de la couverture de ces crises, d’autres éléments justifient l’augmentation significative des sollicitations, qu’elles soient internes ou externes à l’organisation en crise.

Lorsque la crise cyber a pour conséquence la fuite d’une donnée par exemple, ce n’est plus seulement le sujet de la crise qui est médiatique, mais son objet même. De fait, lorsque la donnée fuite ou est volée, sa nature intrigue et suscite la curiosité, qu’il s’agisse d’une donnée personnelle, d’un secret d’état ou simplement d’une conversation privée. Cette mécanique engendre logiquement pour de nombreux publics tant le besoin de connaître l’inconnu, que de s’assurer de ne pas en être la victime. Ces deux besoins primaires de curiosité et de réassurance constituent les moteurs essentiels de la couverture médiatique et plus généralement incite le consommateur d’information, le partenaire, le client à combler ce besoin et à chercher à obtenir cette information. La même logique suppose que la source de cette information, en l’occurrence, le détenteur légitime de cette donnée adresse ces requêtes et communique sur l’incident.

Que ce soient des évènements stratégiques tels que des élections présidentielles ou des conversations privées du quotidiens via des médias digitaux qui sont compromis, l’effet médiatique de la crise se voit amplifié par le caractère extraordinaire de l’événement. Cela résulte tant de sa supposée impossibilité que de la confiance que le public lui confère. La rupture soudaine de la confiance placée en ces « institutions » d’importances majeures, érigées en bonne place dans une version 2.0 de la pyramide de Maslow, génère alors elle aussi l’intérêt et le besoin de savoir, traduits dans une explosion du nombre des requêtes et des demandes d’information à l’organisation en crise.

figure 1. Exemple de pyramide de Maslow

Guerre de communication entre l’attaquant et le communicant

La communication de crise cyber est ainsi un exercice particulier de par le sujet qu’elle traite, mais aussi de par la nature des acteurs en présence. De fait, quand des sommes incommensurables d’argent sont dérobées sans coup férir ou que des institutions tombent sous les attaques d’hacktivistes « citoyens », l’opinion voue une sympathie relative à l’encontre du héros moderne qu’est le pirate romanesque, le hacker hors la loi, le justicier anonyme.

Ce personnage public, conscient de son image et des codes du monde communicationnel, saura bien entendu se jouer de cet environnement. Ainsi, les méthodes mêmes des attaquants renforcent la place centrale de la communication dans la gestion des crises cyber. Les attaques aux motifs politiques, idéologiques et militants ne se limitent plus à la compromission d’un système mais envoient un message dont la publicité doit être maximale.

Cette appropriation manifeste des méthodes propres aux activistes s’illustre de plusieurs manières : Annonce d’un DDoS en amont, défacement d’un site internet, publication au fur et à mesure de preuves d’un vol sur les réseaux sociaux, diffusion d’informations telles que des échanges de conversations mails privés compromettants… Si les attaquants ont appris à maximiser l’impact réputationnel des attaques, ils utilisent aussi ce levier afin de perturber la gestion de crise de leur cible et générer un bruit qui leur fera gagner du temps une fois leur attaque découverte. Alors qu’un des facteurs clefs du succès d’une gestion de crise est la reprise en main du rythme de celle-ci et de la publication de nouveaux éléments, la crise cyber laisse inéluctablement ce pouvoir à un tiers malveillant.

Ce tiers peut aussi, si la compromission est profonde, altérer les moyens de communication de l’entreprise. Alors qu’elle tente de répondre à la nécessité de s’exprimer urgemment et largement, cette entrave peut lourdement affecter la fluidité de sa communication. Sans messagerie mail, comment diffuser un message à ses employés ? Sans réseaux sociaux, comment être au plus proche de sa communauté et répondre à ses questions ?

Restaurer le rapport de confiance par la communication

Fasciné par les attaquants et l’ampleur des attaques, le grand public n’en demeure pas moins intransigeant à une heure où la confiance et la donnée constituent la valeur même d’une entreprise. Intrinsèquement, la préservation de la première suppose la protection de la seconde. Lorsque l’organisation faillit à cet objectif, la communication de crise est seule en mesure de restaurer ce rapport de confiance duquel dépend l’avenir de la relation avec clients et partenaires qui continueront ou non à confier la garde de leurs données ou la gestion de leurs outils, ainsi que leurs services à une organisation.

Cette exigence de confiance entraine par ailleurs, lorsqu’elle est brisée, la recherche et la désignation rapide d’un responsable. Bien que la réalité des faits soit bien plus complexe, le grand public aura aisément tendance à supposer que les attaques informatiques sont rendues possibles par l’exploitation d’une vulnérabilité et donc d’une faute.

Une fuite de données, n’est ainsi pas uniquement perçue comme une attaque perpétuée par un tiers malintentionné, mais aussi comme une négligence dans la défense de l’entreprise victime du vol. Cette dernière se voit automatiquement désignée comme responsable et sa réputation en est logiquement impactée. Alors même que les attaquants se professionnalisent, que les attaques se complexifient et que l’absence de vulnérabilité est un mythe, la cyberattaque est aujourd’hui un sujet de gestion et de communication de crise à part entière. Du fait de son impact potentiel sur le quotidien du grand public et donc sa nature médiatique, elle force la victime, considérée comme co-responsable de sa perte, à s’exprimer.

Réaliser l’effort de simplicité pour mieux communiquer face à la crise

Au-delà de la définition d’une stratégie claire, partagée et opportune, la gestion de crise cyber avec son rythme particulier et les entraves causées par les attaquants doit être accompagnée d’une communication particulière qui suppose enfin un dernier travail : l’effort de simplicité.

Face à la crise cyber et comme pour tout type de crise, communiquer suppose d’être en mesure de traduire les évènements subis et les actions correctives menées en impacts clairs et de porter ce discours de façon cohérente. Bien entendu, la complexité des termes et des rouages d’une crise cyber rend cet exercice délicat et constitue une autre spécificité à prendre en considération.

Dans ce cadre, par sa capacité à traduire la cause technique en conséquence métier et plus généralement par son pouvoir vulgarisateur, le rôle du RSSI et de ses équipes est central. En situation nominale comme en temps de crise, la mission du RSSI est de porter cet effort de traduction des faits et des composantes techniques non seulement en impacts métiers mais en impacts compréhensibles et convaincants pour des publics diversifiés et non experts. Il ou elle peut ainsi être amené à concevoir, voire à porter les éléments de langage de communication de crise de la même manière qu’un représentant des ressources humaines sera exposé lors d’une crise sociale.

Sans présupposer de son exposition au journal télévisé d’une grande chaine de télévision, la parole des experts SI sera attendue sur les réseaux sociaux, sur les réseaux professionnels, dans la presse spécialisée ou en interne. En communication de crise, chacun est responsable de tous et tout un chacun doit s’y préparer.

Ainsi, le sujet cyber porte une puissance médiatique qui lui est propre ; dont la conséquence immédiate est l’augmentation considérable des attentes et des demandes d’informer émanant des différentes directions d’une organisation ainsi que du public externe. Si l’imminence de l’occurrence d’un incident SI implique une défense spécifique et une planification de la continuité des opérations, elle exige aussi l’anticipation de ces requêtes et une préparation active à cet effort global de communication.

Cet article La crise cyber, un sujet médiatique à part entière est apparu en premier sur RiskInsight.

Des risques bien réels : les exemples Jeep Chrysler et Tesla

Une voiture autonome, c’est par définition une voiture connectée : GPS, capteurs, accès Internet par 3G/4G… Tous ces éléments sont autant de portes d’entrée vers une voiture qui devient ni plus ni moins qu’un réseau où sont connectés des dizaines d’ordinateurs spécialisés. Ces derniers sont en charge de gérer les différents composants du véhicule. Volant, frein, accélérateur, tous doivent être informatisés pour que le « cerveau » de la voiture autonome puisse les diriger.

La combinaison de ces connexions externes et de l’informatisation des fonctions de conduites pose aujourd’hui des risques bien réels. Pendant longtemps jugées théoriques, la capacité d’attaque des voitures connectées a été démontré dans 2 cas emblématiques. Le 1^er visait une Jeep Chrysler, a l’été 2015. Charlie Miller et Chris Valasek ont montré comment, après plusieurs années de recherche, ils ont pu prendre le contrôle du véhicule de série à distance. En aout 2016, ils ont montré qu’ils pouvaient aller encore plus loin dans la capacité à contrôler les fonctions de pilotage. Le 2^ème a touché Tesla en septembre 2016, dans le même esprit une équipe de chercheurs Chinois de Tencent a réussi à piéger une Tesla et à en prendre le contrôle intégralement.

Derrière, les conséquences ont été lourdes : impact sur l’image des constructeurs et surtout programme de rappel coûteux pour Jeep Chrysler via l’envoi de clés USB aux millions de clients concernés. Tesla, plus habitué à l’environnement cyber, disposait de moyens pour mettre à jour ces véhicules à distances et a réussi en une dizaine de jours à couvrir ces failles. À noter que ce délai est particulièrement court par rapport au contexte actuel des objets connectés.

Une prise de conscience en progression

Ces deux démonstrations ont fait prendre conscience au grand public et aux constructeurs des enjeux de la cybersécurité. Beaucoup d’entre eux investissent et se renforcent sur cet aspect. Volkswagen vient par exemple d’investir pour créer la société Cymotive. Tesla a lancé historiquement un programme de « bug bounty » permettant aux chercheurs en sécurité d’être rémunérés s’ils trouvent des failles sur les véhicules, ceci pouvant éviter aussi que ces failles soient revendues sur les marchés noirs de la cybercriminalité.

Le crash test cyber ou comment bien choisir sa voiture autonome !

Tous les constructeurs ne sont pas au même niveau de prise de conscience et d’investissement. Mais alors comment en tant que particulier choisir une voiture qui sera « cybersécurisée » ? Aujourd’hui, au-delà de quelques papiers de recherche, il n’y a pas de moyens simples de répondre à cette question. Il serait temps que les organismes en charge des crash-test, tel qu’EuroNcap, s’empare du sujet et définissant des indicateurs de cybersécurité d’un véhicule ! Quelques éléments simples peuvent permettre d’évaluer le niveau de sécurité : niveau d’isolation des fonctions de pilotage de celle de connexion à Internet, capacité de mise à jour fiable et non bloquante, alerte du conducteur et du constructeur en cas d’attaque…

Ceci permettrait simplement, par un système d’étoiles compréhensible par tous, d’évaluer la cybersécurité des véhicules. Les clients pourraient alors faire leur choix en connaissance de cause. Et comme pour les crash tests habituels, cela mobiliserait les constructeurs sur la cybersécurité !

Cet article Crash test cyber : la solution pour sécuriser la voiture autonome ? est apparu en premier sur RiskInsight.