Le vendredi 7 mai 2021, Colonial Pipeline a suspendu ses activités après une vaste attaque par ransomware portée contre ses systèmes informatiques. Alors que cet oléoduc crucial pour l'approvisionnement de la côte Est a repris son activité, cette attaque vient brutalement nous rappeler que non seulement la menace croissante des attaques par ransomware est bien réelle, mais aussi que les infrastructures internationales sont vulnérables.
Depuis plus de 10 ans, les infrastructures critiques sont de plus en plus connectées à Internet. Cela présente bien évidemment des avantages, comme notamment la capacité à les exploiter à distance. Cependant, cela implique également que les systèmes dont nous dépendons pour notre alimentation en électricité, notre système de santé et notre sécurité nationale sont susceptibles d'être les cibles de cyberattaques. À cet égard, l'attaque de Colonial Pipeline devrait sonner comme un coup de semonce pour tous ceux qui n'ont pas conscience du danger et de signal d'alarme pour ceux d'entre nous qui étaient déjà sensibilisés à ces risques. Les infrastructures critiques évoluent lentement alors que la cybersécurité est de plus en plus vitale pour la sécurité nationale. Dans ce domaine, une année peut sembler une éternité et si les stratégies nationales sur les infrastructures essentielles ne sont pas mises à jour de manière régulière, elles seront, au mieux, obsolètes.
Les infrastructures essentielles vieillissantes du monde entier sont depuis longtemps vulnérables aux attaques. D'après certains rapports , les auteurs de ces cyberattaques parrainés par des États « cherchent à développer des moyens pour perturber les infrastructures essentielles de certains pays, comme l'approvisionnement en électricité, pour atteindre leurs buts ».
Cependant, un élément rend cette situation encore plus inquiétante : le fait qu'un groupe de cybercriminels « privé » puisse être à l'origine de l'arrêt de cet oléoduc. Par le passé, les actes de cyberguerre, tels que le ciblage des infrastructures, étaient l'apanage des États-nations. Cette attaque n'est pas sans rappeler les stratégies qui étaient alors mise en place avant l'avènement d'Internet, et pour lesquels les auteurs pouvaient encore être identifiés.
Cet événement met en exergue la récente recrudescence du nombre d'infrastructures publiques visées par des attaques par ransomware par des groupes de cybercriminels privés. Ces cyberattaques, qui prennent en otage des informations ou des systèmes jusqu'à ce qu'une somme d'argent ait été versée, sont de plus en plus complexes, sophistiquées et fréquentes à travers le monde.
Alors que l'apparition de l'« externalisation » n'était qu'une question de temps dans le domaine de la cybercriminalité, le succès des fournisseurs de Ransomware-as-a-Service (RaaS) visant les infrastructures ne manquera pas d'encourager les imitateurs et la concurrence. Le fait que des particuliers soient maintenant en mesure de porter gravement atteinte aux approvisionnements essentiels pour leur profit personnel est pour le moins troublant et fait peser, sur nos infrastructures vieillissantes, des menaces d'un tout nouveau genre.
Cependant, le perfectionnement des compétences de ces groupes de cybermercenaires met en lumière un risque à long terme bien plus grave pour l'ensemble des infrastructures de toutes les nations du monde. De nombreux rapports, dont notamment celui de BlackBerry intitulé « BAHAMUT : Hack-for-Hire Masters of Phishing, Fake News, and Fake Apps. », montrent ainsi que les groupes de mercenaires proposant des attaques de type APT sont de plus en plus faciles à contacter. Les tactiques, techniques et procédures (TTP) utilisées dans ces attaques commencent à ressembler aux campagnes extrêmement sophistiquées menées par les États eux-mêmes. Cela signifie que le profil et la répartition géographique des victimes potentielles se sont considérablement diversifiés. Par ailleurs, ces victimes apparaîtront comme de plus en plus « aléatoires » ou illogiques lorsqu'elles seront analysées pour en dégager les similarités. De plus, cette absence de similitudes rendra justement encore plus difficile l'identification des États-nations à l'origine des attaques, car leurs empreintes digitales auront en grande partie disparu.
Il est également intéressant de noter que l'interconnectivité de nos infrastructures commence à fournir un avantage asymétrique à certaines nations que nous considérons généralement comme hostiles. La Corée du Nord, par exemple, n'a pas eu les moyens de moderniser ses infrastructures contrairement à la majorité des pays occidentaux. Cela signifie qu'une grande partie de son infrastructure n'est pas connectée à Internet, ce qui la prémunit contre les cyberattaques. La menace unilatérale que représentent certains pays pourrait être le plus gros défi des années à venir.
Tout cela montre clairement que les États doivent revoir leur stratégie de cybersécurité - et rapidement. Les solutions classiques ne permettent plus de protéger les infrastructures essentielles et une approche réactive ne suffit tout simplement pas. Entre les pannes qui ont paralysé Colonial Pipeline et l'augmentation des doubles et triples extorsions, il est plus que jamais évident que de nouvelles mesures doivent être prises pour sécuriser et préserver ces systèmes. Ceci, d'autant plus que si cette attaque portée spécifiquement contre Colonial Pipeline ne visait qu'une seule entreprise, bien des infrastructures essentielles pourraient subir le même sort.
Les pays ne doivent plus se voiler la face concernant ces attaques et doivent sérieusement réfléchir à leurs modèles de résilience. Il est important de prendre conscience que la fréquence de ces cyberattaques ne va faire qu'augmenter et qu'au-delà de la simple poursuite des investissements dans les dernières technologies pour aider à contrecarrer ces menaces, il sera vital de disposer de plans de cyber résilience efficaces pour limiter leurs répercussions sur la vie des concitoyens. À long terme, cela rendra également les cibles intrinsèquement moins attractives aux yeux de ces cybercriminels.