Alors que les entreprises touchées par le malware ExPetr peinent à retrouver une activité normale, et quelques semaines seulement après l’attaque du ransomware WannaCry qui a infecté près de 420 000 ordinateurs dans plus de 150 pays, il est temps de tirer les leçons de ce qui restera deux des campagnes les plus virulentes de ces dernières années. Il est encore trop tôt pour tirer le bilan global de la campagne de cyber menace ExPetr.
De nombreuses enquêtes sont toujours en cours, et le bilan ne pourrait véritablement être établi que quand le voile aura été levé sur les véritables objectifs des cybercriminels. Néanmoins, si la plupart des pertes ne peuvent être évaluées, certaines entreprises ont d’ores et déjà pu quantifier le coût des pertes dues à la paralysie totale ou partielle de leur activité, à l’image du port de Rotterdam dont le bilan s’élève à près de 170 millions d’euros de pertes par jour. Et ce, simplement par le fait du blocage de l’activité.
En ce qui concerne WannaCry, c’est un peu différent. Si l’on se concentre sur les chiffres uniquement, la gravité de l’attaque ne se mesure pas tant au montant des rançons versées, le total avoisinerait à peine les 100 000 dollars, mais plutôt au nombre de systèmes touchés en seulement quelques jours.
L’ampleur de WannaCry n’est pas inédite, pas plus que la virulence de ExPetr et le mystère qui l’entoure. Pourtant, ces éléments contribueront sans aucun doute à les faire entrer dans les annales de la cyber sécurité.
En ce qui me concerne, je préfère retenir de ces campagnes deux choses.
Tout d’abord, les dégâts qu’elles ont causés n’ont finalement été qu’un échantillon de ce qu’ils auraient pu être, et ce grâce à l’intervention de quelques spécialistes qui ont su réagir sans attendre. Dans les premières heures qui ont suivi le début de l’attaque WannaCry, c’est un chercheur en cyber sécurité de 22 ans, Marcus Hutchins, qui a acheté le nom de domaine utilisé par les cybercriminels pour activer le chiffrement des données de leurs victimes. Son geste, réalisé sans en imaginer les conséquences comme il le reconnait lui-même, stoppe la propagation de la campagne. Une semaine après, trois spécialistes français en informatique annoncent avoir trouvé un moyen pour sauver les documents Windows chiffrés. Au final, la réactivité et l’engagement de dizaines d’experts en cybersécurité à travers le monde a probablement sauvé des milliers d’entreprises.
Ensuite, il ne faut pas oublier que le succès de la campagne WannaCry telle que nous la connaissons, avec son ampleur exceptionnelle, s’explique aussi par le manque de compétences en matière de sécurité numérique dans les entreprises.
C’est pourquoi je m’inquiète, lorsque je constate la pénurie de compétences en cybersécurité, et le peu de moyens en place pour y remédier.
Le problème est que la cybersécurité n’est pas un domaine que la plupart des jeunes envisagent au moment d’établir leur plan de carrière, et ce problème est profond. Ceux qui sont doués pour les sciences au collège ne s’orientent pas toujours vers des études scientifiques ou technologiques au lycée. Parmi ceux qui le font, seuls quelques-uns s’intéressent à l’informatique et poursuivent dans cette voie à l’université. Quelques oiseaux rares opteront pour une carrière dans la cybersécurité. De fait, la plupart des étudiants en informatique se dirigent vers des métiers totalement différents, par exemple le développement et l’innovation, plutôt que des disciplines peut-être moins « attrayantes » qui impliquent l’analyse du code, la recherche d’anomalies, la surveillance des comportements suspects et la détection des vulnérabilités. Dans les rangs des diplômés, très rares sont ceux à l’être en cybersécurité ou dans un domaine apparenté.
Le manque de compétences dans une spécialité informatique n’est certes pas propre à la cybersécurité (essayez donc de recruter un ingénieur systèmes) mais, compte tenu de l’importance critique de la cyberdéfense et de la montée en flèche des cybermenaces, on peut aisément affirmer qu’il s’agit bien du déficit de compétences le plus inquiétant de tous à l’heure actuelle.
A en juger par l’état de panique du monde face aux menaces même les plus simples, le chaos sera d’autant plus considérable lorsque nos forces de cyberdéfense vont se retrouver en sous-effectifs et mal équipées pour faire face à des attaques plus complexes et planifiées. Or vous pouvez être sûr que ce type d’attaques se profile.
Dans ces conditions, où réside le problème ? Comment attirer davantage de jeunes gens doués dans cette discipline essentielle ? Faut-il commencer dès l’école ? Devons-nous mieux promouvoir les carrières dans la cybersécurité ? Est-ce du ressort des responsables politiques ? Ou bien des entreprises ? Ou encore des universités ?
J’aime à penser que le problème n’est pas insoluble. Si des cyberattaques aussi médiatisées que WannaCry et ExPetr doivent avoir un effet positif, c’est de mettre ce problème en lumière. Elles contraignent en effet les pouvoirs publics, les entreprises et les particuliers à agir. Allons-nous assister à une meilleure concertation des efforts pour renforcer les cyberdéfenses mondiales ? Il ne fait guère de doute que les budgets de sécurité informatique vont augmenter. Cependant la technologie ne constitue pas à elle seule la réponse. C’est la matière grise qui nous fait cruellement défaut. En termes simples, le monde a besoin de plus de cyberdéfenseurs.