Vous êtes victime d'une attaque ?
Lorsque les tensions géopolitiques s'intensifient, l'attention se porte principalement sur les conflits physiques, les perturbations économiques et les retombées politiques. Ce qui est souvent moins visible, mais qui se déroule déjà en parallèle, c'est la montée en puissance de la cyberactivité.
Dans ce blog, Richard Ford, directeur technique d'Integrity360, explique comment les conflits mondiaux entraînent une augmentation du risque cybernétique, pourquoi l'hacktivisme gagne du terrain et ce que les organisations doivent comprendre pour réduire leur exposition.
Qu'est-ce que l'hacktivisme et pourquoi est-il important aujourd'hui ?
L'hacktivisme est devenu une caractéristique essentielle des cyberconflits modernes, en particulier pendant les périodes d'instabilité géopolitique. Contrairement à la cybercriminalité traditionnelle, ces groupes ne sont pas principalement motivés par des raisons financières. Leurs objectifs sont idéologiques.
Richard Ford explique :
Le terme "hacktivisme" fait référence aux groupes de pirates informatiques qui sont motivés par des considérations politiques ou sociales, par l'idéologie ou par le désir de justice sociale ou de changement politique, plutôt que par des considérations financières.
Selon le groupe et/ou la motivation, les cibles sont généralement les gouvernements ou les grandes entreprises. Dans ce cas précis, il s'agit de groupes d'hacktivistes qui ont des liens avec l'Iran ou qui lui sont favorables, et qui sont déclenchés par les événements de ces dernières semaines. Dans ce cas, les hacktivistes iraniens chercheront à perturber les organisations gouvernementales, les services et la population des pays ciblés, en partie pour faire pression sur eux, mais surtout pour exercer des représailles".
Cela marque un changement dans la manière dont la cyberactivité est utilisée pendant les conflits. Au lieu d'incidents isolés, les attaques sont de plus en plus coordonnées et conçues pour avoir un impact sociétal plus large.
Richard poursuit :
La crainte actuelle est que les cibles probables de toute attaque, afin d'en maximiser l'impact, soient les infrastructures nationales critiques (INC). L'accent a été mis sur la sécurisation des ICN, avec l'adoption de la directive NIS2 dans l'UE et le futur projet de loi sur la cybersécurité et la résilience au Royaume-Uni, qui définit les exigences en matière de sécurité pour les fournisseurs et les opérateurs d'ICN.
Cette attention est d'abord motivée par l'impact considérable que peuvent avoir les violations, y compris la perte de vies humaines dans des cas extrêmes, mais aussi parce que ces environnements ont traditionnellement été très peu sécurisés et exploités en mettant l'accent sur les opérations et la disponibilité plutôt que sur la sécurité".
Les méthodes utilisées par les groupes hacktivistes
Dans le paysage actuel, les groupes favorables à des causes géopolitiques lancent des cyberopérations perturbatrices à un rythme soutenu. Leur objectif n'est pas seulement la visibilité. C'est la pression. En ciblant des organisations qui sous-tendent la vie quotidienne, ils cherchent à influencer indirectement les gouvernements en perturbant la population.
Richard Ford explique comment ces attaques sont généralement menées :
Les attaquants utilisent généralement une série de méthodes pour attaquer leurs cibles. Les attaques par déni de service distribué (DDoS) sont une technique d'attaque commune à l'hacktivisme, relativement facile et peu coûteuse à mettre en œuvre par l'intermédiaire des services du dark web.
Le dark web est une partie cachée, anonyme et cryptée de l'internet qui est connue pour ses marchés illégaux, et certains d'entre eux offrent des outils et des services aux attaquants dans le cadre d'une "chaîne d'approvisionnement".
Ces services ont considérablement abaissé la barrière à l'entrée pour les attaquants.
Les services DDoS donnent accès aux réseaux de zombies existants, qui sont des machines compromises à grande échelle, et permettent aux attaquants de cibler des sites web et des services avec des volumes de trafic extrêmement importants à un prix relativement bas, en les mettant hors ligne, même si c'est temporairement.
Toutefois, si les attaques DDoS sont très visibles, elles sont rarement les plus dommageables.
Bien que les attaques DDoS soient plus simples et plus faciles à mettre en œuvre, les attaques ayant un impact réel sont celles qui compromettent une organisation et visent à perturber ses systèmes à long terme. Il s'agit d'une attaque plus traditionnelle, qui commence souvent par un simple courriel d'hameçonnage ou l'exploitation d'une vulnérabilité, avant de se frayer un chemin jusqu'aux systèmes critiques pour lancer des attaques de type ransomware, en chiffrant, désactivant ou altérant les systèmes".
L'impact de ces attaques sur les organisations et les populations
L'impact réel de ces attaques dépend à la fois de la méthode utilisée et du type d'organisation ciblée. Si certaines attaques peuvent provoquer des perturbations temporaires, d'autres peuvent avoir des conséquences considérables.
Richard Ford explique :
La cible et le type d'attaque déterminent l'impact que peuvent ressentir les personnes et les organisations. En raison de leur relative facilité d'exécution, et parce qu'il s'agit d'une tactique typique des hacktivistes et des activités observées jusqu'à présent, les attaques DDoS sont les plus probables et pourraient mettre hors service les services web publics. Toutefois, la plupart d'entre eux disposeront d'une certaine forme de protection et l'impact ne sera que temporaire".
À l'extrémité la plus sévère du spectre, les conséquences deviennent beaucoup plus graves.
Le pire des cas, qui est moins trivial à lancer et à orchestrer avec succès, serait une atteinte aux infrastructures nationales critiques telles que l'électricité, l'approvisionnement en eau, les services de santé et l'approvisionnement en nourriture. Cela pourrait avoir une myriade d'effets et constituer l'impact le plus important ressenti par les populations".
Les récents cyberincidents survenus dans le secteur commercial donnent une bonne idée de la façon dont les perturbations peuvent s'aggraver.
L'attaque de Marks & Spencer au Royaume-Uni est un très bon exemple de cyberattaque, en particulier en termes de gravité et d'impact : les rayons sont restés vides et les clients n'ont pas pu passer de commandes. Bien qu'il s'agisse d'une attaque par ransomware à motivation financière, l'approche pourrait être très similaire dans le cas d'attaques contre des fournisseurs de CNI.
En outre, l'attaque de JLR qui a suivi dans les mois qui ont suivi M&S, liée aux mêmes attaquants, a été citée comme ayant eu un impact sur la croissance économique du trimestre. Il n'est donc pas nécessaire qu'il s'agisse d'une attaque contre la CNI pour avoir un impact significatif".
Le tableau d'ensemble : le cyber-opportunisme dans les conflits mondiaux
Si l'activité des hacktivistes fait la une des journaux, elle n'est qu'un élément d'une tendance plus large. Les conflits mondiaux créent des opportunités dans l'ensemble du paysage des menaces.
Alors que l'attention se concentre sur des acteurs ou des régions spécifiques, d'autres groupes opèrent en parallèle. Les acteurs alignés sur une nation, les cybercriminels et les attaquants opportunistes profitent tous de la distraction et de la complexité accrues. Il en résulte un chevauchement des menaces, une augmentation du volume des attaques et une plus grande probabilité de compromission.
Pour les organisations, cela signifie que les niveaux de menace évoluent rapidement en fonction des événements mondiaux, souvent sans avertissement.
Ce que les organisations doivent faire ensuite
Dans cet environnement, une approche réactive n'est plus suffisante. Les organisations doivent partir du principe que les cybermenaces augmenteront pendant les périodes d'instabilité géopolitique et se préparer en conséquence.
Pour ce faire, elles doivent
- de solides capacités de détection et de réaction
- une surveillance continue des systèmes et des chaînes d'approvisionnement
- une évaluation régulière des risques dans les environnements informatiques et technologiques opérationnels
- la capacité de répondre rapidement à des menaces multiples et simultanées.
Plus important encore, les organisations doivent aller au-delà de la seule prévention et se concentrer sur la résilience. La capacité à détecter, à répondre et à se rétablir rapidement est ce qui détermine en fin de compte l'impact d'une attaque.
Les conflits mondiaux d'aujourd'hui ne se limitent pas aux domaines physiques ou politiques. Ils s'étendent et commencent souvent dans le cyberespace, où de multiples acteurs opèrent simultanément avec des motivations différentes mais souvent des cibles qui se chevauchent.
Le cyber-opportunisme se développe dans l'incertitude et les périodes de tension géopolitique créent les conditions idéales pour une augmentation des attaques. Tout comme la sécurité physique, la cybersécurité doit être renforcée pendant ces périodes.
Les organisations qui reconnaissent ce schéma et se préparent à faire face à un paysage de menaces plus complexe et en évolution rapide seront bien mieux placées pour résister à l'impact. Celles qui ne le font pas risquent d'être prises au dépourvu, car les cyberconflits continuent d'évoluer parallèlement aux événements qui se déroulent sur la scène mondiale.
Si vous êtes préoccupé par l'une des menaces décrites dans ce blog ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger des menaces les plus importantes auxquelles votre organisation est confrontée, n'hésitez pas à nous contacter pour savoir comment vous pouvez protéger votre organisation.
