Rechercher
Fermer ce champ de recherche.

Vous êtes victime d’un incident de sécurité ? Contactez notre CERT

14/04/2022

Cybersecurity Insights

La menace de la Guerre Hybride – Utilisation du cyberespace dans la géopolitique

« Les armées doivent désormais, systématiquement, regarder le combat cybernétique comme un mode d’action à part entière dont les effets se combinent aux autres dans une manœuvre globale. »

– Ministère des Armées (2019)

L’importance des cybermenaces au sein des conflits étatiques

Au fil des années, les cybermenaces ont pris de plus en plus d’importance dans les conflits. On peut observer en parallèle de l’évolution technologique que les individus malveillants ont su les exploiter pour faire évoluer leurs activités.

L’état des lieux historique de la cybermenace nous permet de comprendre que les mesures de sécurité sont prises en réaction des cybermenaces.

L’émergence graduelle mais certaine de la menace

Pour comprendre les enjeux de la guerre hybride, il est nécessaire de comprendre l’écosystème dans lequel elle s’inscrit et cela passe par un travail de définition important. Les définitions françaises des termes suivants aident à mieux appréhender les concepts.

Cybermenace : Une cybermenace correspond au risque d’attaque de systèmes informatiques privés ou publics.

Cyberespace : Espace de communication constitué par l’interconnexion mondiale d’équipements de traitement automatisé de données numériques. 3 couches sont observables :

  • Une couche physique, constituée des équipements, des systèmes informatiques et de leurs réseaux ayant une existence matérielle ;
  • Une couche logique, constituée de l’ensemble des données numériques, des processus et outils de gestion et d’administration de ces données, ainsi que de leurs flux d’échanges ;
  • Une couche sémantique et sociale, constituée par les informations qui circulent dans le cyberespace et par les personnes qui peuvent disposer de multiples identités numériques.

Cyberdéfense : Ensemble des mesures techniques et non techniques permettant de défendre dans le cyberespace les systèmes d’information jugés essentiels. Certaines mesures peuvent selon les définitions être offensives.

Guerre Hybride : Une guerre mélangeant des moyens conventionnels, techniquo-militaire, utilisés lors des conflits avec des moyens qualifiés d’« irréguliers » pour influer sur les négociations. C’est un jeu d’influence.

Cyberattaque : Atteinte à des systèmes informatiques réalisée dans un but malveillant.

Références :

Quels sont les risques cyber ? | Gouvernement.fr

Qu’est-ce qu’une cybermenace ?| Vie publique.fr (vie-publique.fr)

Dugoin-Clément, Christine. « La guerre hybride en Ukraine », Revue Défense Nationale, vol. 793, no. 8, 2016, pp. 85-90.

Les 4 grands risques cyber majeurs pouvant affecter les particuliers, les administrations et les entreprises sont identifiés par l’ANSSI comme : la cybercriminalité, la déstabilisation, l’espionnage & le sabotage.

On identifie différents types d’attaquants qui ont tous des motivations et des moyens d’actions différents

Les individus isolés et les script kiddies, qui sont le plus souvent des étudiants ou des personnes apprenant de nouveaux moyens d’actions et ont pour motivation la recherche de reconnaissance et la satisfaction de relever un défi. Bien qu’ils soient le plus souvent peu précautionneux, ils peuvent néanmoins représenter un danger.

Les mafias ou organisations criminelles ont souvent de grands moyens d’action et cherchent à obtenir un avantage financier.

Les hacktivistes ont une motivation plus idéologique, ils cherchent à défendre une cause en portant atteinte à la réputation de leurs victimes.

Les groupes étatiques ont comme moyen d’action le sabotage, l’espionnage et la déstabilisation pour obtenir un avantage stratégique à l’échelle internationale.

Une étude américaine (commandée par HP) a observé entre 2017 et 2020 une augmentation significative des « incidents significatifs de sécurité informatique liés à des États-nations ».

L’étude conclut que : « les États-nations investissent de plus en plus de temps et de ressources à l’obtention d’avantages stratégiques cyber pour promouvoir leurs intérêts nationaux, leurs capacités de collecte de renseignements, et leur puissance militaire par l’espionnage et le vol ».*
*Les cyberattaques perpétrées par les États-nations ont doublé en trois ans, d’après une étude (usine-digitale.fr)

L’étude démontre également que les victimes sont « les entreprises à forte valeur ajoutée, telles que les laboratoires pharmaceutiques et les sociétés technologiques, sont les premières victimes de ces attaques d’ampleur (35%), suivies par l’industrie de la cyberdéfense (25%), les médias (14%), les institutions gouvernementales et organismes de régulation (12%) et les infrastructures critiques (10%). »*

A noter que c’est ce qui est observable hors conflit, il y a un choix stratégique dans l’exploitation des cibles. Dans le cadre d’une guerre traditionnelle, les attaques visent physiquement les points stratégiques de l’adversaire. Les cyberattaques également, elles peuvent paralyser les infrastructures critiques de l’intérieur (services étatiques, fournisseurs d’énergies, moyens de communications…) en utilisant des jalons dormants difficilement observable quand ils ne sont pas exploités (c’est pourquoi le chiffre de 10% est à relativiser) et faciliter la guerre de l’information.

En temps de paix, les cibles sont celles qui gardent les secrets. C’est la propriété intellectuelle de l’autre que l’attaque cherche à récupérer.

Les OIV (organismes d’importance vitale) et OSE (opérateurs de services essentiels) sont les cibles idéales (liste officiellement secrète), c’est pourquoi ils demandent un niveau de protection particulier.

Pourquoi les attaques prennent-elles autant d’ampleur ?

Une cyberattaque a aujourd’hui beaucoup plus de chance de devenir systémique : c’est-à-dire d’affecter d’un seul coup toutes les organisations liées par leur système informatique, ou en tout cas de connaitre une propagation rapide.

  • Cela en raison des dépendances et interconnexions qui existent entre les acteurs ;
  • Cela à plusieurs échelles : Nationale, Internationale, Interne à l’entreprise ou Interentreprise ;
  • En fonction de la faille exploitée : Soit au sein du SI d’une entreprise ou via une Supply Chain Attack.

En conséquence, on observe une évolution des revendications et des objectifs. Les cyberattaques deviennent plus que des moyens de perturbation : de véritables actes de guerre.

L’évolution des moyens humains, financiers (grâce à l’implication des grands groupes et des États) et techniques a rendu l’accès à ce moyen d’attaque plus facile, rapide et souvent plus économique.

L’apparition d’un nouveau type de conflit : la guerre hybride

Les interconnexions et interdépendances entre les nations offrent aujourd’hui une multiplicité de points de levier pour faire pression sur un État en dehors de la violence physique traditionnelle. C’est comme ça que naît la guerre hybride.

Cette stratégie militaire permet de faire la guerre de manière globale.

Thomas Gomart, directeur de l’IFRI (Institut Français de Relations Internationales) le définit ainsi : « La notion de guerre hybride aide à définir des conflits actuels qui combinent intimidation stratégique de la part d’États disposant d’armes de destruction massive, des opérations interarmées impliquant aussi des unités spéciales et des mercenaires, et des manœuvres de désinformation à grande échelle ».

C’est une nouvelle façon de vivre le conflit, qui implique l’ensemble de la population, les acteurs sont multiples et les conséquences s’observent partout. Autrefois les pires conséquences de la guerre étaient principalement visibles sur la zone de front. Aujourd’hui les impacts sont partout : il n’y a plus de lignes arrière identifiables.

La stratégie de la guerre hybride est analogiquement celle de la bulle : les protagonistes s’enferment dans le conflit car ils ont multiplié les moyens de l’entretenir.

Un des principes du droit de la guerre est la réponse proportionnée, les conflits sont une escalade de réponse où l’arme atomique fait office de limite, la stratégie offre de nouveaux échelons stratégiques permettant de faire durer le conflit et de s’affronter sur d’autres terrains comme les médias (guerre de l’information), la politique ou le cyberespace.

La fin du conflit est plus difficile à prévoir : on ne peut plus « simplement » retirer son armée. Les cyberattaques peuvent avoir des conséquences sur le long terme. Certains acteurs non satisfaits de la fin du conflit peuvent avoir envie de continuer la lutte.

La réaction des États face à la persistance de ce nouveau type de menaces

Une régulation internationale encore balbutiante

Des « groupes des experts gouvernementaux » (GGE) sur la cybersécurité se sont réunis à six reprises entre 2004 et 2021 afin d’arrêter une régulation internationale sur l’usage de l’arme cyber par les États.

Les GGE ont permis des avancées sur la régulation internationale, notamment en 2013, quand l’applicabilité au cyberespace du droit international et de la charte des nations unies a été votée par les 16 pays réunis.

Toutefois, les GGE peuvent aboutir à des normes facultatives et non-contraignantes, mais seul le conseil de sécurité peut émettre des normes obligatoires contraignantes, comme rappelé sur le schéma suivant.

C’est pourquoi le GGE a encouragé en 2015 et en 2021 le conseil de sécurité à reprendre le sujet afin de mettre en place des obligations contraignantes :

Compte tenu des caractéristiques uniques des technologies numériques, [le Groupe d’experts gouvernementaux] réitère l’observation formulée dans le rapport 2015 selon laquelle des normes supplémentaires pourraient être élaborées au fil du temps et note par ailleurs la possibilité, à l’avenir, de mettre en place des obligations contraignantes, le cas échéant.

De plus, les seize pays réunis représentaient moins d’un dixième des états-membres de l’ONU. C’est notamment la raison pour laquelle un retour en arrière a été constaté en 2015 : des pays qui n’avaient jusqu’alors pas été conviés aux GGE, comme Cuba, ont souhaité revenir sur des décisions des occurrences précédentes.

La stratégie française de cyberdéfense

En France

Entre 2019 et 2025, la loi de programmation militaire met à disposition des Armées un budget de 1,6 milliard d’euros pour « la lutte dans l’espace numérique ». Ce budget s’inscrit dans la volonté de l’État français d’affirmer la souveraineté de la France dans le cyberespace, au même titre que les autres espaces. C’est également pourquoi en 2016, le Commandement de la Cyberdéfense ou COMCYBER a été fondé.

Cette entité du ministère des armées, subordonnée au Chef d’état-major des Armées, a pour mission d’assister et de conseiller le ministre des Armées français vis-à-vis de la cyberdéfense, ainsi que de coordonner les activités de lutte informatique, comme nous le verrons plus tard.

En 2020, le COMCYBER comptait un effectif de 3400 « cyber-soldats » (dont 270 réservistes opérationnels) et 4000 réservistes citoyens. L’objectif fixé par la loi de programmation militaire pour 2025 est d’atteindre 4500 cyber-soldats.

Que représente le budget de 1,6 milliards d’euros attribué au ministère des armées pour la lutte dans le cyberespace ? Au total, la LPM met à disposition des armées 197,8 milliards d’euros sur la période 2019-2023, pour des besoins à hauteur de 295 milliards d’euros sur la période 2019-2025.

Source : loi de programmation militaire

Ainsi, moins d’un pourcent du budget alloué au ministère des Armées est alloué à la lutte dans le cyberespace. Toutefois, la cyberdéfense en France n’est pas portée exclusivement par le ministère des Armées. Notamment, le Secrétariat Général de la Défense et de la Sécurité National (SGDSN), rattaché au Premier ministre, joue un rôle important sur la scène française de la cyberdéfense. C’est en effet à cette entité qu’est rattachée la célèbre Agence Nationale de Sécurité des Systèmes d’Information (ANSSI). De plus, le ministère de l’Intérieur et le ministère de l’Économie, des Finances et de la Relance y participent également à travers leurs services de renseignement.

Comparons maintenant cette stratégie avec celle des autres grandes puissances que sont les États-Unis et la Russie, en tête de peloton dans la course à la lutte dans l’espace numérique.

Aux Etats-Unis

  • Le « United States Cyber Command » est opérationnel depuis le 21 mai 2010. Il est intéressant de noter que cette date coïncide avec la première cyberattaque étatique de grande ampleur, menée conjointement par les États-Unis et Israël : Stuxnet.
  • En mai 2011, l’administration Obama publie une stratégie intitulée International strategy for cyberspace. Cette stratégie développe notamment les liens entre la lutte dans le cyberespace et l’économie, les forces de l’ordre, l’armée, et la liberté et la vie privée sur Internet.
  • En 2022, le budget du US CYBERCOM est de 10,4 milliards de dollars (5,5 pour la cybersécurité, 4,3 pour les « opérations dans le cyberespace » et 510 millions pour la recherche et le développement), budget NSA exclus.

En Russie

Dès son arrivée au pouvoir en 2000, Vladimir Poutine dote la Russie de sa première doctrine de sécurité informationnelle. Fin 2011, soit peu de temps après la publication de la stratégie américaine, cette doctrine est renforcée avec la publication du document Points de vue conceptuels sur les activités des Forces armées de la Fédération de Russie dans l’espace informationnel.

La doctrine russe :

  • Est axée sur trois concepts phares : dissuader, prévenir et résoudre.
  • N’aborde pas la conduite d’opérations militaires offensives mais envisage clairement la mise en œuvre de la légitime défense « en accord avec les normes et principes de droit international ».
  • Est axée sur l’information elle-même, et pas seulement sur les systèmes d’information qui la contiennent :
    • Les médias traditionnels participent à part entière à la lutte dans le cyberespace comme forces de « contre-propagande » ;
    • Les « agences de trolling » ou « usines à troll » rémunèrent des internautes pour propager les informations pro-Kremlin sur Internet.

 
L’organisation de la cyberdéfense en France

La cyberdéfense regroupe la Lutte Informatique Offensive (LIO) et la Lutte Informatique Défensive (LID) :

Source : ministère des Armées

L’on notera que cette définition de la LIO par le ministère des Armées ne fait pas mention d’altérer l’intégrité des données, mais seulement leur disponibilité ou confidentialité. Or dans le même document, le ministère des Armées précise, comme nous le verrons plus tard, qu’un des objectifs de la LIO est la « modification des perceptions ou de la capacité d’analyse de l’adversaire », avec pour exemple l’altération des données d’un système de commandement ou encore la désorganisation des centres de propagande adverse.

Selon la revue stratégique de cyberdéfense, la cyberdéfense a six missions :

Prévenir

Faire prendre conscience aux utilisateurs du risque

Formations

Anticiper

Évaluer en permanence les probabilités de cyberattaques et prendre des mesures préventives

Gestion des risques

Protéger

Diminuer la vulnérabilité des SI

Gestion des vulnérabilités

Détecter

Rechercher des indices d’une éventuelle cyberattaque en cours

SOC

Réagir

Résister à une cyberattaque afin qu’elle n’empêche pas la poursuite d’activité

CERT

Attribuer

Préciser l’auteur d’une cyberattaque par des preuves ou indices

Politique

Ces missions sont réparties entre plusieurs acteurs :

Lutte informatique offensive (LIO)

La LIO a trois objectifs :

  1. Évaluation de capacités militaires adverses ;
  2. Réduction/neutralisation de capacités adverses ;
  3. Modification des perceptions ou de la capacité d’analyse de l’adversaire.

A cette fin, elle agit sur les trois couches du cyberespace, qui sont interdépendantes :

Physique :

  • équipements ayant une existence matérielle (notamment informatique, réseaux)

Logique :

  • Données et outils numériques
  • Flux d’échanges

Sémantique et sociale :

  • Informations qui circulent dans le cyberespace
  • Personnes (identités numériques)

La LIO peut avoir des effets dans chacune de ces couches. Ces effets peuvent être matériels ou immatériels, ainsi que temporaires, réversibles ou définitifs.

Exemples d’effets :

  • Couche physique : neutralisation d’un système d’armes ou autre site critique
    • En 2009, les gouvernements américain et israélien ont freiné le programme nucléaire iranien en neutralisant les centrifugeuses de la centrale de Natanz grâce au célèbre ver Stuxnet. Cet effet était toutefois réversible car l’objectif était la discrétion : les centrifugeuses n’ont donc pas été détruites.
  • Couche logique : perturbation de communications, indisponibilité de terminaux
    • En 2022, peu avant l’invasion de l’Ukraine par la Russie, ces derniers déploient le malware FoxBlade, un « wiper» destiné à effacer des données et rendre inopérants des terminaux.
  • Couche sémantique et sociale : collecte de renseignements
    • En 2020, plusieurs institutions américaines ont été touchées par une cyberattaque de type « supply-chain» via un hack nommé Sunburst, affectant le système de mise à jour du logiciel Orion de SolarWinds. Ces attaques ont, entre autres, permis une violation de données.

La lutte informatique offensive a plusieurs atouts :

  • Elle propose des modes d’actions discrets, efficaces et immédiats ;
  • Elle est capable de se substituer à d’autres modes d’action, de les préparer ou de les compléter ;
  • Elle permet une granularité des impacts pour une réponse proportionnée, et est donc un outil polyvalent en politique.

Lutte contre la désinformation

La désinformation est une atteinte à l’un des quatre piliers de la sécurité de l’information : l’intégrité. C’est également un outil de propagande majeur pour certains pays. Certaines puissances comme la Russie l’intègrent donc dans leur stratégie de cyberdéfense.

  • La propagande traditionnelle est d’autant plus facile avec la multiplication des médias en ligne, de la facilité de propagation des informations à partir de sources non nécessairement fiables, et des partages massifs de chaînes de messages.
  • Les trolls issus des usines à troll russes y contribuent massivement sur internet.

 

A ce titre, des services spécialisés dans la lutte contre la désinformation voient le jour. Par exemple, Viginum est un service français dépendant du SGDSN. Créé en juillet 2021, son objectif est d’atteindre 50 agents d’ici fin 2022. Bien que le service soit encore assez discret dans l’espace numérique, son défi est de « préserver le débat public des manipulations de l’information provenant de l’étranger sur les plateformes numériques ».

A l’échelle européenne, East Stratcom TaskForce, renommé European External Action Service, est un groupe de travail de l’Union Européenne spécialisé dans la désinformation en provenance de la Russie. Fondé en 2015, sa principale activité consiste à réfuter des fausses informations pro-russes sur le site euvsdisinfo.eu.

Références

  1. Revue Stratégique de Cyberdéfense, SGDSN (12 février 2018)
    http://www.sgdsn.gouv.fr/evenement/revue-strategique-de-cyberdefense/
  2. Éléments publics de doctrine militaire de lutte informatique offensive, ministère des Armées (2019)
    https://www.defense.gouv.fr/content/download/557389/9657802/Lutte%20informatique%20offensive%20(LIO).PDF
  3. Politique ministérielle de lutte informatique défensive, ministère des Armées (2019)
    https://www.defense.gouv.fr/content/download/557388/9657794/Lutte%20informatique%20d%C3%A9fensive%20%28LID%29.PDF
  4. The Sixth United Nations GGE and International Law in Cyberspace (justsecurity.org)
  5. International Cyber Law Politicized: The UN GGE’s Failure to Advance Cyber Norms – Just Security
  6. https://documents-dds-ny.un.org/doc/UNDOC/GEN/N18/465/02/PDF/N1846502.pdf
  7. A/76/135. Soixante-seizième session Point 96 de la liste préliminaire Progrès de l’informatique et des télécommunications et sécurité internationale – Groupe d’experts gouvernementaux chargé d’examiner les moyens de favoriser le comportement responsable des États dans le cyberespace dans le contexte de la sécurité internationale, 14 juillet 2021
  8. EU vs Disinfo About – EU vs DISINFORMATION
  9. Viginum, vigilance et protection contre les ingérences numériques étrangères | Secrétariat général de la défense et de la sécurité nationale (sgdsn.gouv.fr)

Alban RECLY

Consultant Governance, Risks & Compliance

Alia SAADI

Consultante Governance, Risks & Compliance

Voir les derniers Cybersecurity Insights

22 mai 2024
« Ou comment préparer sans douleur et sans stress sa conformité à la Directive Européenne NIS2 et à sa transposition française par une approche de Cybersécurité »
14 mai 2024
2024 is the year of elections. But how does it impact the threat landscape? Almond would like to share a new series to keep track of this year's threats.
13 mai 2024
Le règlement « Digital Operational Resilience Act », également connu sous l’acronyme DORA, a pour objectif d’amener les entités financières à évaluer puis à mitiger leurs risques de dépendances aux technologies de l’information et de la communication (TIC). Complétant les dispositifs réglementaires existants, DORA exige la mise en place d’une série de mesures, dont certaines doivent être accomplies régulièrement.
29 avril 2024
2024 is the year of elections. But how does it impact the threat landscape? Almond would like to share a new series to keep track of this year's threats.
23 avril 2024
Evènement international d’exception, loi d’exception. A l’aube des Jeux Olympiques 2024, la France est devenue le premier pays de l’Union européenne à légaliser la surveillance biométrique.
17 avril 2024
Une attaque se déroule en 7 minutes ! Connaître son ennemi, une exigence pour rester dans la course face à une menace cyber plus que jamais présente ▶ Téléchargez le Threat Landscape 2023-2024 d'Almond.
2 avril 2024
2024 is the year of elections. But how does it impact the threat landscape? Almond would like to share a new series to keep track of this year's threats.
22 mars 2024
Almond est fier d’avoir renouvelé sa qualification PASSI RGS, sous la tutelle de l’Agence Nationale de la Sécurité des Systèmes d’information.
28 février 2024
Ce Cybersecurity Insight a pour but de présenter les enjeux relatifs à la nouvelle extension de TLSv1.3 qui devrait être normalisée prochainement.
21 février 2024
Les dernières annonces de Google et Yahoo concernant le durcissement des règles de délivrabilité des emails risquent de perturber votre prochaine campagne marketing.

Nous vous souhaitons de joyeuses fêtes de fin d’année hautes en couleur et à l’année prochaine pour une année 2024 exaltante ! 🎉

🎁 Merci à tous pour votre participation au quiz de l’avent, nous contacterons le gagnant très prochainement.

🎅 Chez Almond, l’esprit festif des fêtes de fin d’année est arrivé en avance !

Nos collaborateurs ont profité d’une soirée chaleureuse et joyeuse dans l’un des restaurants les plus spectaculaires de Paris, Le Cirque avec un cocktail dinatoire, des surprises et un Secret Santa.

Et un peu plus de magie de Noël ? Almond a également ouvert ses portes aux familles de nos collaborateurs pour une après-midi conviviale autour de l’arbre de Noël. Les enfants ont été captivés par des contes enchantés, de 1001 contes Constance Felix et ont savouré un goûter délicieux avec des chocolats chauds préparés par les Empotés. Le Père Noël a distribué des coloriages géants et des cadeaux pour le plus grand bonheur des enfants 🎁

Jour 23 : Quel est l’un des avantages de la communication et de la concertation des parties intéressées dans le processus de gestion des risques liés à la sécurité de l’information ?

  • Réponse 1 : La comparaison des résultats réels du processus de gestion des risques avec les résultats prévus lors de l’évaluation des risques.

  • Réponse 2 : Elle permet de prendre en compte différentes perspectives lors de l’établissement des critères de risque et l’évaluation des risques.

  • Réponse 3 : L’assurance que tous les risques soient communiqués à toutes les parties intéressées, quelles que soient la nature et la sensibilité de ces risques.

Laïus explicatif : La mise en place d’un processus de communication et de consultation en matière de gestion des risques liés à la sécurité de l’information a pour avantage l’amélioration des connaissances des employés concernant les risques et le processus de gestion des risques, la prise en compte de différentes perspectives lors de l’établissement des critères de risque et de l’évaluation des risques, l’amélioration de la gestion du changement au cours du processus de gestion des risques, et la garantie que chacun comprend son rôle et ses responsabilités.


Précision : une partie intéressée (le terme « partie prenante » est admis) est une personne ou un organisme susceptible d’affecter, d’être affecté ou de se sentir lui-même affecté par une décision ou une activité (extrait de la norme ISO 27001).
Les parties intéressées externes peuvent inclure les régulateurs et législateurs, les actionnaires, y compris les propriétaires et investisseurs, les fournisseurs, y compris les sous-traitants, consultants et partenaires d’externalisation, les associations industrielles ou autres, les concurrents, les clients et consommateurs, et les groupes d’activistes.
Les parties intéressées internes peuvent inclure les décideurs, y compris la direction générale, les propriétaires de processus, de systèmes et d’informations, les fonctions de soutien telles que l’informatique ou les ressources humaines, les employés et les utilisateurs, et les professionnels de la sécurité de l’information.

Jour 22 : CTF #4 de l'avent

Voici la solution du CTF #4 de l’avent

  • Flag : CWATCH{A_MAGICIAN_AMONG_THE_SPIRITS-HOUDINI}

Jour 21 : En communication de crise, qu’appelle-t-on l’effet « streisand » ?

  • Réponse 1 :  Une technique de réponse face aux journalistes

  • Réponse 2 :  Un phénomène médiatique involontaire

  • Réponse 3 :  Une posture de communication non-verbale

  • Réponse 4 :  Une stratégie de communication en temps de crise

Laïus explicatif : En communication de crise, l’effet « streisand » est un phénomène médiatique qui se produit lorsqu’une organisation souhaite cacher, supprimer ou censurer des informations la concernant et que cela la conduit à une augmentation involontaire de la visibilité de ces informations.

Ce phénomène fait échos à la chanteuse et actrice américaine Barbra Streisand. En effet, en 2003, Barbra Streisand avait essayé de supprimer une photographie de sa résidence en Californie et cela a conduit à une plus grande attention portée à cette photographie. Cet effet prend souvent de l’ampleur grâce à la couverture médiatique, le bouche-à-oreille ainsi que les réseaux sociaux (qui vont propager l’information encore plus rapidement).

 

Exemple d’entreprise :

En novembre 2022, la FNAC s’est retrouvée au cœur d’un débat politique lorsqu’elle a mis en vente un jeu intitulé « Antifa ». Il propose aux joueurs d’incarner des militants chargés de déjouer les « exactions d’extrême droite » en leur opposant « une résistance de force égale ou supérieure ». À la suite de cette polémique, la FNAC a décidé de retirer le produit de ses ventes le dimanche 27 novembre 2022 puis, après « analyse », de le remettre en vente le 29 novembre.

La polémique générée par les critiques d’extrême droite a permis de mettre en lumière le jeu alors qu’il aurait pu passer sous les radars.

En voulant arrêter la polémique naissante sur les réseaux sociaux, l’entreprise a pris l’option risquée de réagir très vite par le retrait temporaire du jeu afin d’analyser son contenu. Elle s’est ainsi retrouvée au cœur d’un débat politique.

 

Notre opinion :

Afin d’éviter l’effet « Streisand », il faut mettre en place des veilles médiatiques régulières pour surveiller et analyser le contexte médiatique. De plus, il faut évaluer avec soin l’information en question, en se demandant si cette information est vraiment susceptible de causer un préjudice important et si la tentative de censure est justifiée.

Néanmoins, il faut avoir en tête qu’avec l’évolution des médias et la rapidité de diffusion de l’information, chercher à supprimer une information met davantage les organisations sous le feu des projecteurs. Ainsi, il faut parfois relativiser et accepter que cette information ait été diffusée. C’est grâce à l’analyse du contexte médiatique que les entreprises pourront évaluer l’impact que peut avoir cette information dans les médias et ainsi décider de communiquer ou non.

Jour 20 : Quel type d’attaque consiste à intercepter et à lire les informations sensibles, telles que les identifiants de connexion, en transit entre un utilisateur et un site web ?

  • Réponse 1 : Attaque par déni de service (DDoS)

  • Réponse 2 : Attaque par force brute

  • Réponse 3 : Attaque par interception (Sniffing)

  • Réponse 4 : Attaque de phishing

Laïus explicatif : Une attaque par interception, également connue sous le nom de “sniffing”, est une méthode utilisée par les cybercriminels pour capturer et inspecter les données qui sont transmises sur un réseau.

L’attaquant utilise un logiciel d’interception de paquets (sniffer) pour capturer les données à mesure qu’elles passent sur le réseau. Ces données peuvent inclure des informations sensibles telles que des noms d’utilisateur, des mots de passe, des numéros de carte de crédit, etc.

Jour 19 : Quelles sont les différentes briques fonctionnelles composant habituellement les plateformes SASE (Secure Access Service Edge) ?

  • Réponse 1 : XDR (Extended Detection & Response), IDS (Intrusion detection System), CRL (Certificate Revocation List), ZTNA (Zero-Trust Network Access), anti-SPAM

  • Réponse 2 : SD-WAN (Software-Defined WAN), ZTNA (Zero-Trust Network Access), Bastion, EDR

  • Réponse 3 : SD-WAN (Software-Defined WAN), CASB (Cloud Access Security Broker), SWG (Secure Web Gateway), FWaaS (Firewall-as-a-Service), ZTNA (Zero-Trust Network Access)

  • Réponse 4 : SDS (Santa Detection System), CaaS (Chocolate as a Service), STAR (haut du sapin), CD-TTWU (Children-Defined Time to Wake Up), XMS (Extended Meals & Stomach)

Laïus explicatif : Gartner définit le SASE comme la convergence entre le réseau et la sécurité, incluant SD-WAN, SWG, CASB, NGFW et zero trust network access (ZTNA). Certains fournisseurs de plateforme SASE prévoient d’étendre leurs offres en y intégrant EDR et XDR.

Jour 18 : Quels types de données une solution DLP vise-t-elle généralement à protéger ?

  • Réponse 1 : Uniquement les données personnelles des employés.

  • Réponse 2 : Toutes les données, indépendamment de leur sensibilité.

  • Réponse 3 : Uniquement les données stockées sur des serveurs internes.

  • Réponse 4 : Les données sensibles et confidentielles, telles que les informations financières ou médicales.

Laïus explicatif : Les stratégies et solutions DLP visent généralement à protéger les données sensibles et confidentielles, telles que les informations financières, médicales, ou tout autre type de données qui, si perdues ou compromises, pourraient causer des dommages importants à une organisation.

Jour 17 : D'après Hyperproof, quel est le pourcentage moyen de non-respect des réglementations en matière de protection des données telles que le RGPD et des faiblesses des mesures de cybersécurité entraînant des vulnérabilités dans la protection des données de l'entreprise et des clients, observé dans les entreprises du secteur technologique ?

  • Réponse 1 : 10%

  • Réponse 2 : 25%

  • Réponse 3 : 40%

  • Réponse 4 : 55%

Laïus explicatif : Une étude récente menée par Hyperproof (logiciel de gestion de la conformité) parmi les 1029 personnes interrogées a montré que 25% des entreprises technologiques font face à des problèmes de non-conformité chaque année. Elles ont connu au moins une violation de la conformité ou un manquement, comme un non-respect des réglementations en matière de protection des données telles que le RGPD et des faiblesses des mesures de cybersécurité entraînant des vulnérabilités dans la protection des données de l’entreprise et des clients. Cela montre l’importance d’une gestion efficace des risques et de la conformité pour éviter les sanctions et maintenir une bonne réputation. Les entreprises doivent investir dans des formations, des audits réguliers et des technologies de surveillance pour s’assurer qu’elles restent dans les limites des réglementations en vigueur.

Jour 16 : Quelle fonctionnalité d’un serveur proxy permet à un administrateur réseau d’exposer des sites web hébergés sur son réseau à des utilisateurs externes ?

  • Réponse 1 : Proxy de transfert

  • Réponse 2 : Protocole HTTP

  • Réponse 3 : Protocole proxy

  • Réponse 4 : Proxy inverse

Laïus explicatif : Un proxy inverse peut être un serveur ou une application qui se place devant un serveur Web pour intercepter et inspecter les demandes entrantes des clients avant de les transmettre au serveur Web. Ce serveur permet aussi de renvoyer la réponse du serveur au client (par exemple, les navigateurs web).

Les solutions de proxy inverse sont généralement déployées pour améliorer la sécurité, les performances et la fiabilité.

Le protocole HTTP décrit la méthode de communication client/serveur afin d’échanger différentes ressources qui composeront un site Web.

Le protocole proxy décrit la méthode d’encapsulation qui permet de conserver les informations d’origine du client au sein de l’échange TCP « proxifié » entre le client et le serveur Web.

Avec un proxy de transfert, contrairement au Proxy inverse, l’utilité va être de protéger les utilisateurs et non les serveurs Web. Le proxy de transfert va intercepter les requêtes des utilisateurs à destination des serveurs Web afin de bénéficier d’une meilleure confidentialité et de contrôler l’accès à certaines catégories de contenus.

Jour 15 : CTF #3 de l'avent

Voici la solution du CTF #3 de l’avent

  • Flag : CWATCH{02/12/2021_18:50:00}

Jour 14 : Quel principe directeur d’ITIL prend en compte l’importance de la fidélisation des clients ?

  • Réponse 1 : Progresser de manière itérative grâce aux feedbacks
  • Réponse 2 : Commencer là où vous êtes
  • Réponse 3 : Optimiser et automatiser
  • Réponse 4 : Se concentrer sur la valeur

Laïus explicatif : Le principe « privilégier la valeur » implique que toute initiative de l’organisation doit être liée, directement ou indirectement, à la valeur qu’elle dégage pour les parties prenantes. Il englobe plusieurs perspectives, notamment l’expérience des clients et des utilisateurs.

Jour 13 : Qu'est-ce que l'ingénierie sociale dans le contexte de la cybersécurité ?

  • Réponse 1 : Une méthode de construction de logiciels de réseaux sociaux sécurisés
  • Réponse 2 : L’utilisation de technologies dans la sécurité des réseaux sociaux
  • Réponse 3 : Un protocole de sécurité pour les ingénieurs
  • Réponse 4 : Une méthode frauduleuse d’obtention d’informations

Laïus explicatif : L’ingénierie sociale est un processus frauduleux visant à tromper les individus pour obtenir certaines informations personnelles ou confidentielles, voire un accès direct à un système informatique. Il consiste souvent à se faire passer pour quelqu’un d’autre, tout en jouant sur des ressorts psychologiques.

Les attaques d’ingénierie sociale sont courantes et peuvent prendre différentes formes, telles que le phishing, le vol par diversion, le SMiShing (phishing par SMS), le pretexting, l’arnaque sentimentale (honeytrap), le tailgating/piggybacking etc.

Jour 11 : Parmi ces données, lesquelles seraient selon vous les plus attractives pour un cyberattaquant ?

  • Réponse 1 : Des informations de quelques clients (nom, prénom, adresse physique, email, téléphone)

  • Réponse 2 : Une liste d’une vingtaine d’emails professionnels

  • Réponse 3 : Une carte « black » avec adresse du propriétaire et CVV

  • Réponse 4 : Un numéro de carte bancaire

Laïus explicatif : La carte « black » et ses détails sera plus attractive pour un cyberattaquant car ce type de carte appartient généralement à des personnes avec un certain niveau de revenu ou des personnalités publiques. Le cyberattaquant pourra directement frauder ou vendre ces informations à un prix plus élevé qu’un numéro d’une carte bancaire lambda sur le marché noir. Les données à caractère personnel commencent à devenir rentables lorsqu’elles sont nombreuses, récentes, réutilisables et couplées à d’autres types de données (données de santé et données bancaires notamment). La donnée peut servir divers objectifs bien souvent motivés in fine par l’appât du gain :

  1. La fraude financière
  2. Le détournement pour d’autres cyberattaques (campagne de phishing, usurpation d’identité)
  3. La revente à des plateformes de marketing : filon davantage exploitée par les GAFAM

Jour 12 : CTF #2 de l'avent

Voici la solution du CTF #2 de l’avent

  • Flag : CWATCH{JAN_FABRE}

Jour 10 : Parmi ces 4 choix, lequel définit le mieux une Due Diligence IT/Cyber ?

  • Réponse 1 : un audit organisationnel et technique IT/Cyber d’une entreprise en prévision de l’entrée au capital d’un nouvel actionnaire
  • Réponse 2 : un audit organisationnel et technique IT/Cyber d’une entreprise à la suite de l’entrée au capital d’un nouvel actionnaire
  • Réponse 3 : un questionnaire IT/Cyber envoyé à une entreprise dans le cadre d’une opération d’investissement
  • Réponse 4 : un audit de conformité permettant de s’assurer que l’entreprise ciblée répond à ses obligations réglementaires

Laïus explicatif : Une Due Diligence est un audit réalisé dans le cadre d’un projet d’investissement (ex. LBO) concernent généralement des enjeux financiers, juridiques, opérationnels, RSE et IT/Cyber.

Une Due Diligence IT/Cyber est un audit permettant d’éclairer la décision d’investissement, en analysant la posture cyber de l’entreprise, ses pratiques et ses éventuelles vulnérabilités. Elle permet à l’investisseur, un fonds d’investissement par exemple, d’obtenir une appréciation argumentée de la maturité de l’entreprise, et ainsi déterminer les efforts et moyens nécessaires par la suite pour renforcer le niveau de sécurité de l’entreprise.

Almond réalise régulièrement des Due Diligence IT/Cyber pour le secteur du Private Equity, en y associant une évaluation externe automatisée avec la solution Security Rating de Board of Cyber mais également des investigations ciblées type OSINT.

Jour 9 : Quelle est la part de la consommation d'électricité globale imputable aux Datacenters ?

  • Réponse 1 : 0,01%

  • Réponse 2 : 0,1%

  • Réponse 3 : 1,5%

  • Réponse 4 : 10%

Laïus explicatif : La quantité de Datacenters à travers le monde connaît une hausse significative et cette tendance perdure. Malgré les efforts des constructeurs pour réduire et rationaliser leur consommation d’énergie, ces infrastructures sont responsables de 1,5 % de la consommation électrique globale, d’après les données de l’Agence Internationale de l’Énergie (IEA.org).

Jour 8 : Qu'est-ce qu'une "Zero Day" ?

  • Réponse 1 : Une faille informatique déjà corrigée par le fournisseur avant que vous ne le sachiez

  • Réponse 2 : Une vulnérabilité ne disposant pas de solution de mitigation

  • Réponse 3 : Une faille de sécurité qui n’affecte pas les systèmes d’information

  • Réponse 4 : Une vulnérabilité exploitée uniquement le jour de sa découverte

Laïus explicatif : Une « Zero Day » est une vulnérabilité qui n’a pas encore été corrigée ou pour laquelle il n’existe pas de mitigation possible. Potentiellement, des attaquants peuvent déjà avoir connaissance de cette faille et l’exploiter activement : certaines vulnérabilités Zero-Day sont ainsi découvertes par la communauté informatique à la suite d’une attaque qui l’exploite. Les cyber-criminels investissent beaucoup pour découvrir des vulnérabilités avant les chercheurs en sécurité, afin de maximiser les chances de réussite de leurs attaques.

Jour 7 : Selon les nouvelles recommandations de la CNIL, quelle est la meilleure pratique sur la robustesse d'un mot de passe ?

  • Réponse 1 : La longueur

  • Réponse 2 : Une dérivation des mots du dictionnaire (exemple la dérivation du mot Kangourou est k4ng0urOu)

  • Réponse 3 : L’utilisation d’une phrase de passe (7 mots minimum)

  • Réponse 4 : L’utilisation d’une combinaison de 12 caractères comprenant des majuscules, des minuscules et des chiffres, sans caractère spécial obligatoire

Laïus explicatif : Conformément aux récentes directives de la CNIL, l’approche privilégiée pour renforcer la sécurité des mots de passe repose sur une complexité évaluée par l’entropie, plutôt que sur une exigence stricte de longueur minimale. Cette approche vise à accorder une plus grande souplesse dans l’élaboration de politiques de mots de passe, adaptées à divers scénarios d’utilisation. Les trois exemples ci-dessous sont considérés comme équivalents en termes d’entropie, et ils sont tous conformes aux recommandations récentes :

  • Exemple 1 : Les mots de passe doivent comprendre au moins 12 caractères, incluant des majuscules, des minuscules, des chiffres, et des caractères spéciaux choisis parmi une liste d’au moins 37 caractères spéciaux possibles.
  • Exemple 2 : Les mots de passe doivent avoir au moins 14 caractères, incluant des majuscules, des minuscules, et des chiffres, sans obligation d’utiliser des caractères spéciaux.
  • Exemple 3 : Une phrase de passe doit être utilisée, composée d’au moins 7 mots. Cette approche permet aux utilisateurs de choisir des mots de passe répondant à des critères variés, tout en garantissant une sécurité appropriée.

Vous pouvez consulter les recommandations en suivant le lien fourni : Mots de passe : une nouvelle recommandation pour maîtriser sa sécurité | CNIL

Jour 6 : Quel sera le principe innovant principal du Wifi7 ?

  • Réponse 1 : L’introduction de la bande de fréquence 6Ghz

  • Réponse 2 : L’utilisation de largeur de bandes allant jusqu’à 640 Mhz

  • Réponse 3 : La possibilité d’utiliser deux bandes de fréquences simultanément

  • Réponse 4 : Aucune mise à jour requise sur les terminaux

Laïus explicatif : Avec le Wifi 7, il sera possible d’utiliser deux bandes de fréquences simultanément, contrairement au Wi-Fi intelligent actuel qui positionne automatiquement les appareils sur la meilleure bande de fréquences. Conséquences de cette agrégation de fréquences : des débits plus rapides et latences encore réduites. Le 6Ghz est déjà introduit depuis le wifi 6E, les largeurs de bandes ne seront « que » de 320 Mhz sur le 6Ghz avec le Wifi7.

Jour 5 : CTF #1 de l'avent

Voici la solution du CTF #1 de l’avent

  •  Flag : CWATCH{C51H79NO13} 

Jour 4 : Quel type d'attaque peut être qualifié de "triple extorsion" ?

  • Réponse 1 : Une attaque par ransomware
  • Réponse 2 : Une attaque par hameçonnage
  • Réponse 3 : Une attaque par déni de service
  • Réponse 4 : Une attaque par empoisonnement du cache DNS

Laïus explicatif : Le ransomware à triple extorsion est comme son nom l’indique une attaque durant laquelle les cybercriminels menacent de trois façons différentes leur victime.

  1. L’attaquant va demander une rançon à la victime pour qu’il puisse récupérer/déchiffrer ses données
  2. L’attaquant va demander une rançon pour ne pas publier / divulguer les données exfiltrées, il peut aussi demander une rançon pour un délai supplémentaire avant divulgation (retarder le compte à rebours)
  3. L’attaquant va mettre la pression à la victime pour augmenter les chances de paiement de la rançon via des attaques de type DDoS ou des appels téléphoniques, enfin il peut aussi demander des rançons aux victimes collatérales, dont les données auraient fuité indirectement dans l’attaque

Ce type d’attaque permet aux attaquants de maximiser le gain financier pour chaque victime, le ransomware étant déjà l’une des attaques les plus lucratives, il convient d’anticiper ce scénario et de s’en protéger convenablement.

Jour 3 : Parmi ces quatre choix, lequel définit le mieux ce qu’est l’ISO 27001 ?

  • Réponse 1 : Un standard listant un ensemble d’exigences relatives à la sécurité des systèmes informatiques d’une entreprise
  • Réponse 2 : Une norme listant un ensemble de bonnes pratiques permettant d’optimiser la cybersécurité au sein d’une l’entreprise
  • Réponse 3 : Une norme listant un ensemble d’exigences relatives à la sécurité des informations nécessaires à une entreprise
  • Réponse 4 : Un standard listant un ensemble de méthodes pour optimiser les pratiques relatives à la sécurité des informations utilisées par une entreprise

Laïus explicatif : L’ISO 27001 est une norme internationale, dont les entreprises peuvent se prévaloir en se faisant certifier par un organisme indépendant ; elle contient un ensemble d’exigences que chaque entreprise, quels que soient sa taille et son domaine d’activité, doit impérativement appliquer pour obtenir sa certification ; ses exigences constituent donc le référentiel des audits de certification. A ne pas confondre avec la norme ISO 27002 qui est constituée de recommandations, basées sur les bonnes pratiques internationales, permettant d’aider une entreprise à appliquer les exigences de la norme ISO 27001 (donc norme qui ne donne pas lieu à une certification).

Les exigences de la norme ISO 27001 portent sur les informations nécessaires à une entreprise, recueillies et/ou traitées, quel que soit son support, électronique, papier et oral.

Les trois critères de sécurité retenus par la norme ISO 27001 sont la confidentialité, l’intégrité et la disponibilité des informations. Tout événement, qu’il soit d’origine environnementale ou humaine, intentionnelle ou involontaire, impactant un de ces trois critères, relève de cette norme.

Jour 2 : Qu'est-ce qu'une attaque DDoS?

  • Réponse 1 : Un logiciel espion qui enregistre ce qu’écrit un utilisateur
  • Réponse 2 : Un procédé visant à perturber l’accès à un site ou une application
  • Réponse 3 : Un virus informatique qui chiffre l’OS de votre ordinateur en échange d’une rançon
  • Réponse 4 : Une attaque Informatique visant à détermine votre mot de passe en testant un grand nombre de possibilité

Laïus explicatif : Une attaque DDoS ou « Distributed Denial of Service » est une attaque visant à rendre indisponible un site en le submergeant de requêtes provenant de multiples sources. Dans le cas où toutes les requêtes proviennent de la même source, on parle simplement d’attaque DoS (« Denial of Service »), ou « par déni de service ».

Jour 1 : Qu'est-ce que DORA?

  • Réponse 1 : Une jeune exploratrice bilingue
  • Réponse 2 : Un protocole de communication décrit dans le RFC 9364
  • Réponse 3 : Une organisation internationale de régulation de la cybersécurité
  • Réponse 4 : Un règlement qui s’applique aux entités financières et aux tiers prestataires de services informatiques

Laïus explicatif : DORA ou Digital Operational Resilience Act est un règlement européen publié en 2022 et en vigueur depuis janvier 2023. Le règlement traite de la résilience opérationnelle numérique du secteur financier. Il est applicable aux entités financières comme les banques, assurances, entreprises d’investissement, les établissements de paiement, etc. mais également aux tiers prestataires de services informatiques. Les entreprises concernées ont deux ans pour se mettre en conformité. Ils devront donc l’être en 2025 !

Le pilier relatif à la gestion des risques liés aux prestataires tiers de services TIC apparait comme l’un des plus difficile à mettre en place et à maintenir dans le temps pour les entreprises concernées. En quelques mots, les entreprises devront considérer ces risques comme faisant partie intégrante du risque lié aux technologies de l’information et de la communication (TIC) et notamment le risque de concentration, au niveau de l’entreprise mais également au niveau de l’ensemble du secteur financier européen. En effet, les autorités devront analyser ce risque en analysant les registres tenus et communiqués par les entreprises concernées par DORA et qui recense notamment la liste des tiers prestataires de services TIC avec lesquelles les entités financières conclues des contrats.

Pour plus d’informations, consultez notre avis d’expert sur le sujet : https://almond.eu/cybersecurity-insights/explorons-dora/