Lundi de la cybersécurité : Analyse de l’état de la cybermenace – Retour sur 1 an de conflit Russo-Ukrainien

Le cyberespace, le numérique, l’Internet, autant de mots devenus familiers et qui décrivent le monde dans lequel nous vivons aujourd’hui. L’information recherchée, où qu’elle soit, est à portée de clics, nos correspondants où qu’ils se trouvent sont accessibles par mail ou par les réseaux sociaux, Internet ne connaît pas de frontières et le monde numérique est un village global où les les distances n’existent pas. C’est merveilleux…

Maïs…
L’Internet est aussi un carrefour de tous les dangers, le cyberespace est peuplé d’individus peu recommandables, qui vous rançonnent ou chiffrent ou détruisent vos données. Internet est un champion de la conflictualité, il est peuplé de pays qui ne nous veulent pas du bien, ou qui sont en concurrence économique avec nous. Les applications que nous utilisons, et dont nous dépendons, présentent des vulnérabilités par lesquelles les cyberattaquants s’engouffrent et se retrouvent dans vos systèmes d’information.

Et quand deux pays sont en état de guerre et que ce conflit peut s’étendre, les cyberattaques ne concernent pas que ces pays. Tous, nous sommes menacés, nous sommes en état de cyberguerre. Le conflit Russo-Ukrainien nous concerne, nous menace et les cyber attaques, orchestrées en particulier par les Russes et leurs affiliés hacktivistes, contre nos informations,  se multiplient.

Alors, comprendre et analyser le niveau des menaces cyber qui nous entourent, connaître les modes opératoires des attaquants, pour adapter sa ligne de défense, sont une nécessité mais qui demandent des connaissances techniques pointues, c’est une affaire d’experts et d’ outils adaptés.

Pour nous éclairer, dans ce lundi de la cybersécurité du mois de juin, nous faisons appel au directeur technique « Lutte Informatique Défensive » de chez Thales, un expert reconnu de la Cyber Threat Intelligence, ou renseignement d’intérêt cyber : Ivan Fontarensky.

Ivan prendra comme exemple le conflit entre la Russie et l’Ukraine. Il est à noter que l’Ukraine est devenue, très récemment, membre du Centre d’excellence de l’OTAN pour la cyberdéfense coopérative (CCDCOE).

J’ai eu le privilège de travailler avec Ivan quand nous étions chez Airbus Cybersecurity, ses présentations m’ont toujours passionné. Les années ont passé et Ivan est devenu incontournable dans la sphère de la cyberdéfense. J’ai tenu à vous en faire profiter.

Une nouvelle cartographie des attaques se profile après douze mois de conflit. Alors qu’au moment de l’invasion, la majorité des incidents dans le monde se concentre en Ukraine (50,4% au premier trimestre 2022 contre 28,6% au troisième trimestre), les pays membres de l’Union européenne ont connu une augmentation spectaculaire du nombre d’attaques liées au conflit au cours des six derniers mois de l’année 2022, passant de 9,8% à 46,5% des attaques mondiales.

Pendant l’été, le nombre d’incidents liés au conflit dans les pays de l’UE était comparable à celui de l’Ukraine (85 contre 86). Le début de l’année 2023 confirme cette tendance, avec une écrasante majorité des incidents concentrée dans les pays européens (80,9%).

Les pays candidats à l’adhésion à l’UE tels que le Monténégro et la Moldavie sont de plus en plus ciblés (passant de 0,7% des attaques au premier trimestre 2022 à 2,7% en fin d’année 2022). La Pologne est toujours harcelée, avec un nombre record de 114 incidents liés au conflit en un an, tandis que les hacktivistes de guerre se concentrent particulièrement sur les pays baltes (157 incidents en Estonie, Lettonie, Lituanie) et les pays nordiques (95 incidents en Suède, Norvège, Danemark, Finlande). En comparaison, des pays tels que la France (14), le Royaume-Uni (18), l’Italie (14) et l’Espagne (4) sont davantage préservés.

Sur l’ensemble des cyberattaques enregistrées dans le monde pendant la période du conflit, 61 % de groupes d’hacktivistes pro-russes, dont Anonymous Russia, KillNet et Russian Hackers Teams occupent les premiers rangs. Ces groupes, apparus pendant le conflit, se sont organisés en réponse aux efforts des hacktivistes ukrainiens de l’IT Army au début du conflit. Ils sont plus structurés et utilisent des ressources de la cybercriminalité, organisées telles que le service de localisation de botnet Passion Botnet. Leur objectif est de harceler les pays qui justifient l’Ukraine. Les hacktivistes sont donc devenus une nouvelle composante du conflit, des groupes civils indépendants agissant avec des objectifs et des intérêts politiques précis, sans être directement sponsorisés par un État mais agissant par conviction. Ils proviennent de divers horizons et niveaux de compétence technique.

Au troisième trimestre 2022, une vague d’attaques DDoS a marqué un tournant, alors que le premier trimestre avait montré un paysage d’attaques très varié, avec des vols et des fuites de données, des attaques DDoS, de l’espionnage, de l’influence, des intrusions, des ransomwares, du phishing, des wipers et des infostealers sont presque également répartis. Les cyberattaquants utilisent principalement des attaques massives de déni de service (75%)

Suivant la tradition de nos « Lundi de la cybersécurité », entre l’exposé de l’intervenant et la session questions / réponses, autour de 19 h 15, nous donnons pour une dizaine de minutes la parole à une organisation, qui opère dans l ‘écosystème du numérique et dans la sécurité de l’information. Le CEFCYS organise chaque année les trophées de la femme cyber. La présidente du CEFCYS, Nacira Salvan nous en parlera.
Voir pour les trophées de la femme cyber 2022 en : https://cyberwomenday-cefcys.com/

Question posée au module d’Intelligence Artificielle générative inclus dans le moteur de recherche Bing, mais sans livrer, bien sûr, de données confidentielles qui pourraient être exploitées :

Comment sont choisis les intervenants des « Lundi de la cybersécurité ? »

Réponse reçue : D’après les résultats de la recherche web, les intervenants du Lundi de la cybersécurité sont des sommités dans divers domaines de la sécurité du numérique, choisis par Béatrice Laurent et Gérard Peliks, les organisateurs de l’événement. Ils présentent des sujets de pointe, en rapport avec la cybersécurité, devant un public de 150 à 200 participants. Les intervenants sont également soumis à une analyse des risques cyber pour garantir la qualité et la sécurité de leurs interventions.

OK pour la qualification des intervenants et des sujets, mais soumettre les intervenants à une analyse des risques cyber ? L’idée ne nous était même pas venue, et ce n’est pas notre approche . Là c’est un exemple de mauvaise interprétation de ce qu’on a entré sur le web

Organisés par Béatrice Laurent et Gérard Peliks, intervenant du MBA Management de la Cybersécurité Devinci Executive Education avec la logistique en présentiel ou en distanciel de l’université de Paris, les « Lundi de la cybersécurité » se tiennent un lundi par mois, de 18h à 20h. Entre 150 et 200 participants assistent et peuvent aussi, à la suite de la présentation, poser des questions aux intervenants. S’ensuivent des débats très intéressants entre experts du sujet traité.