La vraie pandémie est à venir… une cyberpandémie !

Il est urgent de nous préparer à éviter une cyberpandémie, qui entrainerait un bouleversement de nos vies plus grand encore que celui du coronavirus.

Vers une cyberpandémie ? «Une mise à jour défectueuse du logiciel Orion de SolarWinds a permis à un groupe, dont on pense qu’il est russe, d’entrer dans plus de 18 000 systèmes -gouvernementaux ou industriels. Nous n’étions pas préparés, car les hackers s’étaient faits référencer sur une liste de logiciels dignes de confiance. Ils ont même eu accès au réseau de FireEye, leader américain de la cybersécurité. La morale est que personne n’est à l’abri, estiment Ravi Kumar S, President, Infosys et Vishal Salvi, Chief Information Security Officer & Head of the Cyber Security Practice, Infosys. Nos sources de cyber-protection peuvent devenir un cheval de Troie.»

Bien avant cette attaque, le WEF (World Economic Forum) avait soulevé la question : notre approche individuelle et collective de la gestion des cyber-risques sera-t-elle durable face aux grandes tendances technologiques ? Pour Klaus Schwab, son patron, «la crise COVID-19 est l’occasion d’améliorer notre impréparation à une éventuelle cyber-pandémie». Nous devons travailler plus dur et plus intelligemment pour contrer efficacement ces menaces et combler nos lacunes dans les domaines de la coordination, la sophistication et l’humanité.

Scénario catastrophe

Il faut oser imaginer l’inimaginable : un monde sans téléphone ni Internet, des camions, des trains et des avions au ralenti parce que les stations-service ne sont plus approvisionnées, des banques fermées, des chaînes d’approvisionnement alimentaire rompues et des services d’urgence pratiquement indisponibles. Ce scénario catastrophe est inévitable si une cyberattaque nous coupe l’électricité. Une seule journée sans Internet coûterait à nos économies plus de 50 milliards USD, a chiffré le WEF. Et c’est avant d’envisager les dommages économiques et sociétaux si ces appareils étaient liés à des services essentiels, tels que les transports ou les soins de santé…

SolarWinds n’était qu’un avant-goût. SolarWinds n’a pas touché directement ses cibles. Les attaquants ont subrepticement construit une chaîne offensive, qui comprenait des agences non gouvernementales, des entreprises de sécurité, de technologie et des établissements d’enseignement, et sont passés inaperçus. «Notre interconnectivité numérique leur a facilité la tâche. Mais nous pouvons en faire un atout : si nous partagions tous les renseignements sur les cyber-menaces, par-delà les frontières, entre privé et public, entre sociétés concurrentes, nous progresserions plus rapidement. Une première étape consisterait à développer des systèmes plus ouverts et adopter des normes communes. Les dépenses mondiales en solutions de cyber-sécurité dépasseront 1 000 milliards de dollars en cumul sur les cinq années 2017 – 2021. Nous devons redéfinir les priorités de ces dépenses et les aligner sur des objectifs communs, notamment la collaboration contre la cybercriminalité organisée.»

Repenser notre approche

Autre piste, autre réflexion, le rapport 2020 du WEF explique comment le numérique nous rend vulnérable. On estime qu’il existe déjà plus de 21 milliards d’objets connectés dans le monde. Ce chiffre devrait doubler d’ici 2025. Les attaques contre ces objets ont augmenté de plus de 300 % au seul premier semestre 2019. Le rapport observe que «notre approche doit être repensée afin de créer des normes intégrées plus solides, notamment la certification de qualité de la sécurité SDLC, qui donne davantage de responsabilité aux partenaires logiciels.» En parallèle, une meilleure architecture de conception permettra de relever les défis.

Plus d’humains. L’intelligence artificielle est utile pour la cyberdéfense, mais permet aussi aux cybercriminels de percer les systèmes de sécurité et exploiter les données pour parer les défenses. Développer un solide vivier de talents en matière de cybersécurité donnera un avantage à notre défense. Chacun doit comprendre son rôle et être responsable du respect des normes de qualité en matière de cybersécurité. En 2019, on estimait à 2,8 millions le nombre de professionnels de la cybersécurité dans le monde, alors que les besoins s’élevaient à plus de 4 millions.

S’il y a une leçon à tirer de la lutte contre la pandémie, c’est «la nécessité de s’entraider pour progresser vers un avenir plus sûr». Personne n’est vraiment en sécurité si tout le monde ne l’est pas. Il en va de même avec une cyberpandémie. C’est dans la confiance partagée et dans un programme commun que nous pouvons acquérir les compétences nécessaires pour atteindre la résilience dont nous avons besoin.