Vous avez dit sécurité?

C'est l'un des vols de données les plus massifs de l'histoire: des hackers ont infiltré les serveurs du groupe Internet Yahoo et dérobé les identifiants d'au moins 500 millions de clients – mots de passe cryptés, adresses e-mail, dates de naissance ou numéros de téléphone. Ils ont en outre accédé à des millions de comptes utilisateurs pour leur envoyer des spams et obtenir des informations liées aux cartes de crédit et autres cartes d'achat.

Ce n'est qu'en 2016 que l'entreprise de la Silicon Valley a rendu publique cette attaque qui a eu lieu fin 2014, sans fournir de détails, car le FBI enquêtait. Ce printemps, le Département américain de la Justice a lancé une bombe diplomatique en engageant des poursuites contre quatre personnes dans le cadre de l'affaire – dont deux agents des services secrets russes – qui auraient piloté ce vaste «complot criminel». La plainte mentionne que les informations saisies auraient également été utilisées pour espionner des hauts fonctionnaires, des dirigeants de banques et d'autres sociétés et des journalistes étrangers.

Dans un monde de plus en plus numérisé et connecté, le cyberrisque augmente. Selon l'organisation à but non lucratif Identity Theft Resource Center, 2016 a battu un record: rien qu'aux États-Unis, 1093 cas de violation de la sécurité des données ont été rapportés, soit plus de deux fois plus qu'il y a cinq ans (voir graphique). Selon le bureau d'analyse de la sécurité Risk Based Security, ce sont des milliards de données qui ont été piratées.

Tous visés par les cyberattaques

Les dommages économiques dus à la cybercriminalité et au cybervol de propriété intellectuelle sont considérables. Le Center for Strategic and International Studies, groupe de réflexion indépendant basé à Washington, les estime à un montant de 450 à 600 milliards de dollars par an. Ce qui n'est pas calculable, c'est le préjudice financier et émotionnel que subissent de plus en plus d'individus mis sur écoute, hackés et atteints dans leur vie privée.

Tout le monde est une cible potentielle: les particuliers, avec leurs ordinateurs, smartphones, logements et véhicules connectés, les organisations, les entreprises, mais aussi les infrastructures et les États. Différentes enquêtes ont montré qu'il s'agit souvent d'espionnage financier et économique.

Partout, de puissantes organisations de cyberespionnage, derrière lesquelles se cachent souvent des États, attaquent d'autres États, des dispositifs militaires, des équipements stratégiques, des sociétés, et s'approprient un savoir-faire précieux dans le domaine de l'économie, de la recherche et du développement. Même la Commission européenne ou la banque centrale du Bangladesh ont déjà été hackées. Bilan: plus de 80 millions de dollars volés.

Chère, très chère sécurité

La multiplication rapide des cibles due à une mise en réseau exponentielle a généré un boom pour les fournisseurs de cybersécurité. «La sécurité est l'un des marchés les plus dynamiques du secteur informatique, et elle a de l'avenir», déclare Michael Diamond, analyste au cabinet d'études de marché NPD. Les dépenses de cybersécurité des entreprises augmentent deux fois plus vite que les dépenses informatiques totales, et selon le cabinet américain d'études de marché IDC, elles devraient dépasser les 100 milliards de dollars en 2020.

Le premier poste de dépenses des entreprises et des administrations concerne les services de sécurité, et notamment la prise en charge par des prestataires externes de la protection et du contrôle de leur infrastructure informatique.

Le deuxième poste porte sur les logiciels de sécurité: là, les investissements se concentrent essentiellement dans la sécurité des terminaux ainsi que sur la gestion de l'identité et des accès.

Et le troisième poste est consacré au matériel de sécurité, c'est-à-dire principalement l'achat de systèmes dits de gestion unifiée des menaces. Il s'agit de boîtiers associant différentes fonctions sur une plate-forme: pare-feu, passerelle VPN, protection antivirus et antispam, authentification, système de détection des attaques, etc.

Rien d'étonnant dès lors que la cybersécurité soit devenue l'une des activités les plus prisées des capital-risqueurs de la Silicon Valley, qui ont investi l'an dernier, selon l'institut d'études de marché CB Insights, 3,1 milliards de dollars dans 279 start-ups en cybersécurité – quatre fois plus qu'en 2010!

Dangereux babyphone

L'Internet des objets présente un potentiel de risque particulièrement élevé. La plupart des objets connectés – de la webcam au téléviseur en passant par le babyphone – sont vendus sans réel mécanisme de sécurité. Ils peuvent donc aisément être piratés à l'insu des propriétaires, puis reliés entre eux pour former un réseau de millions d'appareils contrôlé de façon centralisée. Grâce à ces «réseaux de zombies» constitués d'un ensemble de programmes malveillants automatisés, des hackers attaquent les serveurs de leurs victimes et les paralysent.

La plus fameuse attaque d'un réseau de zombies a eu lieu en octobre dernier. Les sites de géants du Web comme Amazon, Netflix ou PayPal, et de dizaines d'autres sociétés très visitées comme Airbnb, le New York Times ou Twitter, sont restés inaccessibles des heures durant suite à la paralysie des serveurs d'un prestataire de service réseau utilisé par ces sociétés. Des experts supposent que cette attaque a servi de test pour une cyberarme.

Course aux armements

En dépit des multiples produits et services de protection des données, des systèmes, des infrastructures, des comptes, ainsi que de la vie privée, Internet n'est pas forcément plus sûr. Les pirates améliorent leurs techniques à mesure que les moyens de défense se renforcent: leur arsenal est toujours plus sophistiqué, et se procurer le matériel nécessaire aux attaques de toutes sortes est plus facile que jamais. Sur le darknet – la partie du Web préférée des criminels, à laquelle on n'accède qu'avec des logiciels spéciaux –, des cybergangs fournissent outils, informations, services et conseils.

C'est aussi dans cette zone d'ombre qu'ils vendent leur butin. Sur un marché russophone clandestin, 70 000 données d'accès volées à des serveurs piratés ont été ainsi proposées l'an dernier. Pour seulement 6 dollars, on pouvait par exemple acheter un accès au réseau gouvernemental d'un pays de l'Union européenne.

Bien que l'on consacre des montants somptuaires à la cyberdéfense, nombre d'entreprises et d'administrations sont mal préparées et accordent peu d'importance à la lutte contre la cybercriminalité. Dans une étude commandée en 2016 par le Nasdaq et Tanium, un prestataire de sécurité aux États-Unis, plus de 90% des managers interrogés déclaraient ne pas être en mesure de comprendre un rapport de sécurité. Ils reconnaissaient en outre que leur entreprise n'était pas préparée à une attaque majeure, et ce, bien que neuf entreprises sur dix aient subi une cyberattaque d'envergure au cours des cinq dernières années.

L'impact d'une intrusion peut être considérable. En effet, il ressort clairement du dernier «Annual Cybersecurity Report» de Cisco, le plus grand équipementier réseau, qu'un tiers des entreprises ayant fait état d'une fuite de données en 2016 a perdu 20% de ses ventes, de ses clients et de ses opportunités d'affaires.

Selon certaines enquêtes, 95% des attaques réussies contre des entreprises seraient dues à des erreurs humaines. Parmi les plus courantes, l'envoi par courriel de données sensibles aux mauvais destinataires ou l'ouverture de messages contenant des malwares. Et tout en haut de la liste, la génération de noms et de mots de passe standard par les systèmes IT internes. Des dépenses importantes pour la cybersécurité seules ne suffisent pas. La National Cyber Security Alliance, association réunissant des sociétés informatiques américaines et le Département américain de la Sécurité intérieure, plaide ainsi pour une formation plus poussée du personnel: «La technologie la plus sûre au monde est inutile si les employés ne sont pas sensibilisés à leur rôle et leur responsabilité dans la protection des données sensibles et des ressources de leur entreprise.