C’est le 10 janvier que le Club de la Sécurité de l’Information Français (CLUSIF) dévoilait son panorama annuel de la cybercriminalité. Véritable bilan en matière de cybercriminalité, la conférence « PanoCrim », revient sur les faits marquants de l’année 2018.
Une ouverture tout en espoir
Le CLUSIF est avant tout un groupe de travail constitué par des membres experts adhérents mais aussi par des invités experts. Pour ce 19èmepanorama, la première guest star du CLUSIF était Sophie Nerbonne, directrice de la conformité de la CNIL. Celle-ci est revenue sur la volonté de la CNIL de toujours accompagner plus des professionnels. La CNIL souhaite nouer de plus en plus de relation, créer un maillage pour assurer une diffusion plus large de ses principes.
Six mois après l’entrée en application du RGPD, l’appropriation de la loi européenne par les professionnels est tangible. Plus de 50 000 organismes ont désigné un DPO. Aujourd’hui il existe une tendance forte : vouloir être RGPD by design, c’est-à-dire intégrer dès la conception des produits les principes RGPD.
2018 : « annus horribilis »
Plusieurs thématiques ont été abordées lors de pitchs d’une dizaine de minutes chacun. Pour commencer les fuites à répétition sur les réseaux sociaux. Clairement l’année 2018 n’a pas été une année de tous repos pour les réseaux sociaux. Nous avons en tête le PDG de Facebook contraint de s’expliquer devant le Sénat américain. Les scandales ont jalonné 2018 dont le plus marquant est surement la révélation en mars de la fuite de données d’utilisateurs Facebook. En effet, ce qu’on appelle l’affaire Cambridge Analytica est le vol des données personnelles de plus de 87 millions d’utilisateurs Facebook via un test de personnalité. Ces informations ont ensuite été utilisées pour inviter les électeurs américains à voter pour Donald Trump via des messages personnalisés.
Mais les fuites de données ne touchent pas que le géant des réseaux sociaux. Le groupe Marriott par exemple s’est vu dérober plus de 500 millions de données clients. Le fabricant de bracelet connectés Under Armour a compromis environ 150 millions données personnelles d’utilisateurs de la plateforme MyFitnessPal. De la même manière, British Airways a perdu les données de plus de 185 000 passagers, la fuite de données la plus douloureuse en termes d’impact en 2019.
Des attaques cyber criminelles toujours plus violentes
Les cyber attaques visent deux pôles : les métiers et les banques.
D’un côté, les métiers deviennent les proies des cyber pirates. Transport maritime, transport aérien, secteur de la santé… autant de domaines sensibles. Par exemple un navire est un SI sur mer livré à lui-même avec des réseaux connectés en permanence à internet. Comme le montre l’exemple de l’IACS, le secteur maritime commence alors à se structurer et à prendre pour lui des recommandations de normalisations comme celle de l’ANSSI, en publiant douze recommandations sur la cyber sécurité en maritime.
Parallèlement le secteur aérien fonctionne en interconnections. Bien qu’étant un monde très concurrentiel, les acteurs se demandent : et si l’union faisait la force ? Alors les acteurs s’organisent et se structurent : ils créent le CCTA, un conseil pour la cyber sécurité du transport aérien pour travailler ensemble sur la mise à jour des différents risques, des moyens à mettre en place et des propositions de textes structurés.
De la même manière, le secteur hospitalier est une cible pour les cyber attaques. Chantage, extorsion, usurpation d’identité, déstabilisation ciblée, fraude à l’assurance, etc. Le cyber terrorisme va jusqu’à une atteinte directe de l’intégrité physique des patients (perte de chance).
D’un autre côté, les attaques classiques ne faiblissent pas envers les banques. Jackpotting, attaques par cheval de Troie, attaques par déni de service, s’accumulent. Gérome Billois de chez Wavestone a décrypté l’attaque destructrice de la Bank of Chile ou encore celle de la Cosmos Bank. Par ailleurs, le phygital est aussi tendance chez les cybercriminels comme le prouve l’attaque cyber-physique « Darkvihnya » qui a touché différentes banques d’Europe de l’Est.
Des menaces persistances … des réponses émergentes
Nous l’avons vu, tous les secteurs d’activité sont concernés par les cyberattaques et l’ioT n’échappe pas à la tendance. Du véhicule autonome aux enceintes connectées, nous assistons à une industrialisation des attaques. De ce fait la sécurité doit être intégrée dès la conception du produit. Pour se faire, la Commission Européenne a décidé de faire de la security by designune priorité avec une volonté de concurrence la Chine et les Etats-Unis. Jusqu’en 2027, 2,5 milliards d’euros sont prévus en investissements.
Depuis cinq ans, la géopolitique de la cybercriminalité est un sujet omniprésent au CLUSIF. Loïc Guézo rappelle la difficulté de l’attribution d’une attaque. Le sujet du cyber est désormais un sujet politique. Le Président de la République française Emmanuel Macron a bien lancé l’Appel de Paris. L’objectif de cet appel est d’enjoindre le monde à lutter contre la prolifération des moyens d’attaques afin d’éviter un Far-Ouest d’opération offensives.
Et aussi
Le PanoCrim a également évoqué la fin de l’authentification. Globalement le mot de passe est en fin de vie. Il existe une migration vers le Multi Factor Authentification (MFA). Franck Veysset nous a présenté les nouvelles solutions existantes et les risques de certaines bonnes idées.
Les intervenants attirent également notre attention sur les menaces qui planent sur le crypto écosystème. Plus d’un milliard de dollar ont été détournés en 2018 par des crypto miniers malveillants. Enfin, d’après les experts, les cybercriminels se mettraient à attaquer les API : les éléments informatiques qui permettent de faire des échanges. De la même manière, le cloud est un sujet à suivre en 2019.
Pour sa 19ème organisation, le PanoCrim du CLUSIF était riche en sujets abordés. De beaux témoignages de comment la sécurité de l’information varie en fonction de l’actualité.