Tribune de Sébastien Viou, directeur Cybersécurité Produit chez Stormshield

Sans surprise, l’année 2021 a été dense en matière de cyber-menaces. Les attaques contre le secteur public, les hôpitaux et collectivités, l’extension des ransomwares à des cibles plus diversifiées, Log4Shell ou encore les menaces autour de la confidentialité des données avec le logiciel espion Pegasus : autant d’exemples d’une année pas comme les autres… Alors quelles menaces pourraient voir le jour en 2022 ?

Tendance 1 : vers un marché des transferts des cyber-criminels ?

En 2021, les groupes de cyber-criminels ont franchi un cap dans leur structuration. En parallèle de l’explosion des cas et des montants, l’écosystème des groupes cyber-criminels se consolide en une véritable économie parallèle, avec un objectif avoué d’une amélioration de la rentabilité des attaques. L’écosystème des ransomwares repose par exemple sur une pluralité d’acteurs, des développeurs aux revendeurs d’accès ou de données. De véritables plateformes se sont constituées, faisant également appel à des affiliés pour exécuter leurs basses œuvres.

Pour 2022, il est presque déjà acté qu’un ou plusieurs nouveaux groupes de cyber-criminels émergeront dans l’année qui vient. Mais avec cette multiplication chronique des groupes ainsi qu’avec la structuration de ceux-ci, va se poser la même question que pour les professionnels de cybersécurité : celle du recrutement des talents. Dans le domaine cyber où les talents de hackers sont rares, la concurrence pourrait bien conduire à des politiques de recrutement plus agressives de la part des groupes de cyber-criminels. À l’instar de l’économie du sport, des agents pourraient demain apparaître, plaçant leurs poulains auprès des groupes les plus offrants. Des agents qui n’hésiteraient pas à adopter de nouvelles méthodes, comme des primes à la signature ou des « prêts » entre groupes.

Tendance 2 : vers une explosion de failles Zero Day cachées dans des bibliothèques open source ?

Côté menaces, les attaques de ransomwares, qui ont augmenté de 62% l’année dernière, ont largement occupé le champ médiatique en 2021. Mais d’autres procédés se sont également développés comme l’attaque de chaînes logistiques, le fracassant « Projet Pegasus » ou encore la vulnérabilité Zero Day Log4Shell.

Pour 2022, la puissance de l’attaque Log4Shell pourrait inspirer demain plus d’un groupe de cyber-criminels. En effet, le fonctionnement même du système des logiciels libres implique que des pans entiers du Web soient maintenus par une poignée de bénévoles. Si demain, les grandes entreprises n’investissent pas dans les projets open source qu’elles utilisent, les patchs correctifs ne sauraient suivre la vitesse de découverte des failles critiques. Et les cyber-criminels pourraient alors s’attaquer aisément à des infrastructures, réseaux ou données particulièrement sensibles. Par exemple, en France, à celles contenues dans l’application TousAntiCovid. En identifiant une faille dans les éléments de code publiés, l’application la plus téléchargée en 2021 pourrait ainsi se voir ouverte aux quatre vents numériques, laissant aux cyber-criminels la possibilité d’accéder à une quantité énorme de données de santé et de passes sanitaires. L’impact d’une telle cyberattaque n’est pas à négliger.

Tendance 3 : vers la fin d’un effet de loupe médiatique ?

Colonial Pipeline, JBS Foods, Log4Shell : toutes ces cyberattaques ont fait la Une des journaux en 2021. Vous ne voyez pas le lien entre celles-ci ? Ne cherchez pas du côté de la cyber, leur seul point commun étant l’emballement médiatique qu’elles ont suscité. Un phénomène de loupe médiatique qui peut conduire à un faux sentiment de sécurité pour les TPE et PME. Pourtant, d’après une étude récente, la part de TPE/PME de moins de 250 salariés touchés par les cyberattaques s’élève à 33%. La focale médiatique est donc sélective : qui a entendu parler de cyberattaques contre le cabinet d’avocat, les experts comptables ou encore le plombier du coin ? Et la taille n’importe que peu, tant des entreprises plus importantes passent également sous le radar médiatique.

Popularité, focus médiatique et montants conséquents ; ces mondes virtuels pourraient bien devenir le nouveau terrain de jeu privilégié des cyber-criminels pour 2022. Et leur motivation première resterait évidemment l’argent. Du rançonnage d’artefacts numériques achetés pour des sommes exorbitantes au vol de NFT, les possibilités délictuelles sont multiples. Les éditeurs de mondes virtuels ou de jeux en ligne pourraient rapidement se voir dépasser par les vagues de cyberattaques nuisant au développement de leurs produits. Une police du métavers, fondée sur des outils d’investigation propres, deviendrait alors nécessaire. Elle rassemblerait des experts du monde entier dont l’objectif serait de traquer les cyber-criminels dans les recoins les plus reculés des métavers. Une gageure, tant les transactions au sein de ses espaces vont massivement s’accroître au cours de l’année.

Tendance 4 : vers un cyber-score individuel pour les collaborateurs ?

En 2021, l’humain reste la principale porte d’entrée dans le réseau d’une entreprise. Et avec un quart des salariés français en télétravail au moins un jour par semaine en 2021, la question de l’accessibilité des solutions de cybersécurité apparaît encore plus essentielle : les collaborateurs utilisent en effet leurs appareils professionnels à des fins personnelles, multipliant ainsi les portes d’entrées potentielles. Et la sensibilisation à l’hygiène numérique et à la cybersécurité est encore un long chemin de croix. D’après le rapport 2021 de la société américaine KnowBe4, un quart des employés pensent que cliquer sur des liens ou des pièces-jointes suspectes comporte peu ou pas de risque…

Pour 2022, certaines entreprises pourrait décider de mettre en place des systèmes de cyber-score personnel qui permettent à leurs salariés de mieux comprendre que la cybersécurité est l’affaire de toutes et tous. Chacun disposerait d’un crédit de départ, qui baisserait en cas de manquements ou augmenterait après des sessions de formation ou quand de bonnes pratiques sont mises en place. Ainsi, Paul, manager d’une équipe de commerciaux, verrait son cyber-score grimper après avoir fait installer une solution endpoint sur les ordinateurs portables de ses collaborateurs nomades. Et gare au cadre dirigeant qui suivrait les matchs de football de son équipe favorite sur des sites illégaux de streaming…

Autant de scénarios et de futurs possibles en matière de cybersécurité à suivre de très près.

Tribune de Sylvain Guilley, directeur technique de Secure-IC

L’industrie n’est pas la seule concernée : pour beaucoup, la cybersécurité n’est ni plus ni moins qu’un centre de coût, un passage obligé. Pourtant, la crise sanitaire l’a prouvé : sans sécurité, pas de système d’information et une production (de produits comme de services) au ralenti ou pire, à l’arrêt. À l’heure de l’industrie 4.0, la cybersécurité n’est plus un élément subsidiaire, mais bien l’enjeu majeur de la sécurisation de nos chaînes de production.

Industrie 4.0 : quand l’industrie devient agile

Bien que le concept soit loin d’être nouveau, l’industrie 4.0 reste un sujet d’actualité pour les acteurs et les observateurs du secteur. Qu’on la nomme industrie du futur ou quatrième révolution industrielle, le concept reste toujours le même : organiser les moyens de production physiques par le prisme de la donnée, de l’information. Les retombées sont évidentes en termes de capacité à personnaliser les produits et de collecte de méta-données (analytics), utiles par exemple pour la maintenance prédictive.

Outre les systèmes, l’informatisation et l’automatisation, déjà présentes dans la troisième génération industrielle, l’industrie 4.0 a recours à toute une kyrielle de capteurs et divers objets connectés, qui forment ensemble le socle des systèmes de contrôle et d’acquisition de données en temps réel (SCADA). Ce socle est capable ensuite de dialoguer avec les chaînes de production, pour adapter les cadences aux besoins marché, personnaliser finement chaque produit à la demande client ou encore anticiper les besoins de maintenance.

Car c’est là tout l’apport de l’industrie 4.0 : la donnée. Avec elle, finies les productions de masse et les chaînes de production déversant en continu les mêmes produits, avec pour seule capacité d’adaptation l’analyse a posteriori de la demande. Place désormais à la personnalisation des produits et à l’adaptation en temps réel à l’aide de données marketing et commerciales internes ou économiques, environnementales, voire politiques, issues de l’externe. En bref, voici venue l’ère de l’agilité industrielle, qui n’a désormais plus rien d’un oxymore.

Un contexte normatif simple et compréhensible

Une fois n’est pas coutume, le contexte normatif n’est pas constitué de couches superposées se renvoyant les unes aux autres, dans un imbroglio incompréhensible et, in fine, particulièrement difficile à mettre en œuvre. En matière de cybersécurité industrielle, une seule norme fait loi : le standard IEC 62443, qui s’inscrit, de façon homogène, dans les contextes de la sécurité industrielle et de la sécurité des systèmes d’information.

Issues, notamment, des travaux du comité 99 de l’International Society of Automation (ISA) dans les années 2000, les recommandations du standard IEC 62443 ont été formalisées en 2010. Ce qui correspond peu ou prou à la découverte du virus Stuxnet, qui a profondément perturbé le programme nucléaire iranien. Mais qu’il s’agisse d’Opérateurs d’Intérêt Vital (OIV) comme de n’importe quelle usine, les enjeux sont tels que le standard IEC 62443 s’est rapidement imposé au secteur industriel.

Sans entrer dans les détails techniques, la norme propose une approche en quatre piliers, des généralités jusqu’au moindre composant, en passant par les stratégies et procédures, et tout l’aspect système. Mais c’est surtout son évolution et son agilité qui sont à saluer : depuis 11 ans maintenant, le standard n’a cessé de s’adapter aux nouveaux besoins et nouvelles réalités de l’industrie 4.0, tout en restant fiable et clair. En cours de rédaction, une nouvelle version de la norme devrait voir le jour courant 2022.

Données et sécurité, pierres angulaires des chaînes de production

Dans un contexte commercial de plus en plus « orienté client », la production industrielle, comme les secteurs du service avant elle, franchit donc peu à peu le cap d’une approche par l’offre vers une approche par la demande. Pour les industriels, l’usine de demain sera donc 4.0 ou ne sera pas. Aidées par la couverture 4G et accélérées par le déploiement progressif de la 5G, les nouvelles chaînes de production adoptent désormais systématiquement la flexibilité de l’industrie 4.0. Ceci représente un enjeu, car l’instrument de production de nombreuses usines est vieillissant et hétérogène.

Face à cette « softwarisation » de l’industrie, ce n’est plus seulement l’instant T qu’il faut considérer, mais bien tout le cycle de vie de la chaîne de production 4.0, avec, comme pour tout système d’information ou industriel, un maintien en conditions opérationnelles (MCO) et un maintien en conditions de sécurité (MCS). Dès lors, la conception comme la maintenance de l’usine ne sont plus seulement physiques mais également logicielles, avec l’adoption d’une démarche cybersécurité au moins aussi importante que l’outil de production en lui-même.

En ce sens, c’est certain : l’industrie 4.0 est une véritable révolution, capable de transformer durablement le visage du secteur industriel partout dans le monde. Et c’est en négociant ce virage plus vite et parfois mieux que d’autres, que certains industriels ont déjà pris de l’avance, faisant de la cybersécurité un atout plutôt qu’une contrainte.