Cyber Tag

  • Sort Blog:
  • All
  • Articles
  • Edito
  • L'oeil de l'expert
  • Le saviez-vous ?
  • Nos actus
  • Nos analyses
  • On y était !

Cyberattaques, l’Italie renforce sa cyberdéfense

En Italie, l’heure de la cyber contre-attaque est arrivée. Suite à une augmentation de 246% l’année dernière le gouvernement Italien décide de muscler ses mesures pour protéger les intérêts nationaux de son écosystème numérique. Tour d’horizon des mesures italiennes, françaises et européennes pour faire face à la recrudescence de cyberattaques.

Italie :

2021, une année de rupture pour l’Italie

Ces dernières semaines, l’Italie a été confrontée à une recrudescence des cyberattaques, touchant aussi bien des entreprises que des institutions.

En mai, les hôpitaux de Rome et de Milan ont été attaqués. Le 3 août, tout le système informatique de la région du Latium, où se trouve Rome, a été piraté par un rançongiciel. De nombreux services ont été impactés comme celui des services délivrant le pass sanitaire, mais le plus important est celui en charge de la prise de rendez-vous pour la vaccination contre le Covid. Le 18 août 2021, c’est l’agence de santé de Toscane qui a été attaquée à son tour.

 

Le secteur de l’enseignement et de la recherche est aussi une cible privilégiée. En effet, l’entreprise israélienne de cybersécurité Check Point Software Technologies nous apprend qu’en juillet l’Italie a connu 5016 attaques hebdomadaires, derrière l’Inde mais devant Israël. L’attrait pour le secteur de l’enseignement est dû au fait qu’il est traditionnellement dépourvu de budgets en matière de cybersécurité.                                Check Point Software, a annoncé en août qu’au premier semestre 2021 le nombre de cyberattaques en Europe a augmenté de 36%. Et le nombre d’attaques au rançongiciel a augmenté de 93%.

Le secteur public n’est pas le seul visé. Ces derniers mois, plusieurs entreprises italiennes ont été victimes de hackers, notamment dans les secteurs du textile, de la mécanique de précision, de l’agroalimentaire ou encore des assurances. L’an dernier, de grandes entreprises transalpines telles que Campari, Enel ou encore Luxottica avaient été visées. Selon le dernier rapport IBM, le coût moyen d’une cyberattaque pour les entreprises italiennes a augmenté de 13,5 %, passant de 3,19 à 3,61 millions de dollars. Globalement, le coût annuel des cyberattaques s’élève à 7 milliards d’euros pour les entreprises de la Botte.

2021 : L’année du changement de politique cyber de l’Italie

De nombreuses prises de paroles dans les médias ont marquées ce changement de politique. L’une des premières est celle de Mario Draghi, lors d’un sommet spécial à Bruxelles en mai.  A cette occasion, il avait souligné la nécessité de renforcer la cybersécurité aux niveaux européen et national, en particulier face à la Russie. Sa décision est motivée par le besoin de renforcer la cybersécurité nationale et européenne, face à la résurgence d’interférence géopolitique. Il dénonçait alors l’espionnage et la manipulation du web par la Russie. Cette sortie concernant la Russie faisait suite à une attaque au rançongiciel par des russes qui a forcé la fermeture d’un des plus grands oléoduc des États-Unis.

Au niveau national, le Ministre pour l’Innovation technologique et la Transition numérique, Vittorio Colao, a déclaré en juillet que plus de 90% des serveurs de l’administration italienne ne sont pas sécurisés. Pour le directeur de l’association italienne pour les infrastructures critiques, il s’agit surtout d’un problème budgétaire, en effet l’administration italienne dispose de nombreux outils et infrastructures numériques dépassés.

A la mi-juin, le ministre Colao a déclaré la nécessité de se doter en urgence d’un «bouclier anti-hacker ». En effet, toujours selon le ministre de l’Innovation technologique, « 95 % des 11.000 serveurs de l’administration sont obsolètes, tandis que 84 % des 4,5 millions de PME-PMI ne pourraient pas faire face à une cyberattaque». C’est ainsi qu’a été annoncé le lancement d’un Pôle stratégique national pour le rendre effectif d’ici à mi-2022. L’objectif sera d’assurer l’offre de cloud de l’Administration publique ainsi que les données les plus sensibles de 180 organismes publics.

Création de l’ANSSI à l’Italienne

La création d’une agence gouvernementale spécialisée en cybersécurité devenait critique. Ainsi, le 10 juin 2021, le Conseil des ministres Italien a annoncé la création de l’Agence nationale de cybersécurité (ACN) pour lutter contre la multiplication des attaques informatiques et être en mesure de faire face à des cyberattaques étrangères, notamment russe. Cette agence aura différentes missions comme : la protection des intérêts nationaux et la résilience des services et fonctions essentielles de l’État face aux menaces cyber, l’accroissement de la sécurité des systèmes d’information et de communication , et le développement de compétences industrielles, technologiques et scientifiques dans le domaine de la cybersécurité. Avant la création de cette agence, en Italie de nombreux services de cybersécurité coexistaient et étaient placés sous différentes autorités, soit du président du Conseil, soit du Premier ministre. Fusionner ces services va permettre d’accroître l’efficacité de la réponse cyber italienne.

Aujourd’hui, sous l’autorité du Premier ministre, l’ACN dispose pour le moment de 300 employés. Au cours de la période 2021-2027, elle disposera d’un budget de 529 millions d’euros et vise l’embauche de 1 000 professionnels de la cybersécurité sur la période.

France :

Que s’est-il passé en France ces derniers mois, y-a-t-il une différence ?

La France aussi est touchée par de nombreuses cyberattaques.                                                                            France Visa                                                                                                                                                                       L’une des dernières est celle du 10 août, concernant la plateforme France-visa, dédiée aux étrangers demandant un visa pour la France. Ainsi les données personnelles (emails, noms, prénoms, numéro de passeport, date de naissance, nationalité) de 8700 personnes, ont pu être dérobées. Le site reçoit plus de 1,5 million de demandes de visas en moyenne par mois, selon la Cnil. L’attaque informatique a pu être « rapidement maîtrisée », assure le ministère, qui explique avoir pris des mesures conjointement avec le ministère de l’Europe et des Affaires étrangères « pour sécuriser la plateforme » et éviter que « des événements de ce type se reproduisent ».

APHP

 

La dernière fuite de cybersécurité majeure a été révélée le 15 septembre 2021. On a alors appris que l’Assistance Publique-Hôpitaux de Paris (AP-HP) a été victime d’une cyberattaque de grande ampleur à l’été 2020. Les données personnelles d’environ 1,4 million de personnes, qui ont effectué un test de dépistage du Covid-19 en Île-de-France ont été retrouvées sur un serveur en Nouvelle-Zélande, sans savoir si et combien de personnes ont pu y avoir accès. Les données volées sont sensibles et précieuses pour les hackers, ces derniers ayant obtenus l’identité, le numéro de sécurité sociale et les coordonnées des personnes testées, ainsi que l’identité et les coordonnées des professionnels de santé les prenant en charge, les caractéristiques et le résultat du test réalisé. L’institution reconnaît que « le vol pourrait être lié à une récente faille de sécurité de l’outil numérique » qu’elle utilise pour le partage de fichiers, selon les premières investigations. Finalement, un étudiant français de 22 ans a reconnu être l’auteur du vol massif de données après son interpellation dans le Var par la police.  Anti-passe sanitaire, il déclare avoir agi pour « mettre un coup de pied dans le système ».

Plus récemment, en août, le centre hospitalier de Arles a été victime d’un rançongiciel. Les professionnels de santé ont perdu l’accès aux antécédents des patients et le logiciel des ressources humaines, utilisé notamment pour la paie. En février 2021, le secrétaire d’Etat chargé du numérique, Cédric O a déclaré qu’une cyberattaque contre des hôpitaux a lieu chaque semaine depuis janvier.

Les plans du gouvernement français pour renforcer la cybersécurité

En 2017, le gouvernement d’Édouard Philippe a lancé le programme Action Publique 2022. Ce programme vise à repenser le modèle de l’action publique au regard de la révolution numérique qui redéfinit les contours de la société française. A ce titre, il décide de lancer le site cybermalveillance.gouv en 2017, le but étant d’aider les petites entreprises victimes d’actes de cyber malveillance car l’ANSSI s’occupe principalement des grandes entreprises, des institutions et des établissements de santé. Restreint à son lancement au Nord de la France, le site est déployé au niveau national. Le site permet, outre l’accès rapide à des informations simples pour particuliers et entreprises, la mise en relation des visiteurs-victimes avec un spécialiste en cybersécurité de la région où l’on se trouve. L’un des espoirs du gouvernement est de participer au développement d’un tissu industriel français et européen de confiance.

Avec le plan de relance le gouvernement a décidé de délivrer un plan de dotation envers le milieu de la cybersécurité. Ce dernier est composé de plusieurs volets : recherche et développement, renforcement de la filière, soutien à la demande.                                                                                                                                             En matière de R&D, 500 millions d’euros seront consacrés à financer une offre technologique de pointe dans le secteur de la sécurité. L’objectif pour l’Élysée est de favoriser le développement d’une filière cybersécurité française et de viser un chiffre d’affaires global de la filière à 25 milliards d’euros en 2025 et doubler le nombre d’emplois de la filière.  Sur le renforcement de la filière, 148 millions d’euros vont servir à financer le projet de campus cyber. Sur le soutien à la demande, 136 millions d’euros seront alloués à l’ANSSI au travers du plan de relance. Avec l’augmentation de son budget, l’Agence va aider les collectivités à auditer leur sécurité informatique et opérer une mise à niveau de ce dernier.

Dans son rapport 2021, l’ANSSI nous éclaire sur les évolutions des cyberattaques en France. Ainsi, par rapport à 2019, il y a eu deux fois plus d’attaques en 2020, tandis que l’utilisation des rançongiciels a été multipliée par quatre. Un quart des entreprises font le mauvais choix de payer la rançon de 130 000 euros en moyenne. Les principales cibles sont les collectivités territoriales, les établissements de santé et les entreprises industrielles.

Réaction de l’ANSSI et de Guillaume Poupard à l’occasion du FIC 2021

 

Lors du Forum International de la Cybersécurité (FIC) 2021, Guillaume Poupard, le directeur de l’ANSSI a abordé le rôle de l’ANSSI et de la France dans la présidence du Conseil de l’Union européenne en 2022. Il a annoncé l’espoir de bâtir un vrai cloud souverain, le but étant d’échapper aux règles extraterritoriales des pays tiers, notamment les États-Unis et le Cloud Act. Pour G. Poupard, les services tels que les soins de santé et les services financiers devraient seulement être soumis au droit européen. Dans cet esprit, il a déclaré travailler avec Olivier Véran pour rapatrier le Heath Data Hub (HDH) sur des plateformes françaises ou européennes, suite à l’annulation du Privacy Shield en juillet 2020.

En effet, en vertu d’une loi américaine connue sous le nom de CLOUD Act, les entreprises américaines sont tenues de fournir des données étrangères aux autorités américaines si elles le leur demandent. La volonté de M. Poupard est d’exclure les services américains et chinois de cloud dans les secteurs critiques en Europe.

La vision de M. Poupard sur la cybersécurité du cloud européen « sera un véritable test, un véritable objectif pour la volonté politique de parvenir à une autonomie stratégique dans le domaine numérique ».

Plan de relance pour la cybersécurité

La volonté d’une “autonomie stratégique” européenne passe par le fait de devenir moins dépendants des services en nuage américains. L’’idée que l’Europe doit garder le contrôle de la politique technologique est dûe à la crainte de l’espionnage et de la surveillance des États-Unis.

En matière de cybersécurité, l’Italie a pour habitude de suivre les directives et recommandations de l’UE et de l’Otan pour sa cybersécurité. De plus, dans le cadre du plan de relance européen, avec son Plan National de Rétablissement et de Résilience, l’Italie compte investir largement dans sa cybersécurité. Ainsi, sur une enveloppe de 261 milliards d’euros, la numérisation, l’innovation et la sécurité de l’administration publique se verront allouées 11,15 Mds d’euros. L’achat de matériel et de logiciels plus récents et plus performants contribuera à contrecarrer les plans des cyber attaquants.

Pour la France, l’année 2022 sera cruciale à l’échelon européen. En effet, elle sera à la présidence de l’Union européenne et compte agir pour améliorer la coordination européenne en matière de cybersécurité, notamment en organisant une conférence sur la défense en début d’année, puis en travaillant sur une évolution de la directive Network Information System (NIS). La France veut aller plus loin sur ce paquet cyber qui assure un niveau de sécurité commun pour les réseaux et les systèmes d’information de l’Union européenne.

La volonté de protéger le cyberespace français est aussi dans l’agenda de la présidente de la Commission européenne. Lors de son discours sur l’état de l’Union, elle a déclaré le numérique comme un enjeu décisif du marché unique. A ce titre, 20% du plan de relance européen concerne le numérique, dans le but d’investir dans la souveraineté technologique européenne. Il s’agit d’une énième tentative de l’Union européenne pour faire émerger des concurrents aux GAFAM américains et aux BATHX chinois. Pour le moment, le seul levier d’influence de l’Europe est l’action législative, avec l’application extraterritoriale du RGPD depuis 2018. En ce sens, les débats en cours autour du Digital Services Act (DSA) et du Digital Markets Act (DMA) ont pour but d’étendre la régulation des plateformes comme les GAFAM.

 

5 règles d’or en cas d’attaque cyber

Le point

Si vos équipements ont un comportement anormal, répétés dans un laps de temps court et sur plusieurs systèmes, vous êtes très probablement sous le coup d’une attaque cyber. Mais généralement, et bien souvent, un beau texte sur fond noir ou une tête de mort illustrant le commentaire indique que vous devez payer une rançon pour accéder à vos contenus.

En cas d’attaque, il y a 5 règles élémentaires à exécuter dans un ordre de priorité précis. L’enjeu est de stopper la propagation du malware. Généralement le mal sera déjà fait. Mais vous empêcherez alors le vol de données qui prend du temps. En coupant les liens, les ordinateurs deviennent sourds et muets ce qui les rend par définition intouchables.

La première chose à faire c’est débrancher le câble de connexion à votre routeur télécom pour empêcher le dataleaks. Vous n’aurez plus d’internet. Inutile donc d’activer le partage de connexion avec votre GSM, vous allez aggraver la situation. À ce stade on ne travaille plus et on ne touche plus à rien. Puis débrancher les câbles de chaque serveur pour que la communication entre vos serveurs et vos postes de travail soient coupés.

A ce moment on peut commencer à regarder son plan de crise et en particulier les critères d’évaluation de l’ouverture d’une cellule de crise. Se préparer à ouvrir la cellule de crise, avec ses fonctions habituelles, directeur, coordinateur, historien, com et juridique. On y associera les experts nécessaires à cette attaque cyber, DSI mais aussi le DRH et le business.

La seconde étape, c’est prévenir vos salariés de ne plus toucher aux ordinateurs, d’interdire la connexion à distance et de contacter vos partenaires et clients pour annuler vos rendez-vous de la journée. Très important, vous interdisez à vos salariés de communiquer sur la situation. Secret absolu, ceci préservera la stratégie de votre communication de crise et vous permettra de mieux protéger votre marque et votre image.

Comme un secret de ce type ne tient jamais bien longtemps, on envisagera en réunion de la cellule de crise, tous les scénarios d’évolution défavorables. Impacts business (allez vous pouvoir produire, vendre, transporter, servir vos clients ?), financiers (risques qui découlent de l’impact sur le business mais aussi du risque juridique en particulier RGPD -l’amende pour rappel est de 4% du chiffre d’affaire- allez vous payer la rançon ?), juridiques (RGPD mais aussi quid d’un client qui se retourne contre vous car il croyait benoitement ses dossiers entre des mains amies), social (vos employés vont prendre une dose de stress, et un sentiment de frustration non négligeable, sur le long terme on ajoute l’impact sur le talent retention et sur la marque employeur, qui veut travailler pour Yahoo ?) et même humain (les pirates peuvent prendre le contrôle sur des systèmes hydrauliques, sur des vannes et tuer des gens, cela est déjà arrivé).

Comment votre stratégie de gestion de crise va protéger votre image ?

La troisième étape, c’est contacter votre assureur si vous avez une police d’assurance sur le risque Cyber. Si vous n’en avez pas, contactez-le quand même pour engager la procédure de sinistre. Chaque assureur à son protocole. Plus on intervient tôt, plus on a de chance d’être mieux accompagné et couvert.

Une fois les scénarios d’impacts déroulés, conviendra de commencer à réfléchir aux plans de mitigation, comment limiter la force de l’impact ? Comment faire baisser la probabilité du scénario ?

La quatrième étape c’est contacter votre partenaire cyber sécurité. Le mieux est de l’avoir identifié. Si vous n’en connaissez pas, utilisez votre réseau. Appelez votre avocat, votre agence de communication, mais pas votre prestataire informatique. Ce n’est pas son métier et il va vouloir improviser pour faire au mieux et vous aider. C’est très dangereux de faire intervenir un technicien sans l’expertise très pointue et sensible qu’exige la gestion technique d’une attaque cyber. Ne vous précipitez pas, attendez de le trouver, c’est lui qui pilotera votre partenaire informatique pour obtenir les informations dont il a besoin pour comprendre comment fonctionne votre organisation.

Maintenant il faut parler en interne, comment raconter l’histoire ? Eviter la recherche du bouc émissaire, la panique (données de marché confidentielles, dossiers classés SD, photos privées.. tout ce qui était sur un terminal peut se retrouver dans la nature) ? Il faut se préparer à vivre de longues semaines sans un accès complet à l’environnement de travail habituel (vos mails, vos datas, etc..)

Enfin, la dernière étape, enclenchée dans l’heure de l’attaque, c’est prévenir votre avocat. Mais pas votre avocat d’affaires. Votre avocat spécialiste de l’enjeu cyber. Celui qui gérera avec votre communication de crise la relation avec vos clients, vos partenaires et votre image. Ne contournez jamais ces règles. Vous ne ferez que complexifier la situation à tout point de vue.

L’attaque a fuité ? De toute façon vos clients, partenaires et fournisseurs ont bien remarqué que vos mails ne répondaient plus et que vous utilisiez des gmails. De toute façon le « milieu » cyber et certains experts comme Zataz auront bien repéré votre attaque et publié à son propos. Vient le temps de la com externe, comment ne pas affoler les marchés si vous êtes cotés en bourse ? Que répondre à la presse ? Quelle posture va être la meilleure pour sortir grandi de cette affaire ?

Une attaque cyber, c’est une attaque contre soi. C’est très perturbant et bouleversant. Personne n’est préparé à cela et cette situation engendre qu’on le veuille ou non un état de choc, y compris chez certains salariés. Il faut donc engager une démarche rassurante, expliquer ce qu’il se passe, ce qu’il va se passer et comment cela va être géré. C’est le meilleur moyen de protéger la mobilisation des salariés et cela aidera beaucoup l’équipe de crise qui à du recul, pas d’affect et une objectivité pertinente. Faites confiance et déléguer, car cette fois-ci, il n’y a que les professionnels qui pourront vous soutenir.

Nous avons bien guéri de la distorsion des biais cognitifs avec le Covid, méfions-nous cependant, une attaque cyber n’arrive pas qu’aux autres, grands ou petits, symbolique ou pas, la question n’est pas de savoir si cela vous arrivera, mais quand !

EH&A était à la conférence Risk-In de Bâle !

Le 31 mai 2018, Emmanuelle Hervé était à Bâle pour participer à la conférence Risk-In. Pendant deux jours, des spécialistes de la gestion des risques se relaient pour présenter et débattre des derniers enjeux en matière de gestion de crise.

La session 2018 insistait notamment sur la gestion des risques cyber et, plus légèrement, nous expliquait comment « Take the Drama out of a Crisis » (tips gratuits : soyez un leader attentif à ses troupes. C’est vous qui déterminerez quel sera le ‘climat’ de crise : paniqué et désordonné ou calme et prêt à livrer bataille).