En prenant ses fonctions le 20 janvier 2021, le président Joe Biden a découvert un paysage inquiétant en matière de cybersécurité. Son administration fait face aux anxiétés d’une nation qui réclame des réponses pour la campagne de cyber-espionnage de SolarWinds Orion, une attaque dont nous ne connaîtrons presque certainement jamais l’ampleur ni l’impact et dont SolarWinds aura été le dernier signe avant-coureur. Alors que nous avons été témoins de cyber-compromis et de brèches dans les données au cours de la dernière décennie, cette dernière attaque met en lumière la recrudescence effrayante des cyber-attaques dans les conflits géopolitiques et, surtout, la vulnérabilité des superpuissances nationales, même les mieux équipées, face à des cyberattaques bien armées et créatives.
100 jours pour une double crise
La stratégie actuelle en matière de cybersécurité nationale aux États-Unis et dans le monde, largement axée sur les opérations offensives et la dissuasion, a échoué. Lors de ses 100 premiers jours au gouvernement, Biden devra relever un double défi : celui de la crise sanitaire et celui de la cyberdéfense, la première ayant créé les vulnérabilités de la seconde. Les États-Unis devront rétablir leur position internationale en renforçant la sécurité de leurs réseaux informatiques et protéger leurs données. Il faut abandonner l’ancienne croyance selon laquelle les règles de la guerre conventionnelle s’appliquent au monde de la cybernétique : les puissances mondiales de la cybernétique se distinguent par une défense optimale, et non plus seulement par une bonne stratégie offensive.
Pour regagner une défense solide contre les attaques depuis des acteurs publics, il faudra que les pays se focalisent sur la défense contre les attaques sur les chaînes d’approvisionnement, comme celle de SolarWinds Orion ; essayer de les prévoir serait un jeu de dupes. Les pays doivent complètement revoir leurs méthodes de détection et de défense contre des campagnes de plus en plus originales orchestrées par les États-nations. Les stratégies de prévention actuelles et les défenses rigides basées sur les signatures – qui ne font qu’arrêter les menaces connues – sont vaines face au niveau de complexité de ces nouvelles attaques.
Des années d’expériences au sein des services secrets sur les enjeux de cybersécurité permettent d’affirmer que des États-nations mènent des cyber activités malveillantes en amont des opérations sur le champ de bataille. Cela permet de créer une situation avantageuse à travers l’utilisation de cadres indétectables pour les activités stratégiques à l’avenir. SolarWinds Orion semble avoir été une opération de collecte de renseignements et d’espionnage pour infiltrer les plus hauts niveaux du gouvernement américain et les infrastructures nationales essentielles. Mais ces exercices vont permettre d’autres opportunités de sabotage des organisations publiques et privées. Les vulnérabilités des États-Unis en matière de cybersécurité s’accroissent en raison de la complexité croissante des chaînes d’approvisionnement mondial.
Pour garantir la sécurité des services publics sur lesquels compte la société, il faut une réaction rapide aux plus hauts niveaux de gouvernement. Cela exige énormément de ressources pour développer les politiques et les stratégies de cybersécurité, en parallèle d’un nouveau leadership qui intègrerait les nouvelles technologies, adaptées et adéquates, pour diriger les opérations nationales de cybersécurité dans le contexte actuel.
Face aux attaques visant ses hôpitaux, la France réagit
Les Européens procèdent déjà à des améliorations nécessaires de leur infrastructure suite à la présentation de la nouvelle Stratégie Européenne de Cybersécurité le 16 Décembre 2020, qui vise à doper les défenses de l’Union. La proposition de la Commission visant à créer un réseau de Centres des Opérations de Cybersécurité à travers l’Union européenne (alimenté par l’intelligence artificielle) afin de lever un bouclier de cybersécurité contre les menaces envers l’Union, est particulièrement prometteuse. Cette stratégie constitue un pas en avant critique des approches nationales et supranationales en matière de cybersécurité ; qui plus est, cette stratégie signifie que l’Union comprend la futilité d’essayer de parer aux attaques à travers la main d’œuvre pure. Les humains seuls ne sont tout simplement plus suffisants pour assurer les besoins de cybersécurité des organisations publiques, chose que des milliers d’organisations à travers le monde commencent enfin à comprendre. À l’échelle mondiale, l’IA répond déjà par elle-même à une cybermenace toutes les trois secondes et mène plus d’un million d’enquêtes de sécurité automatisées par semaine.
En France, le plan Macron, annoncé le 18 février, a pour objectif de rendre la France compétitive à l’échelle internationale sur le plan de la cybersécurité. Faisant suite à plusieurs attaques sur l’infrastructure des soins de santé en France, notamment contre les hôpitaux de Dax et Villefranche-sur-Saône, ce plan compte doubler l’effectif des employés de cyberdéfense en France avant 2025. Cependant, cette approche néglige la possibilité imminente de cyberattaques alimentées par l’intelligence artificielle : les attaques automatisées pourront infiltrer les réseaux informatiques à toute heure de la journée en imitant les humains, contournant ainsi les défenses basées sur les effectifs. Pour combattre de telles attaques, il faut une approche qui intègre l’intelligence artificielle aux équipes d’analystes humains.
Aux États-Unis, la loi d’autorisation de la défense nationale (NDAA) de 2021, récemment adoptée, est l’un des textes législatifs les plus importants de cybersécurité adoptés depuis des années. Le rétablissement d’un poste de directeur national de la cyberdéfense à la Maison Blanche est particulièrement important, car il doit être doté de toute l’autorité nécessaire pour s’approprier la mission de cyberdéfense nationale. On y trouve également des pouvoirs élargis pour la Cybersecurity and Infrastructure Security Agency (CISA), mais même ceux-ci doivent aller plus loin et éventuellement établir la CISA comme un département autonome en dehors du Department of Homeland Security (DHS).
Pour assurer la supériorité défensive nécessaire pour combattre les cyber-menaces d’aujourd’hui et de demain, nous devons nous doter d’une technologie capable de comprendre l’environnement numérique et de surveiller les données critiques des organisations plutôt que d’observer les attaquants et d’essayer de prévoir leur prochaine action. Ceci doit s’effectuer à tous les niveaux du gouvernement – de l’Etat Fédéral aux autorités locales – et au niveau des entreprises. Étant donné l’ampleur et la complexité toujours croissantes des environnements numériques, les équipes de cybersécurité doivent utiliser des technologies comme l’intelligence artificielle pour détecter, enquêter et réagir aux activités malveillantes sur le réseau.
Cette approche recentre l’attention sur la question primordiale qui se pose : comprendre et appliquer constamment un comportement numérique “normal”. En comprenant l’évolution de l’activité “normale”, nous serons mieux équipés pour déjouer les attaques dès les premiers signes de danger.
Les gouvernements ont une opportunité unique et évanescente qui se présente suite à l’attaque SolarWinds Orion. Les techniques des États pour se défendre contre les attaquants sont rapidement apprises par les agents visant à infiltrer des infrastructures cruciales par le biais des chaînes d’approvisionnement et les failles non détectées. Il faut capitaliser sur le choc et la visibilité médiatique de cette attaque pour pour insuffler le sentiment d’urgence nécessaire pour reprendre le dessus sur les cybercriminels. Les nouvelles applications liées au développement de l’IA sont un premier axe technologique qui semble véritablement utile pour redonner l’avantage aux organisations légitimes, face à ceux qui voudraient leur porter atteinte. Les nouveaux leaders qui utilisent l’IA en matière de cyberdéfense pour anticiper les menaces, ainsi que le projet Cyber Centaure portés par le CEA en France en sont de bons exemples à suivre.