Les conclusions d’une étude prospective sur la cybercriminalité (*) viennent d’être rendues publiques. Nous en publions en exclusivité une synthèse. Résultat du travail d’un groupe d’experts réuni sous l’égide de la Gendarmerie nationale, auquel Best Practices Systèmes d’Information a participé, ce document dessine les évolutions probables de la cybercriminalité à l’horizon 2020. Des menaces auxquelles les DSI doivent se préparer…
Les experts consultés dans le cadre de l’étude s’accordent sur le fait que les activités illicites ou criminelles sont et seront démultipliées, les conditions de passage à l’acte et les processus de réalisation sont déjà et seront modifiés par l’usage des technologies de l’information dans divers domaines : transactions financières, vie privée, usurpation d’identité, atteintes à la réputation, atteintes aux systèmes critiques, terrorisme, etc.
En effet, les réseaux numériques facilitent le passage à l’acte avec de nombreux atouts : la discrétion, l’impression d’anonymat, la démultiplication des infractions, le caractère international et la fugacité des preuves. Par exemple, le terrorisme pourrait aussi s’appuyer sur la fragilité de certains systèmes et infrastructures : aéroports, contrôles aériens, transports, transactions financières, centrales et distribution d’énergie, centres de données et de surveillance, etc., en développant de nouvelles méthodes avec des impacts considérables.
Il faut s’attendre à voir l’arrivée d’une génération d’individus imprégnés de technologies désirant agir tout en restant derrière leur écran. La possibilité d’opérer en partie ou totalement à distance en toute impunité sera une puissante incitation au passage à l’acte.
Cybercrime : une tendance de fond
L’impact global reste difficile à percevoir, alors qu’il existe une montée en puissance de la maîtrise des technologies de l’information et de l’exploitation des failles par les cybercriminels, un écart entre États de droit et pays corrompus, et un paradoxe lié aux évolutions et ruptures technologiques. Il est toujours utile de rappeler que la technologie est neutre.
En revanche, l’usage qui en est fait sera qualifié de néfaste ou, au contraire, de positif. C’est en particulier le cas de la cryptographie qui permet de sécuriser les transactions et les échanges de données, mais aussi d’assurer la confidentialité des communications couvrant des activités illégales et l’établissement de preuves.
Les dix années à venir relèvent de la mobilité, avec des exigences de disponibilité, de communication en temps réel, de connectivité et davantage de dépendance des équipements et de risque pour l’identité numérique. Cette décennie sera aussi celle des systèmes de supervision des automates et fera naître de nouveaux risques.
Ainsi, les évolutions prévues, susceptibles de favoriser la cybercriminalité, sont l’effacement de la frontière entre sphère professionnelle et sphère privée, la difficulté de localiser les informations de l’entreprise et les applications Web avec le cloud computing, les codes malveillants furtifs ciblés, et, plus généralement, l’usage massif des nouvelles technologies, notamment mobiles et sans fil, et l’exposition sans précaution à l’ingénierie sociale, aux réseaux sociaux, aux téléchargements par des moyens mobiles moins sûrs, etc.
À l’opposé, des mesures de sécurité fondées sur ces technologies pourraient avoir des effetss positifs. La sécurité est au centre du problème et devra s’appuyer sur des politiques et la stricte application de mesures. Elle sera un défi majeur avec le cloud computing, du fait de la complexité des lieux de stockage des données et de leurs diverses juridictions, avec des risques majeurs liés à la gouvernance et à la territorialité. Le niveau de qualité effective de la sécurité sera un facteur-clé d’acceptation de ces nouveaux services.
L’étude publiée sous l’égide de la Gendarmerie nationale synthétise la vision d’un panel d’experts sur les évolutions probables à l’horizon 2020 des menaces liées aux technologies de l’information.
Quelles nouvelles menaces ?
Les menaces émergentes porteront non seulement sur les transactions et les applications en ligne, mais aussi sur les systèmes de commande industriels, robotiques, domotiques et embarqués, avec le développement de la connectivité à Internet et la dépendance de plus en plus forte à l’outil numérique. Les systèmes SCADA (Supervisory Control And Data Acquisition) de télésurveillance, de contrôle distant et de télégestion technique en temps réel, et les systèmes satellitaires pourraient être particulièrement ciblés. Les services à la demande du cloud computing favoriseront par ailleurs des programmes malveillants abusant les utilisateurs.
Il est probable que les nouvelles menaces visent des technologies pas forcément novatrices, mais en phase ou en attente de déploiement massif. Dès lors, des attaques, auparavant envisageables mais non réalisées par manque d’intérêt financier, deviennent lucratives sinon significatives par leur effet de masse.
Il s’agira, enfin, d’attaques menées à l’encontre d’infrastructures critiques et de services stratégiques financiers, socio-économiques, etc., avec le recours à des relais vulnérables ou à des groupes actifs, pour désorganiser et paralyser des systèmes, visant le black-out des communications ou de la distribution d’énergie, en particulier en cas de conflits.
L’évolution des réseaux sociaux, confortée par le goût croissant des utilisateurs pour la communication électronique, ne manquera donc pas de générer des menaces à l’encontre des personnes, mais aussi des entreprises, des organisations publiques et des États. Les possibilités de chantage et de racket envers les entreprises et les services des États pourraient utiliser notamment des réseaux de discréditation, notamment en combinant par exemple les potentialités de WikiLeaks et de Facebook.
Se développeront indubitablement les escroqueries et les fraudes avec usurpations et vols d’identité numérique et de coordonnées bancaires, l’utilisation frauduleuse de données personnelles, la violation de la vie privée, les attaques à base d’ingénierie sociale, etc. Le risque bioinformatique, avec la récupération de données personnelles d’ordre médical et surtout l’atteinte à leur intégrité dans un but criminel, est aussi à prendre en compte.
Des menaces transverses toutes les organisations
Les trois menaces les plus citées sont communes aux entre-prises, aux collectivités et aux administrations. Il s’agit de l’indisponibilité (déni de service, sabotage, blocage, paralysie…), de l’atteinte aux données (stratégiques, personnelles, confidentielles, sensibles…) et de l’atteinte à l’image (désinformation, diffamation, compromission…).
Du point de vue des sciences cognitives et sociales, il est souligné les difficultés de gestion des crises pouvant entraîner la paralysie partielle ou totale des réseaux et des systèmes d’information dont dépendent les activités critiques et les besoins majeurs, alors que la dépendance envers ces systèmes est bien réelle, mais peu prise en compte.
Mais une mesure précise de la répartition des atteintes, en nombre comme en gravité, est très difficile, alors qu’il est déjà délicat de prévoir l’évolution de la criminalité classique générale.
L’usurpation d’identité électronique, résultant d’actes d’interception et de vol de données préalables, se développera, notamment du fait de l’ingénierie sociale maintenant entrée dans la cybercriminalité avec des outils logiciels malveillants et des procédés performants associés aux phénomènes de phishing et de spamming.
Les interceptions de données personnelles à partir des systèmes des particuliers, des entreprises, des collectivités, etc., vont continuer à s’accroître dans le temps, au vu d’une technicité qui, elle aussi, est en progression, et avec des buts lucratifs ou autres visés.
Des infrastructures fragilisées
Les infrastructures critiques seront les cibles d’un cyberterrorisme aux motivations variées. Les réseaux de distribution d’énergie, de transports et de communication devraient connaître des attaques qui auront pour objectif la paralysie d’une nation par privation de services vitaux. De telles attaques pourraient causer des crises sans précédent. Par ailleurs, l’atteinte à la réputation (e-reputation) devrait augmenter, en gravité essentiellement, au point de devenir une cause significative, voire définitive, d’atteinte à l’image de l’entreprise ou de l’individu.
Trois grands facteurs aggravants ont été identifiés. D’abord, la mobilité, et en particulier le nomadisme, impliquent naturellement une plus grande facilité à véhiculer les codes malveillants et à récupérer des données sensibles.
Les systèmes d’information se fragilisent par la généralisation des accès distants et le stockage local de fichiers téléchargés, plus sensibles à certaines menaces telles que la perte ou le vol. Par ailleurs, avec les systèmes « en nuages », les entreprises comme les particuliers sont en mesure de perdre la vision physique de leurs données, voire l’accès.
Ensuite, les architectures de type cloud computing estompent les frontières réelles et numériques. On ne sait plus où sont stockées les données, qui les gère, qui les utilise… La manière dont semble évoluer l’offre de technologies, centrée sur une reprise du contrôle des données par les entreprises au travers de la multiplication des interfaces mobiles et la virtualisation des systèmes de stockage, devrait entraîner une aggravation de l’insécurité dans le cyberespace en raison de la très faible mise en œuvre d’architectures sécurisées.
Enfin, la dépendance de plus en plus forte des entreprises, le manque de diversité et l’hypercriticité des systèmes interconnectés, mais aussi la complexité de prise en compte de la sécurité au niveau approprié des services «en nuages», en particulier offshore, et la concentration des données dans des mégacentres, constituent également des facteurs aggravants.
La recherche du profit… encore et toujours
Le premier but prépondérant de la criminalité n’a jamais fondamentalement changé : il s’agit de maximiser les profits financiers en minimisant les risques, analysés de son propre point de vue. Les tentatives de désorganisation ou de déstabilisation, si elles peuvent être perçues dans un premier temps comme des démarches idéologiques, sont souvent liées à un enjeu financier.
Du fait d’une concurrence de plus en plus exacerbée, des actions de perturbation s’intensifieront à l’égard des entreprises. Les attaquants poursuivront un gain de compétitivité par des tentatives régulières et massives de pénétration et de pillage de la propriété intellectuelle, parfois appuyées au niveau étatique.
Le second but prépondérant sera certainement la recherche du pouvoir, par le contrôle de l’information, pour sa diffusion et la connaissance de données personnelles. En effet, si l’appât du gain reste l’un des buts prioritaires des cyberdélinquants, des actions de déstabilisation des centres vitaux devraient aussi se développer durant les prochaines années.
En fait, le recours aux réseaux numériques est une stratégie qui nécessite peu d’investissements, notamment pour des pays émergents qui rencontrent de grandes difficultés économiques. Dans une société où l’information est une arme, la recherche, la détention et la maîtrise de cette dernière constitue un pouvoir évident pesant jusqu’au niveau des États.
Il faudra également s’attendre à quelques actions spectaculaires visant des ressources et des infrastructures relevant de motifs idéologiques.
La majorité des experts concluent à une tendance lourde liée à l’organisation industrielle des activités cybercriminelles, avec son modèle économique, ses business plans, ses politiques tarifaires empruntées au monde marchand et même son service après-vente.
De ce constat découle une disparition du profil hacker/cybercriminel indépendant au profit d’un mercenariat recruté pour une mission, en fonction des compétences, et œuvrant au sein d’équipes se partageant le travail, et donc les risques, grâce à une dispersion internationale. Il y a lieu aussi de ne pas oublier les spécialistes de la propagande, de la déstabilisation et des manipulations, qui auront recours au support des réseaux sociaux et à des méthodes de fabrication ou de falsification réservées jusqu’alors aux faussaires.
Quel ROI des politiques de sécurité ?
Les entreprises fonctionnant essentiellement sur le principe du retour sur investissement, les normes de sécurité seront d’autant mieux appliquées et contrôlées qu’elles pourront clairement identifier les plus-values, en rapport avec la perception des risques encourus et le coût des mesures à prendre, ce qui reste encore bien difficile actuellement, faute d’une valorisation complète au vu des incidents informatiques.
Toutefois, un faisceau convergent de pressions permet de constater déjà une amélioration notable de la prise en compte de la sécurité des systèmes d’information qui va se poursuivre sous l’effet de contraintes extérieures aux entreprises.
L’externalisation, avec son aboutissement, le cloud computing, pourrait être une stratégie d’évitement de la problématique, mais sans nécessairement être une solution, sans l’application d’une politique de sécurité interne cohérente avec l’ensemble des services mis en œuvre à différents niveaux.
Cette prise de conscience provoquée favorise déjà la mise en œuvre de procédures de veille, prévention et gestion d’incidents, ainsi que la conformation à des normes lorsque celles-ci sont établies pour l’activité concernée. À cette tendance lourde s’ajoute une qualité et une pertinence des normes et de directives toujours grandissantes du fait de leur spécialisation croissante en fonction des domaines encadrés : ISO 27002, ISO 20000, Itil, PCI DSS, Bâle 3, Solvency2, directives de l’Agence nationale de la sécurité des systèmes d’information (ANSSI) ou standardisation européenne…
(*) « Analyse prospective sur l’évolution de la cybercriminalité de 2011 à 2020 », © 2011 Gendarmerie nationale.
Méthodologie
L’étude prospective sur la cybercriminalité a réuni un panel d’experts issus des secteurs public et privé. La démarche retenue pour sa conduite se fonde sur un processus itératif de consultations par la méthode Delphi, sur la base d’un questionnaire établi par un comité scientifique, avec des synthèses intermédiaires.
Les vingt-deux experts ayant contribué à ces travaux ont bénéficié de trois tours de consultation individuelle pour s’exprimer et reformuler leurs réponses en les confrontant aux résultats des réflexions collectives. Sans exclure la possibilité d’une rupture technologique majeure, la combinaison de leurs analyses, étayées par leurs expériences professionnelles respectives, a permis de dégager les convergences d’opinions et d’indiquer les tendances.
Le comité scientifique était composé de Eric Freyssinet, chef de la Division de lutte contre la cybercriminalité, Service technique de recherches judiciaires et de documentation, Pôle judiciaire de la Gendarmerie nationale, Daniel Guinier, expert près la Cour pénale internationale de La Haye, Philippe Rosé, rédacteur en chef de Best Practices Systèmes d’Information et Dominique Schoenher, référent intelligence et sécurité économiques de la Région de gendarmerie Nord-Pas-de-Calais.