Hervé Debar, Télécom SudParis – Institut Mines-Télécom, Université Paris-Saclay
Le monde de la cybersécurité a profondément évolué ces 20 dernières années. Dans les années 1980, la sécurité des systèmes d’information était un domaine plutôt confidentiel, où primait l’excellence technique. La notion de gain financier était relativement absente des motivations des attaquants. C’est au début des années 2000 que les premiers produits de sécurité ont commencé à être commercialisés : pare-feux, systèmes de gestion des identités ou des événements, sondes de détection, etc. À cette époque, ces produits ont été clairement identifiés, tout comme leur coût, parfois important. Près de vingt ans plus tard, les choses ont évolué : une attaque est désormais un gain pour l’attaquant.
Combien coûte une attaque ?
À l’heure actuelle, les motivations des attaquants sont généralement financières. l’objectif de l’attaquant est d’obtenir de l’argent de ses victimes, directement ou indirectement, que ce soit par des demandes de rançon (ransomware), ou par des dénis de service. Le spam a été l’une des premières manières de gagner de l’argent en vendant des produits illégaux ou contrefaits. Désormais, certaines attaques contre les monnaies numériques comme le bitcoin sont très populaires. Les attaques contre les systèmes de téléphonie sont également extrêmement lucratives à l’heure du smartphone et de l’informatique ubiquitaire.
Le coût des attaques informatiques est extrêmement difficile à évaluer, en raison de la diversité des approches employées. Deux catégories d’informations peuvent cependant être utilisées pour tenter d’estimer le préjudice subi : celles des fournisseurs de services et celles de la communauté scientifique.
En ce qui concerne la première catégorie, le rapport du fournisseur d’accès américain Verizon « Data Breach Investigation Report 2017 » utilise comme métrique le nombre d’enregistrements compromis par un attaquant lors d’une attaque. Il ne traduit toutefois pas cette information en valeur monétaire. De leur côté, IBM et Ponemon indiquent un coût moyen de 141 dollars par enregistrement compromis, mais que ce coût est sujet à des variations importantes en fonction du pays, du secteur industriel, etc. Sur la même période, un rapport d’Accenture évalue le coût moyen annuel des incidents de cybersécurité aux environs de onze millions de dollars (pour 254 entreprises).
Quel gain pour les attaquants ?
En 2008, des chercheurs américains ont tenté d’évaluer les gains d’un opérateur de réseau de spam. Il s’agissait de déterminer dans quelle mesure un e-mail non sollicité pouvait déclencher un acte d’achat. En analysant près d’un demi-milliard de spams diffusés par deux réseaux de machines infectées (botnet), les auteurs ont estimé que les gains des pirates gérant le réseau à 3 millions de dollars. Toutefois le bénéfice net est très faible. Des études complémentaires ont montré l’impact d’attaques informatiques sur le coût des actions des entreprises victimes. Ce sujet de l’économie de la cybersécurité est d’ailleurs développé dans le cadre du Workshop on the Economics of Information Security.
Les chiffres peuvent paraître élevés mais comme classiquement pour les services Internet, les attaquants bénéficient d’un effet de réseau dans lequel le coût d’ajout d’une victime est très faible, alors que le coût de création et d’installation de l’attaque est très important. Dans le cas étudié en 2008, l’émission utilisait le réseau de robots Zeus. Comme celui-ci vole les ressources informatiques des machines compromises, le coût initial de l’attaque était également très faible.
En résumé, le coût des cyberattaques est un sujet d’étude depuis plusieurs années. Des études, académiques ou commerciales, existent. Il n’en demeure pas moins que le coût exact des cyberattaques demeure difficile à déterminer aujourd’hui. Il convient aussi de noter qu’il a été historiquement très surévalué.
Se défendre coûte cher
Malheureusement, la défense coûte cher également. Alors qu’il suffit à un attaquant de trouver et d’exploiter une vulnérabilité, le défenseur doit nécessairement de son côté les traiter toutes. Qui plus est, le nombre total de vulnérabilités découvertes chaque année dans les systèmes informatiques ne cesse de croître. Des vulnérabilités complémentaires sont notamment régulièrement introduites par la mise en œuvre de nouveaux services et de nouvelles pratiques, parfois à l’insu des administrateurs du réseau d’entreprise. C’est ainsi le cas du modèle « bring your own device » (BYOD). En autorisant les salariés à travailler sur leur propre matériel (smartphones, ordinateurs personnels), ce modèle a détruit la défense périmétrique qui prévalait il y a quelques années. Loin de faire réaliser des économies à l’entreprise, il introduit une dose supplémentaire de vulnérabilité.
Le coût des outils de sécurité reste élevé. Les prix d’un pare-feu ou d’une sonde de détection des attaques peuvent atteindre 100 000 euros. Le coût d’une plate-forme de supervision pour gérer ces équipements de sécurité peut se chiffrer à dix fois plus. En outre, leur surveillance doit se faire par des professionnels, or ces compétences manquent sur le marché de l’emploi. Au total, le déploiement de solutions de protection et de détection se chiffre en millions d’euros chaque année.
Qui plus est, il est difficile de connaître l’efficacité des centres de détection destinés à éviter les attaques, car on ne connaît pas précisément le nombre de celles qui échouent. Il existe cependant quelques initiatives en la matière, comme Information Security Indicators. Une chose est certaine, chaque jour des systèmes informatiques peuvent être compromis ou rendus indisponibles, étant donné le nombre d’attaques qui se produisent en permanence sur les réseaux. La diffusion du code malveillant Wannacry a montré à quel point certaines attaques peuvent être brutales, et leur évolution imprévisible.
Malheureusement, la seule défense efficace est souvent la mise à jour des systèmes vulnérables, une fois les failles découvertes. Ceci a peu de conséquences sur un poste de travail, mais est plus difficile sur un serveur, et peut être extrêmement délicat dans des environnements contraints (serveurs critiques, protocoles industriels, etc.). Ces opérations de maintenance ont systématiquement un coût caché, lié à l’indisponibilité du matériel à mettre à jour. Et cette stratégie a également ses limites. Certaines mises à jour sont impossibles à mettre en œuvre, comme dans le cas de Skype, qui nécessite une mise à jour majeure du logiciel et entraîne une incertitude sur son état. D’autres sont extrêmement coûteuses, à l’image des vulnérabilités Spectre et Meltdow qui touchent les microprocesseurs de la plupart des ordinateurs. Intel a d’ailleurs renoncé à colmater la faille sur les processeurs les plus anciens.
Un arbitrage délicat
Le problème de la sécurité revient donc à une analyse de risque assez classique, dans laquelle une organisation doit décider des attaques contre lesquelles elle se protège, celles pour lesquelles elle subit le risque, et celles contre lesquelles elle s’assure.
En ce qui concerne la protection, il est aujourd’hui évident que certains outils de filtrage comme les pare-feux sont indispensables pour conserver le peu de périmètre qui demeure aujourd’hui. Par contre, d’autres sujets sont sujets à controverse, comme l’abandon des antivirus par la société Netflix, au profil de l’analyse massive de données pour détecter les cyberattaques.
Le risque subi est lui très difficile à évaluer, et est souvent le résultat de l’évolution technologique des vulnérabilités et des attaques plus que d’un choix conscient de l’entreprise. Les attaques par déni de service, comme celle perpétrée en 2016 via le logiciel malveillant Mirai, par exemple, sont de plus en plus puissantes et donc difficiles à contrer.
La stratégie de l’assurance du cyber-risque est encore plus compliquée, dans la mesure où les primes sont extrêmement difficiles à calculer. En effet, le cyber-risque est souvent systémique, dans la mesure ou une faille peut toucher un très grand nombre de clients. Contrairement au risque de catastrophe naturelle, limité à une région, qui permet à l’assureur de répartir le risque entre ses différents clients et de calculer, en fonction d’un historique, un risque futur proche, une faille informatique est souvent très largement diffusée, comme le montre les exemples récents des failles Meltdown, Spectre ou Krack. Quasiment tous les processeurs, toutes les bornes wifi sont vulnérables…
Autre point qui rend le risque difficile à estimer : les vulnérabilités sont souvent latentes, c’est-à-dire que seule une toute petite communauté les connaît. Ainsi, la faille exploitée par le logiciel malveillant Wannacry avait-elle été identifiée par l’agence de renseignements américaine NSA (sous le nom de EternalBlue). Son existence a été révélée aux attaquants qui l’ont exploitée lorsque l’agence gouvernementale américaine a été elle-même victime d’une fuite de documents…
Comment faire mieux ? Des fondamentaux encore fragiles
Face au nombre croissant de vulnérabilités et aux difficultés d’y remédier, il semble indispensable de retravailler la manière dont nous architecturons, développons et opérons les services Internet. La réponse d’autres secteurs industriels a été de développer des normes et de certifier leurs produits par rapport à ces normes. Cela revient à garantir un bon fonctionnement, de manière souvent statistique. L’industrie aéronautique, par exemple, certifie ses avions, ses pilotes, et obtient de très bons résultats en matière de sécurité. Plus proches du domaine, les opérateurs téléphoniques des années 1970 garantissaient également une excellente fiabilité du réseau, avec des risques de pannes inférieurs à 0,0001 %.
Cette approche existe également dans le domaine d’Internet, avec des certifications telles que les critères communs. Ces certifications ont souvent pour origine des besoins militaires ou de défense. Par conséquent, elles sont chères et longues à obtenir, ce qui est souvent incompatible avec la rapidité de mise sur le marché des services Internet. De plus, les normes qui pourraient être utilisées pour ces certifications sont souvent insuffisantes, ou inadaptées aux environnements civils. Pour pallier à cette problématique, des solutions ont été proposées, par exemple la CSPN définie par l’ANSSI. La portée de la CSPN reste cependant limitée.
En complément, il faut également noter un positionnement systématique des langages informatiques en faveur de la rapidité et de la facilité de la production de code informatique. Dans les années 1970, des langages faisant le choix de la facilité plutôt que de la rigueur ont été mis en avant. Ceux-ci ont pu être source de vulnérabilités importantes. Récemment, on peut citer le cas de PHP. Utilisé par des millions de sites Internet, il a été une des causes majeures des vulnérabilités de type injection SQL.
Le coût de la cybersécurité, une question à ne plus se poser
Le bilan strictement financier fait que la cybersécurité est un centre de coûts, qui impacte directement le fonctionnement d’une entreprise ou d’une administration. Tout d’abord, il convient de noter que ne pas se protéger revient à attirer les attaques, en devenant une cible plus facile. Il est donc, comme souvent, utile de rappeler les règles de l’hygiène informatique.
Il est probable que le coût des failles informatiques va fortement augmenter dans les années à venir. Et plus généralement, le coût des remèdes à ces failles va augmenter encore plus vite… On sait que le moment où une erreur est identifiée dans un code informatique influe fortement sur le coût du remède : plus la détection est précoce, moins les dégâts sont importants. Il est donc indispensable d’améliorer les processus de développement, afin d’éviter que des défauts de programmation ne deviennent rapidement des vulnérabilités exploitables à distance.
Les outils informatiques sont également en cours d’amélioration. Des langages plus robustes se développent. Certains sont nouveaux, comme RUST et GO, tandis que d’autres, plus anciens, sont remis en avant, comme SCHEME. Ils constituent des alternatives plus solides que les langages actuellement enseignés, sans toutefois revenir à des langages aussi compliqués que le langage ADA par exemple. Il est essentiel de faire évoluer les enseignements afin de mieux prendre en compte ces nouveaux langages.
Temps perdu, données pillées ou disparues… Nous n’avons que trop tardé à prendre conscience de la perte de productivité engendrée par les cyberattaques. Il convient aujourd’hui de reconnaître que la cybersécurité contribue à la performance du monde professionnel. L’investissement dans des outils informatiques efficaces est devenu absolument critique.
Hervé Debar, Responsable du département Réseaux et Services de Télécommunications à Télécom SudParis, Télécom SudParis – Institut Mines-Télécom, Université Paris-Saclay
La version originale de cet article a été publiée sur The Conversation.