NotPetya a paralysé plusieurs grandes entreprises dans le monde : Sony Pictures a été piraté à titre de représailles pour la sortie d’un film, et plus récemment, un ransomware a touché Colonial Pipeline. Ces incidents sont difficiles à annoncer aux infos, mais ils le sont d’autant plus pour les entreprises, les forces de l’ordre et les responsables politiques du monde entier. Sur Internet, les frontières n’existent pas et les attaques qui ont eu lieu dans un pays peuvent en toucher un autre, ce qui rend la juridiction compliquée.
La solution réside dans la communication et la collaboration. Cependant, ce n’est pas aussi simple.
À la conférence RSA de l’édition 2021, le directeur de la Cybercriminalité d’INTERPOL Craig Jones, l’envoyé spécial suisse de la Confédération pour la politique étrangère de sécurité cyberespace membre du DFAE (Département Fédéral des Affaires Étrangères) Jon A. Fanzun ainsi que Serge Droz, directeur de FIRST (Forum for Incident Response and Security Teams) ont participé à un débat intitulé « la cyber-bombe à retardement et la raison pour laquelle il n’y a pas d’action de la part de la communauté internationale afin de diminuer les risques liés à la chaîne de valeur », et présidé par la responsable des Affaires Publiques de Kaspersky Anastasiya Kazakova. Le groupe a abordé certains défis spécifiques et a proposé quelques idées pour fournir une réponse mondiale.
Le consensus général était favorable à une meilleure collaboration, et à partager les menaces connues et les problèmes liés à la sécurité à travers le monde. Cependant, les juridictions dépendent des frontières territoriales que les forces de l’ordre doivent respecter, ce qui n’est malheureusement pas le cas pour les cybercriminels.
« Les cybercriminels adorent ‘diviser pour conquérir’ car si on est divisés, les criminels s’épanouissent. C’est pour cette raison que notre plus grand défi est de décider comment travailler au mieux tous ensemble, et cela dépasse même les aspects techniques », explique Droz.
Les paroles de Droz semblent désespérées, mais la collaboration transfrontalière a considérablement augmenté ces dernières années. Les organismes privés, les CERT (Computer emergency response team), les forces de l’ordre et les gouvernements commencent à travailler ensemble afin de venir en aide aux victimes. Par exemple, l’initiative No More Ransom a permis aux victimes de déchiffrer leurs fichiers sans rien payer. Récemment, Europol, Bundeskriminalamt (Allemagne), Politie (Pays-Bas), Polisen (Suède), Centre to Counter Child Exploitation (Australie), la police fédérale australienne, le service de police de Queensland, le FBI, l’United States Immigration and Customs Enforcement (ICE) ainsi que la Gendarmerie royale du Canada (GRC) ont travaillé ensemble pour démanteler de grandes plateformes pédophiles sur le dark Web.
Ces exemples donnent de l’espoir, mais il faut en faire plus. Nous avons particulièrement besoin que les organisations accueillent la collaboration à bras ouverts et qu’elles commencent à normaliser la manière dont on perçoit la cybercriminalité. Nous devons également renforcer la confiance afin que les parties concernées partagent le plus d’informations possible au-delà des frontières.
Chez Kaspersky, nous voyons cette collaboration comme un processus en trois étapes qui nous permettrait d’empêcher les attaques contre les infrastructures essentielles et de mieux y répondre :
- Les points de contact nationaux (PCN) facilitent la coordination entre les autres organismes du pays, d’organiser régulièrement des exercices de gestion de cyber-crise, et de développer des opérations transfrontalières, des outils et des modèles (par exemple pour l’évaluation des incidents, les besoins en matière d’aide, ou pour des échanges responsables sur les vulnérabilités) ;
- Lors d’une attaque, les points de contact mettent en relation l’infrastructure de l’organisation qui a été touchée avec le fabricant du logiciel, la société de cybersécurité et les CERT de son pays ;
- Les points de contact partagent rapidement les informations sur la menace en question, l’analysent et comparent les échantillons pour gérer efficacement l’incident.
Nous pensons que ce type de collaboration se développera encore plus dans le futur pour créer un avenir meilleur.