Magazine DSI

Penser le cyber : tempête de vents solaires sur les États-Unis ?

Les révélations en cascade de campagnes massives de cyberespionnage contre les agences fédérales et certaines entreprises majeures du secteur informatique aux États-Unis ont, depuis décembre, mis en lumière l’extension du champ des confrontations au cyberespace. L’évolution des défis et des enjeux que révèlent ces opérations, attribuées à des acteurs liés à la Russie et à la Chine, s’inscrit en effet dans le passage du domaine numérique d’un théâtre opérationnel à un enjeu géopolitique.

Ces opérations d’espionnage marquent deux principales ruptures du point de vue des États-Unis. D’une part, les modes d’action révèlent les faiblesses et les vulnérabilités non seulement de la cyberdéfense américaine, mais aussi de pratiques numériques augmentant la connectivité et le stockage des données dans un environnement de plus en plus interdépendant et connecté. D’autre part, elles semblent exiger une réponse que n’avaient pas déclenchée les campagnes de piratage contre l’Office of public management (OPM) en 2014, Equifax en 2017 ou encore la chaîne hôtelière Hyatt en 2015-2016, pourtant comptables des données de millions de fonctionnaires fédéraux (1). Enfin, ces cyberopérations remettent en cause la validité de l’inflexion vers une approche proactive depuis 2018 et plus largement des conséquences de la préférence donnée par les États-Unis au volet offensif de la cyberdéfense.

Les campagnes en question, improprement baptisées du nom de l’entreprise ou du logiciel dont le piratage initial a été le vecteur des intrusions subséquentes (SolarWinds et Microsoft Exchange Server), ont en effet instrumentalisé deux principales sources de risques et de vulnérabilités. Elles ont d’abord ciblé des outils largement répandus et centraux dans l’architecture des organisations à pénétrer, à savoir le logiciel de gestion de réseaux Orion de SolarWinds et le logiciel de partage collaboratif par messagerie Microsoft Exchange Server. Cette intrusion par la chaîne d’approvisionnement (supply-chain attack) nécessite une capacité organisationnelle importante et une planification de longue durée, marque vraisemblable d’acteurs étatiques. Elle illustre l’importance des chaînes d’interdépendance dans la structure même du secteur numérique, ainsi que le rôle stratégique de certains acteurs clés, qui est sans doute sous-estimé. Mais les logiciels malveillants utilisés pour se déplacer dans les réseaux des entreprises et des agences ciblées ont aussi montré la vulnérabilité que représente l’usage croissant du stockage des données dans des clouds. Plus largement d’ailleurs, c’est tout le système de confiance sur lequel repose l’architecture de communication, de partage d’information, de stockage et d’analyse des données qui a été subverti par les hackers.

Ces piratages, dont l’ampleur exacte n’a pas été publiquement évaluée à ce jour par les agences américaines chargées de la cyberdéfense, illustrent aussi les vulnérabilités et les défis de cette dernière. Sur le plan défensif, le domaine numérique américain est en pleine expansion, d’où un accroissement de la surface de vulnérabilité des réseaux et des infrastructures critiques. Par ailleurs, l’architecture de ces dernières est hétérogène, complexe et partiellement obsolète pour certains systèmes (y compris au sein du Département de la Défense). Cette situation est aggravée par les fissures organisationnelles qui parsèment l’architecture institutionnelle de cybersécurité : au sein du gouvernement fédéral, entre les différentes autorités superposées (État fédéral, États fédérés, autorités municipales, locales et tribales) et entre les secteurs privés et publics. Les piratages liés au logiciel Orion de SolarWinds ont ainsi été détectés par des entreprises de sécurité informatique ciblées par les pirates (FireEye, Crowdstrike, etc.). La réorganisation entreprise en 2018 par la création de la Cybersecurity and infrastructure security agency au sein du Département de la Sécurité intérieure ne s’est pas accompagnée des ressources humaines, budgétaires et politiques nécessaires pour mener la lourde tâche de protéger les infrastructures critiques.

0
Votre panier