La guerre Russe en Ukraine ne se joue pas qu’à coups de missiles et d’artillerie lourde. Derrière cette violence inhérente à tout conflit armé, se déroule un autre champ de bataille : celui de l’espace cyber. L’informatique innerve aujourd’hui le fonctionnement de nos économies et les rend vulnérables à des cyberattaques qui affectent les entreprises comme les administrations ou les infrastructures critiques. Éclairages de cet autre champ de bataille avec Fabien Rech, Vice Président EMEA de Trellix.
La guerre en Ukraine a-t-elle un impact sur votre activité ?
Notre approche consiste à aider nos clients à se défendre. Des entreprises ukrainiennes nous ont demandé de passer dans le cloud, c’est-à-dire d’assurer la sécurité physique des données. On sent que les responsables sécurité ont augmenté d’un cran leur vigilance. Nous nous battons pour la paix, notre rôle n’est certainement pas de mener des opérations offensives contrairement à ce que peuvent envisager des services gouvernementaux.
Joe Biden met en garde les entreprises contre des cyberattaques russes. Constate-t-on déjà une augmentation des incidents ?
On ne constate pas aujourd’hui une augmentation d’agressions informatiques. En revanche, on reste dans un paysage toujours dangereux : les attaques cyber, qu’elles soient crapuleuses ou visant à affaiblir un pays et ses infrastructures, restent permanentes. Ceux qui pensent pouvoir isoler un système informatique du risque d’intrusions malveillantes se bercent d’illusions. Il existe un principe à garder à l’esprit : le danger se situe partout. Et la guerre en Ukraine ne peut que s’exacerber.
Peut-on néanmoins penser que la Russie cherchera à lancer des attaques informatique contre les pays occidentaux ?
Ce que l’on sait, c’est que la Russie protège les hackers dès l’instant où ils n’attaquent pas les intérêts russes. Et effectivement beaucoup de groupes de hackers russes sont soupçonnés d’être derrière les plus grands faits divers de ces dernières années impactant le cyberespace, notamment concernant les infrastructures critiques. On peut citer par exemple l’attaque contre le système énergétique ukrainien fin 2015 par le malware BlackEnergy, ou plus récemment celle visant Colonial Pipeline en mai 2021 qui avait entraîné des difficultés d’approvisionnement de pétrole sur la côte Est des Etats-Unis.
Peut-on remonter à la source de ces attaques ?
Il s’agit d’un exercice délicat car les hackers informatiques évitent de laisser des traces. D’abord ils prennent le contrôle d’un serveur mal protégé situé dans n’importe quel pays, qu’ils vont utiliser comme un cheval de Troie pour pénétrer des systèmes informatiques cibles. Ils brouillent leur piste derrière de multitudes rebonds et effacent les données quand ils se savent repérés. Néanmoins un faisceau d’indices permet d’avoir des présomptions assez précises. Par exemple, des logiciels qui ne fonctionnent pas sur les ordinateurs qui ont par défaut le Russe ou d’autres langues d’Europe de l’Est sur leurs systèmes ont de fortes chances de provenir de Russie. Il a été ainsi possible d’identifier un certain nombre de groupes tels que Darkside ou encore Cozy Bear, aussi appelé APT29. Le rançongiciel NotPetya, qui a d’abord infecté des ordinateurs ukrainiens, semble aussi d’origine russe. Conçu pour se propager rapidement et causer des dommages, sous l’habillage d’un ransomware, sa finalité semble davantage être de semer le chaos que de l’extorsion de fonds. Nous traquons actuellement 31 groupes de hackers.
Les entreprises françaises sont-elles suffisamment protégées ?
Il y a eu un fort investissement français sur la cybersécurité, notamment après les attaques de rançongiciels sur plusieurs hôpitaux. Globalement les grandes entreprises se sont dotées d’un bon niveau de protection. Il peut en aller différemment pour certaines administrations ou pour les TPE/PME. Il faut continuer à sensibiliser les responsables du secteur privé comme public pour qu’ils mènent les investissements nécessaires à leur sécurité. Il faut bien comprendre qu’il est aujourd’hui impossible d’échapper aux attaques informatiques, et les agressions indiscriminées de grande envergure ont laissé la place à des attaques plus ciblées, en hausse de 43% en 2021. Elles peuvent se faire à partir d’un ransomware ou d’une attaque dite par « third party », c’est-à-dire qui utilise un logiciel qui sert au fonctionnement régulier du système d’information mais qui est piraté (par exemple les piratages de Microsoft et d’Okta par les hackers de Lapsus$).
Dans ces conditions, comment se protéger efficacement ?
Il est d’abord impératif de mettre en place des dispositifs de surveillance par le biais d’un Security Operations Center (SOC), qui est une plateforme assurant la supervision et l’administration de la sécurité du système informatique. Elle va permettre d’identifier les anomalies et de prendre les contre-mesures nécessaires avant qu’il ne soit trop tard. Il s’agira par exemple de bloquer des adresses IP corrompues, de fermer certains comptes et de mettre des patchs, c’est-à-dire un correctif sur le code d’un logiciel. Il faut aussi bien comprendre que réagir à chaud en cas d’intrusion ne sera efficace que si des procédures strictes auront été définies au préalable. Rester en sécurité suppose un état de vigilance permanent et un entraînement régulier. C’est d’autant plus vrai que la convergence de la high-tech et de la low-tech accroît notre vulnérabilité collective.
A propos de Fabien Rech
A peine diplômé de son école d’ingénieur et après un démarrage rapide en tant que chef de projet dans des structures informatiques, Fabien Rech décide de créer sa propre entreprise à 25 ans. Entouré de son équipe, il développe une société de réseau informatique à travers des références réputées avant d’être racheté par Lexsi, une référence dans la cybersécurité (acquise ultérieurement par Orange). Durant ses 10 ans, il crée des partenariats stratégiques au sein de l’écosystème français de la sécurité informatique.
En quête de nouveaux défis, Fabien rejoint McAfee en 2008. Il est reconnu pour son talent et son engagement acharné. Au cours des dernières années, Fabien a dirigé le marché français et, grâce à son énergie positive, son dynamisme et son engagement, il a réussi à atteindre une croissance à plusieurs chiffres et à transformer la France pour devenir un pays leader dans la région EMEA.
Fabien a été nommé Vice-Président Europe du Sud, Benelux et Israël en janvier 2020. Depuis début 2021, Fabien a pris la responsabilité des comptes stratégiques européens, moyen-orientaux et africains pour devenir Vice-président EMEA de McAfee, devenu Trellix en janvier 2022 suite à la fusion du groupe avec FireEye.
