Les crises qui se déroulent en Ukraine ont révélé de nouvelles facettes des conflits entre États-nations, dont les répercussions vont bien au-delà de la région géographique immédiate. En tant qu’entreprise mondiale, nous éprouvons une immense empathie pour tous ceux qui sont blessés, déplacés ou autrement touchés négativement par les attaques en cours, y compris nombre de membres de notre famille élargie F5. Sans négliger les aspects très réels et très humains du conflit Russie-Ukraine, nos clients nous ont également demandé de les guider sur les types de cyberattaques qu’ils pourraient voir davantage dans les jours à venir, à la lumière des événements récents. En conséquence, l’article ci-dessous vise à répondre à ces questions d’une manière simple, respectueuse et pratique.
Le rôle des cyberattaques dans les conflits entre États-nations a donné lieu à de nouvelles préoccupations en matière de cybersécurité, à une échelle différente de celle à laquelle de nombreuses organisations sont traditionnellement confrontées, soulignant encore davantage l’importance de se défendre contre les attaques sophistiquées grâce à une stratégie de cybersécurité proactive.
Avec l’évolution d’Internet, les opérations commerciales mondiales ont considérablement changé. La transformation numérique se produit à une échelle exponentielle, stimulant à parts égales les avancées technologiques et la sophistication des cyberattaques. Parallèlement, les organisations d’aujourd’hui doivent toujours faire face à des attaquants traditionnels motivés par des raisons financières, mais aussi à des États-nations et à des acteurs motivés par des causes ayant des objectifs plus larges. Bien entendu, avec l’augmentation de la sophistication des cyberattaques, les protections correspondantes doivent également évoluer régulièrement. Dans l’économie actuelle, vous êtes beaucoup plus susceptible de rencontrer des acteurs étatiques qui développent des exploits pour des vulnérabilités connues (et inconnues).
En pratique, les États développent constamment des exploits visant l'infrastructure Internet (et les services critiques) d'autres nations. Au-delà des conflits géopolitiques immédiats entre États, vous devez appliquer ces principes à vos pratiques de sécurité en entreprise, car les États ciblent souvent un mélange de ressources Internet gouvernementales et privées pour provoquer une déstabilisation. Ainsi, les cyberattaques ciblées menacent non seulement l’intégrité des nations, mais aussi toute activité liée à une zone géographique visée. C’est pourquoi la cybersécurité proactive et continue s’impose désormais à tout type d’organisation.
D’une manière générale, les adversaires des États-nations lancent des cyberattaques ciblées pour affaiblir gravement l’infrastructure des États-nations et perturber la fonctionnalité de leurs systèmes Internet, ce qui peut à son tour avoir un impact sur l’infrastructure financière et militaire. La figure 1 présente un exemple d’ attaque ciblée (dans ce cas, le phishing) en action.
Figure 1 : Attaque de phishing ciblée en action
Les cyberattaques ciblées sont exécutées à l’aide de codes malveillants conçus pour mener des opérations furtives. Certains exemples de codes malveillants sont les exploits (exploitation des vulnérabilités), les rootkits (falsification du noyau et du mode utilisateur pour des opérations non autorisées), les kits d'administration à distance (gestion des systèmes compromettants), les Wipers (destruction des Master Boot Records du système), les ransomwares (cryptage des données sensibles et demande de rançon) et bien d'autres. Bien que généralement désignées sous le terme de cyberattaques, ces tactiques individuelles peuvent être considérées comme des « armes numériques ».
Lors des conflits entre États-nations, les adversaires mènent une grande variété d’attaques, les menaces numériques s’ajoutant à celles de nature physique traditionnelle. Les États-nations d’aujourd’hui sont parfaitement familiarisés avec la mise en œuvre de multiples séries de cyberattaques, dont voici quelques exemples marquants :
Dans le même ordre d’idées, voici une brève description des cyberattaques notables susceptibles d’être utilisées comme « armes numériques » dans les conflits entre États-nations :
Type de cyberattaque | Nom de code malveillant (« Arme numérique ») |
Caractéristiques |
---|---|---|
Déni de service distribué (DDoS) | Botnet inconnu | Déni de service : Impact sur la disponibilité des infrastructures critiques telles que les portails Web des institutions financières, militaires, etc. |
Distribution de logiciels malveillants | Porte des murmures | Destruction des données et blocage du système : Corruption du Master Boot Record (MBR) des systèmes compromis et cryptage des fichiers sensibles |
Distribution de logiciels malveillants | Essuie-glace hermétique | Destruction des données et blocage du système : Corruption et effacement des fichiers sensibles sur les systèmes compromis |
Tableau 1 : Un code malveillant susceptible d'être utilisé dans des cyberattaques lancées lors de conflits entre États-nations
En utilisant les armes numériques énumérées ci-dessus, les acteurs étatiques peuvent lancer une série d’attaques de grande envergure pour avoir un impact grave sur les infrastructures détenues par les gouvernements et les organisations. Cela fait généralement partie d’une stratégie plus vaste visant à perturber la capacité de l’État-nation à communiquer librement et à perturber à la volée les systèmes financiers et militaires en contournant l’intégrité, la disponibilité et la confidentialité des systèmes actifs de l’infrastructure.
Encore une fois, même si cela peut sembler plus immédiatement pertinent pour les États-nations en conflit, il existe un risque plus large lorsque les outils et les exploits utilisés dans ces attaques se frayent un chemin dans le paysage des menaces plus vaste. (Un exemple historique de cela est le bug NotPetya de 2017.)
La cybersécurité proactive s'impose comme une approche indispensable. Si les gouvernements ont généralement la responsabilité de surveiller et protéger en continu les infrastructures critiques (portails web militaires, sites d'institutions financières, infrastructure SCADA) contre les cyberattaques, la frontière entre sécurité publique et privée est désormais bien plus subtile. Dans l’ensemble, sécuriser l’infrastructure réseau et les applications déployées reste crucial pour empêcher les attaques réseau, telles que les attaques DDoS et la propagation de codes malveillants, afin de préserver l'intégrité des ressources sans compromettre la disponibilité. Il est tout aussi essentiel de protéger les applications critiques contre les attaques HTTP. Vous devez garantir que les communications sur Internet ne subissent aucune interruption. Pour cela, vous devez intégrer des mécanismes de sécurité dans votre infrastructure afin de contrer efficacement les cyberattaques.
Le rythme accéléré de la transformation numérique a entraîné l’adoption d’applications modernes par les gouvernements et les organisations pour atteindre l’efficacité opérationnelle. Cependant, ces applications nécessitent une protection contre les cyberattaques avancées, qui peuvent être ciblées ou de grande envergure. Il devient encore plus important en période de conflit entre États-nations de garantir que les applications critiques puissent rester disponibles. Les gouvernements et toutes les organisations doivent rester vigilants quant aux points clés suivants à prendre en compte :
La construction d’une posture de cybersécurité solide et robuste doit inclure la disponibilité, c’est-à-dire que l’on peut toujours utiliser des applications critiques si elles sont attaquées. Assurer la sécurité avec résilience et une disponibilité ininterrompue sont les critères de référence de la cybersécurité proactive, sachant que les menaces (et les mesures d’atténuation) ne cesseront jamais d’évoluer.