Risques cyber : gare aux attaques systémiques !
Les professionnels de la gestion des risques et de la cybersécurité estiment que le risque cyber est de nature systémique. Les attaques les plus probables seraient les DDoS avec, pour premières cibles, les services financiers.
Si tout le monde s’accorde sur l’aspect « systémique » du risque cyber, peu d’éléments permettent pour le moment d’en mesurer véritablement l’impact. On a eu, bien sûr, un aperçu de l’effet de chaîne lors des attaques massives du printemps dernier, WannaCry et NotPetya : cette dernière, notamment, démarrée d’un logiciel comptable ukrainien, a montré que des entreprises de tous secteurs, situées dans le monde entier, pouvaient être touchées très rapidement. Un rapport publié cette semaine par le groupe AIG (1) tente de mesurer l’effet systémique potentiel des cyberattaques à travers le jugement d’une centaine d’experts en cybersécurité ou gestion des risques.
De fait, plus de 90 % des experts interrogés pensent que le risque cyber est de nature systémique. « Il peut potentiellement affecter un grand nombre d’entreprises simultanément », explique l’assureur. Interrogés fin 2016, les professionnels ont jugé que le plus grand risque est celui d’une cyberattaque affectant entre cinq et dix entreprises à la fois, avant une seule attaque qui toucherait une centaine, voire un plus grand nombre de sociétés. Une position assez optimiste et qui aurait probablement été différente si l’enquête avait été réalisée après NotPetya.
Un coût moyen de près d’un million dollars par incident dans les banques
Une autre étude, menée auprès de 800 représentants d’établissements financiers dans 15 pays et publiée, cette semaine, par Kaspersky Lab et B2B International, révèle par ailleurs que les établissements financiers perdent 926.000 dollars à chaque incident de cybersécurité dont ils sont victimes alors même qu’elles dépensent en la matière trois fois plus que d’autres entreprises non financières de taille similaire (les budgets IT moyens s’élèvent à plus de 230 millions d’euros, dont 23 % consacrés à la sécurité informatique). Parmi les principales craintes des établissements financiers, les attaques ciblées (59 %) mais aussi les attaques par déni de services, dites DDoS (53 %).
Les services financiers dans le viseur
En termes sectoriels, il apparaît que le secteur le plus susceptible d’être visé par une attaque systémique est celui des services financiers, pour 19 % des experts interrogés (voir encadré ci-dessous), devant l’énergie (15 %), les télécommunications/services publics (14 %), la santé (13 %) et les technologies de l’information (12 %). Selon les experts, le scénario le plus probable serait une attaque massive par déni de service distribué (DDoS) contre un important fournisseur de services cloud. Pour l’instant, les professionnels ne redoutent pas réellement d’attaque sur des infrastructures sensibles avec de potentielles pertes humaines ou des préjudices corporels.
Dans leurs pires scénarios, les experts pensent à des attaques sur des réseaux électriques avec des répercussions sur la population, des attaques contre des infrastructures de télécommunications et de services publics, des piratages visant à manipuler ou à détruire des données (dossiers médicaux, d’usagers des services publics ou financiers corrompus de telle sorte que les utilisateurs du système ne puissent plus se fier à ces informations), ou encore à des « jeux offensifs » virtuels pouvant aller jusqu’au conflit armé entre des nations puissantes. On pense à « WarGames », un film de 1983 avec Matthew Broderick, dont le scénario semble plus d’actualité que jamais…
(1) – « Le risque cyber est-il systémique ? », rapport publié par AIG et réalisé en interrogeant plus d’une centaine d’experts européens en Cyber-sécurité et en gestion des risques.