Allez au contenu, Allez à la navigation

La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ?

10 juin 2021 : La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? ( rapport d'information )

E. UNE COURSE DE VITESSE ENTRE CYBERATTAQUE ET CYBERPROTECTION

En Europe, plus de neuf entreprises sur dix utilisent une mesure de cyberprotection mais une sur deux n'a pas de solution satisfaisante pour la protection des données.

Une étude conduite par Dell en 201974(*) souligne que cette protection est faible même si elle recourt à l'IA (64 %), aux applications natives au cloud (60 %) ou à des applications Software as a Service (SaaS).

Une étude récente75(*), conduite en avril 2021, a souligné que si neuf entreprises sur dix estiment qu'il est essentiel de se prémunir contre les attaques informatiques, une entreprise sur deux ne sécurise pas ses postes de travail et une sur trois n'utilise même pas d'antivirus. La prise de conscience ne se concrétise pas encore par une prévention efficace, le budget alloué à la cybersécurité ne dépassant pas 1 000 euros par an pour six entreprises françaises sur dix.

Selon Eurostat76(*), la mesure de cybersécurité la plus couramment utilisée par les entreprises européennes est la mise à jour des logiciels ou des systèmes d'exploitation (87 %), suivie de l'authentification par mot de passe fort (76 %), de la sauvegarde des données dans un lieu ou un nuage séparé (76 %) et du contrôle d'accès au réseau (65 %). Moins de la moitié des entreprises ont déclaré conserver des fichiers journaux pour analyse après un incident de sécurité (45 %) et utiliser un réseau privé virtuel (VPN) (42 %). Les entreprises ont moins souvent utilisé des techniques de cryptage pour les données, les documents ou les courriers électroniques (38 %), des tests de sécurité (35 %), l'évaluation des risques (33 %) et l'identification et l'authentification des utilisateurs par des méthodes biométriques (10 %).

Or, le niveau de cybersécurité des entreprises doit être rapidement et fortement augmenté avant l'arrivée de l'internet des objets (IoT)77(*), qui va étendre de façon exponentielle la surface d'exposition au cyberrisque, et de l'ordinateur quantique78(*) qui va démultiplier les capacités d'intrusion.

Les questions d'interopérabilité, de sécurité et de pérennité des équipements, ajoutées à la crise sanitaire et aux difficultés de production et d'approvisionnement qu'elle a engendrées, ont provoqué un ralentissement du déploiement des objets connectés qui devaient être 50 milliards en 2020, alors que l'on en dénombre 9,4 milliards aujourd'hui.

Toutefois, de plus en plus d'objets, d'appareils et de périphériques sont connectés à internet : webcams, installations de traitement de l'eau, alarmes, éoliennes, lecteurs de plaques d'immatriculation, téléviseurs intelligents, installations industrielles sensibles telles que des centrales électriques, raffineries, ou encore des réacteurs nucléaires...

Avec ce déploiement, les cybercriminels auront une infinité de possibilités d'infecter les systèmes via les objets connectés, comme l'a montré l'attaque conduite dès 2016 aux États-Unis contre DYN Managed DNS79(*), au moyen notamment d'un code source mis à disposition en ligne. Plus de 100 000 objets connectés ont été infectés, dont des caméras publiques dont le contrôle avait été pris à distance par le logiciel malveillant nommé MIRAI.

En 2017, à la sortie de l'iPhone X, Apple se vantait d'avoir créé un système de reconnaissance faciale extrêmement robuste. Une semaine plus tard, et pour un coût ne dépassant pas les 150 $, une entreprise de cybersécurité vietnamienne Bkav réussissait à créer un masque capable de duper l'application...

Cependant, face à ce déploiement, l'Intelligence Artificielle (IA) pourrait changer la donne en matière de cybersécurité en analysant des quantités massives de données sur les risques afin d'accélérer les temps de réponse et de renforcer les opérations de sécurité qui resteront toujours sous-dimensionnées en ressources humaines ou technologiques. Des sociétés, comme IBM avec IBM QRadar® Advisor with Watson, proposent déjà des solutions d'informatique cognitive, un type avancé d'intelligence artificielle. Celles-ci tirent parti de diverses formes d'intelligence artificielle, y compris les algorithmes d'apprentissage automatique et les réseaux d'apprentissage en profondeur, qui deviennent plus forts et plus intelligents au fil du temps.

Or, IA et sécurité des données doivent être rendues compatibles. En effet, « lancées dans une course effrénée de développements de nouveaux produits, services ou fonctionnalités, les entreprises peuvent juger le déploiement d'outils sécuritaires comme une perte de temps et une source de coût à court terme voire même les considérer comme un obstacle à l'utilisation de techniques de machine learning ou d'Intelligence Artificielle, ceux-ci nécessitant d'accéder à de grands volumes de données »80(*). Le chiffrement de bout-en-bout, grâce auquel les données ne peuvent être lues que par l'expéditeur et le destinataire de l'information, s'il rend illisible les informations, et renforce la sécurité, interdit également toute possibilité d'exploiter ces données ou même de lancer une recherche sur celles-ci. Les entreprises ne peuvent donc plus utiliser ces technologies indispensables à leur compétitivité et leur rapidité de commercialisation des offres.

Malheureusement, l'IA est également utilisée par les cybercriminels. En mars 2019, une entreprise allemande s'est fait dérober 220 000 euros en étant dupée par une voix artificielle imitant celle de son dirigeant, lui demandant d'effectuer un virement sur le compte d'un fournisseur hongrois. L'interlocuteur aurait en réalité été une voix synthétique, créée par un logiciel de génération de voix basé sur l'Intelligence Artificielle.

Plusieurs autres formes de Deepfake81(*) peuvent être ainsi utilisées dans le cadre de cyberattaques visant les entreprises comme le face-swapping, qui remplace dans une vidéo le visage d'une personne par celui d'une personne ciblée à partir de sa photo ; le deepfake lip-synching, qui, dans une vidéo, adapte les mouvements du visage d'une personne ciblée à partir d'un fichier audio d'une autre personne et permet de lui faire prononcer le discours contenu dans le fichier audio en question sans qu'elle ne l'ait prononcé ; le deepfake puppetry, qui génère une vidéo d'une personne ciblée à partir d'une vidéo d'acteur fournie en entrée, créant une vidéo dans laquelle la cible reproduit un discours joué par l'acteur82(*).

Ces techniques sont à la portée de tous car le boom du Machine Learning conduit à la fois à des algorithmes de plus en plus performants, mais également à une généralisation de l'accès à ces algorithmes, à l'instar d'applications grand public comme Lyrebird (application gratuite de Deepfake audio) ou Zao (application chinoise de face-swapping commercialisée durant l'été 2019). Ces applications, créées dans un objectif de divertissement, représentent un nouvel outil performant, accessible et facile d'utilisation pour des cybercriminels.

« Il ne fait aucun doute que les attaques utilisant ce type d'applications augmenteront dans les prochaines années. Fraude au président, atteinte à l'image, création de fausses preuves juridiques, contournement d'authentification biométrique : les cas d'usages envisageables sont nombreux et effrayants », prédit Wavestone83(*).


* 74 https://www.delltechnologies.com/en-us/collaterals/unauth/infographic/products/data-protection/global-data-protection-index-2020-snapshot.pdf

* 75 Étude menée entre le 31 mars et le 2 avril 2021 par l'Ifop pour la société de conseil en cybersécurité F-Secure auprès d'un échantillon national représentatif de 500 "professionnels". 75 % des entreprises interrogées avaient moins de 10 salariés.

* 76 Eurostat (2020), « ICT Security in Entrerprises », étude citée par le rapport de la Plateforme RSE sur la Responsabilité numérique des entreprises.

* 77 Décrits dans la note scientifique n°1 de l'Office parlementaire d'évaluation des choix scientifiques et technologiques de mars 2018 :

https://www.senat.fr/fileadmin/Fichiers/Images/opecst/quatre_pages/OPECST_2018_0013_note_objets_connectes.pdf

* 78 Décrit dans la note scientifique n°15 de l'Office parlementaire d'évaluation des choix scientifiques et technologiques de juillet 2019 :

http://www.senat.fr/fileadmin/Fichiers/Images/opecst/quatre_pages/OPECST_2019_0069_note_ordinateurs_quantiques.pdf

* 79 Service informatique de l'entreprise informatique américaine éponyme.

* 80 « Peut-on concilier IA et sécurité des données ? », Timothée Rebours, ZDNet, 12 mars 2021.

* 81 Mot-valise formé à partir de deep learning («  apprentissage profond ») et de fake (« faux »), c'est une technique de synthèse multimédia reposant sur l' intelligence artificielle. Elle peut servir à superposer des fichiers audio ou vidéo existants sur d'autres fichiers vidéo (par exemple le changement de visage d'une personne sur une vidéo) ou audio (par exemple reproduire la voix d'une personne pour lui faire dire des choses inventées). Cette technique peut être utilisée pour créer des infox et des canulars malveillants.

* 82 Un exemple célèbre de cette technique est une vidéo de Barack Obama énonçant un discours simulé par Jordan Peele, dans laquelle la gestuelle de l'ancien président est reproduite de manière extrêmement réaliste.

* 83 Dans son étude de 2019 : « Intelligence Artificielle et cybersécurité : protéger dès maintenant le monde de demain ».