Et si la Russie envahit l’Ukraine, sommes-nous prêts à résister à des cyber attaques parallèles ?

Atlantico : En cas d’invasion de l’Ukraine par la Russie, l’Europe et ses alliés de l’OTAN peuvent-ils s’attendre à être la cible de cyber-attaques menées par Moscou ?

Fabrice Epelboin : Les opérations cyber précèdent généralement les opérations militaires, je pense que de telles opérations ont déjà commencé en Ukraine. On peut également s’attendre à des attaques visant à déstabiliser l’opinion publique sur les réseaux sociaux et dont les Russes sont friands. C’est d’ailleurs ce qui s’est passé avec l’opération Barkhane au Sahel, avant l’arrivée des troupes de Wagner. Ces deux dimensions font aujourd’hui partie intégrante de la guerre. D’un point de vue cyber, savoir si l’attaque Russe se limitera à l’Ukraine ou non sera sans doute liée à la réaction de l’Europe et de l’OTAN. Si l’Europe ne passe pas véritablement à l’acte, Poutine n’aura pas grand intérêt à provoquer les pays européens et les mettre dans une situation où ils seraient obligés de réagir. 

Il y a ici une limite entre la métaphore de la guerre et la réalité de la cyber-guerre. À la guerre, le but est d’attaquer tous les ennemis qui s’en prennent à nos frontières. En cyber-guerre, on parle de surface d’attaque. Celle-ci est quasiment infinie puisque la moindre PME possède un système informatique susceptible d’être paralysé et serait bien incapable de se défendre face aux services russes. Si on veut viser la France, des milliers de scénarios sont possibles. Il serait par exemple facile de paralyser un grand nombre de petits transporteurs routiers de manière qu’ils soient incapables de faire transiter de la nourriture, ce qui affecterait profondément les populations. Il est dès lors quasiment impossible de se protéger face à une attaque massive. 

Avons-nous une expérience des cyber-attaques menées par la Russie ? Sommes-nous prêts à y faire face et à y répondre ?

En Ukraine, la cyberattaque NotPetya, en 2017, attribuée aux Russes est un bon exemple. Ils se sont insérés dans un logiciel de comptabilité utilisé par les entreprises ukrainiennes pour déclarer leurs impôts. Le malware détruisait les données. Nous n’avons pas vraiment d’idée du coût que cela a représenté pour l’Ukraine mais on sait que cela a fortement touché le transporteur maritime danois Maersk, Renault également, Nivea, etc. Ces entreprises ont été touchées simplement parce qu’elles avaient un pied en Ukraine. 

En France, on peut soupçonner les Macron Leaks d’avoir été opérés par la Russie. On peut également citer la cyberattaque qui a ciblé la chaîne d’information TV5 Monde en 2015. Même si cela se présentait comme une attaque terroriste classique, il y a de fortes chances que les Russes aient été aux manettes. Mais pour l’heure, on ne peut relever d’attaque massive qui puisse s’apparenter à un acte de guerre. 

En revanche, on peut couramment relever des cyberattaques de plus petite envergure, qui sont principalement de deux ordres. D’un côté, les attaques qui consistent à faire de l’espionnage et de l’autre des attaques qui relèvent de la cybercriminalité. À ce sujet, il y a une certaine bonne entente entre des gangs de cybercriminalité et l’État Russe. Celle-ci consiste à attaquer les ennemis de la Russie en échange d’une certaine impunité. Ce type d’attaque coûte des centaines de millions voir des milliards d’euros aux économies européennes et américaines. 

Ces attaques sont rarement révélées publiquement, même si on sait que les Russes sont impliqués dans l’attaque d’un système appelé SolarWinds. Ce système permet de gérer les réseaux dans de grandes entreprises et contient donc des données sensibles. L’attaque a mis plus d’un an à être détectée et nous ne savons pas à quelles données les Russes ont pu avoir accès. 

Avons-nous en Europe ou en France des plans pour se prémunir contre de telles attaques ? Est-ce suffisant ? L’OTAN est-il en mesure de mener des attaques du même ordre envers Moscou ? 

Personne ne sait vraiment si ces plans sont efficaces. L’Armée française possède des cellules cyber. Il y a également l’ANSSI, l’Agence Nationale de la Sécurité des Systèmes d’Information, même si son action est limitée aux entreprises vitales, comme EDF. Le petit transporteur routier évoqué précédemment n’est donc absolument pas protégé. Néanmoins, en cas d’attaque, l’ANSSI prendra en main un certain nombre de choses et donnera des conseils. Toutefois, il n’y a pas de bouclier magique. Le problème c’est que la surface d’attaque est bien trop vaste. 

Depuis une quinzaine d’années, on sait que les Américains mettent en place des attaques, même si elles passent la plupart du temps inaperçues. En 2008, ils ont attaqué les centrales d’enrichissement d’uranium iraniennes pour saboter tout effort de production. Le temps que les Iraniens réagissent et réalisent qu’ils ne faisaient pas face à un sabotage intérieur ou à des défaillances techniques, le mal était fait. Le problème, c’est que même des acteurs mineurs en cyber, comme l’étaient l’Iran à l’époque, peuvent répliquer. L’Iran a attaqué plusieurs banques américaines qui n’ont pas pu opérer pendant plusieurs jours et a détruit les serveurs d’Aramco en Arabie saoudite, causant des dizaines de jours d’arrêt d’activité. Cela a couté plus d’un mois et demi de PIB à l’Arabie Saoudite.

Si l’on ne peut rien faire face à une cyberattaque, cela veut-il dire pour autant qu’il ne faut rien faire pour s’y préparer ? Comment se préparer au mieux ? 

Tout dépend à qui l’on s’adresse. Si je détruis un quart des transporteurs routiers, les impacts sur l’approvisionnement peuvent être considérables. Personne n’est à l’abri, a fortiori dans un contexte de guerre. Si l’on évalue correctement ces risques on se rend compte qu’énormément d’entreprises peuvent être prises pour cibles. Le public prioritaire, ce sont les chefs d’entreprises. Chaque chef d’entreprise ou d’institution est chargé de la sécurité de son réseau informatique. Donc il faut, au vu d’un risque qui a évolué, réévaluer les stratégies de cyber défenses en place dans ces entreprises, de celle du coin de la rue jusqu’au multinationales. L’environnement et le risque ont changé. Il faut donc réévaluer ses défenses le plus vite possible. Nous ne sommes plus dans la phase ou les cyberattaques visent à rançonner les entreprises mais où elles peuvent les détruire. L’Etat, lui, est parfaitement conscient de tout cela. Il y a la question des moyens mais elle commence à être prise en compte. Sauf que ce n’est pas l’Etat qui pourra défendre la PME du coin de la rue et ce n’est même pas sûr pour la multinationale. L’ANSSI pourra aider mais cela n’empêche pas que les entreprises se prennent en main. Avec la pandémie, nous faisons face à une explosion de la cybercriminalité, qui augmente d’année en année. Actuellement, on voit l’apparition d’un risque de déstabilisation géopolitique qui pourrait être accompagné d’actions cyber diverses et variées

Une mise à niveau fonctionnerait-elle ?

Non, pour deux raisons. D’abord parce que la cybersécurité, idéalement, se construit au moment où l'on construit le système, pas après. Ça coûte bien plus cher de le faire après. Ensuite, il y a un manque critique de ressources et de compétences en cybersécurité, sur le continent européen et partout dans le monde. En Europe, c’est presque un demi-million de postes qui sont vacants faute de candidats. Ce n’est pas un problème qui se règle facilement. Cela nécessite de réhabiliter l’image du hacker qui a fortement été dégradée par les politiques. On a trop souvent assimilé l’hacker à un cybercriminel. Cela a entraîné une perte de vocation et donc un retard colossal. Hormis cela, il faut former du personnel, mettre à niveau les formations, etc. Mais ça, ça prend des années.