Le Cyberespionnage, nouveau visage de l’Intelligence Economique ?

Les scandales se sont multipliés ces dernières années : cyberespionnage de la NSA, cyberattaque russes, espionnage industriel de la Chine, plus récemment l’affaire PEGASUS. L’espion d’aujourd’hui a plus une allure de geek que de James Bond.

Et pour paraphraser Clausewitz, le Cyberespionnage est la continuation de la Guerre économique par d’autres moyens.

https://app.livestorm.co/xmco/on_demand

Dans ce contexte, les évolutions technologiques font muter les méthodes d’attaque et de défense. Mais l’enjeu n’est pas uniquement technique. En vérité, les méthodes classiques d’analyse de l’intelligence économique doivent permettre aux organisations de se défendre.

Cependant, ce nouveau contexte fait intervenir des acteurs étatiques qui ont un impact sur les entreprises, qu’elles soient des multinationales ou même de plus petites structures. Mais quelles sont alors les conséquences pour celles-ci car les entreprises classiques peuvent tout aussi bien être des cibles ? Disposent-elles des moyens pour se prémunir de la menace ? Quels sont leurs leviers d’actions ?

Nos intervenants :

Arnaud Coustilliere – Président du Pôle d’Excellence Cyber. Ancien directeur général du numérique du ministère des armées, ancien commandant de la cyberdéfense des armées

Olivier Frachon, Group Cybersecurity Officer chez Air Liquide

Charlene Grel, Product Manager Serenety by XMCO

Cédric Sylvestre, Co-founder, Business Development at Olvid

Gabriel De Brosses, Directeur de la cybersécurité de La Poste

Modératrice :

Yasmine DOUADI, CEO & Fondatrice de RISKINTEL

1. On parle beaucoup des attaques DDOS et des ransomwares, mais le cyberespionnage est moins présent dans les esprits. Est-ce dû à ses conséquences qui se voient à plus long terme, ou à son impact financier difficilement quantifiable ? 

Olivier Frachon 

Il faut distinguer 2 grandes catégories d’attaquants :  

Les premiers sont des cybercriminels qui ont, eux aussi, fait leur transformation numérique et dont le but principal est le gain financier.  

La seconde catégorie concerne les personnes qui sont liées à des états voyous : Iran, Chine, Russie, Corée du nord. Leur dessein est l’espionnage, l’obtention de propriété intellectuelle dans les domaine politique, militaire …. Ils travaillent par rapport à l’agenda d’un pays. C’est comme s’ils étaient son une armée supplémentaire.  

Ces groupes, qu’on a tendance à appeler des APT, vont rentrer dans des systèmes d’information, pour y rester longtemps (quelques semaines ou mois.) Leur objectif est d’obtenir le maximum d’informations. Leurs technologies et compétences sont plus poussés qu’un groupe de criminel classique.  

On voit beaucoup plus ces de catégories d’attaquants qui partagent des informations.  

Gabriel De Brosses 

Nous sommes tous ciblés car les informations sont accessibles et exploitables en masse.  

Plus on collecte des informations, plus on est capables d’en tirer des conclusions. C’est l’exploitation de ce qu’on appelle le renseignement en sources ouvertes qui fait que les particuliers et les entreprises sont des cibles.  

C’est très efficace dans l’espace cyber car nous partageons généreusement des infos. Nous les amenons aux curieux. Et même si nous faisions un peu plus attention, il est très difficile d’effacer ces traces numériques.  

Les capacités de traitement de la donnée fait que ça produit de la valeur ou des infos qui sont exploitables.  

2. Fin octobre, Microsoft a mis en lumière une nouvelle offensive de cyberespionnage contre des organisations occidentales commanditée par le groupe de hackers russe Nobelium. Certains soupçonnent ce groupe d’être directement lié à l’état Russe. On peut citer d’autres groupes de mercenaires tel que Void Balaur. Ces groupes privés agissent-ils comme des intermédiaires d’une guerre de cyberespionnage entre des états ? Quelles sont les éléments de preuve qui pourraient pointer en ce sens ? 

Ce sont des éléments délicats à identifier et confirmer. Le groupe NOBELLIUM serait en lien avec des services de renseignements russe. Ce groupe est aussi associé à l’attaque SOLARWIND qui avait ciblé le département de l’intérieur et du commerce.  

Au-delà des tensions que cela peut créer dans les relations internationales, Il y a également un enjeu d’attribution des attaques.  

L’analyse des procédés utilisés par ces groupes peut être intéressant pour pouvoir dégrossir le trait et identifier à quel groupe et donc quel état nous pouvons attribuer les attaques.  

Gabriel De Brosses 

J’ai passé quelques années dans l’OTAN, en charge de la planification des opérations de cyberdéfense de l’Alliance. On observait que l’on était attaqué par des groupes de hackers. Certains d’entre eux étaient des gens très méthodique puisqu’ils nous attaquaient entre 8h et 17h, heure locale. C’était un métier, qu’ils faisaient pendant des heures de bureaux. Cela nous donnait une idée assez claire de qui nous en voulait.  

Nous sommes très vulnérables face à ce type d’attaques car ils rassemblent des équipes de spécialistes différents pour attaquer les systèmes d’information. Je dirai qu’ils chassent en meute.  

3. Le cyberespionnage est-il un risque pour les entreprises, pour les états et les citoyens, ou une réalité protéiforme qui touche tous les types d’organisations, dans tous les secteurs ? Est-on entré dans une ère du cyberespionnage généralisé ? 

Gabriel De Brosses 

Il faut voir ça comme une pêche aux informations réalisée avec des outils d’analyse. Les cyber-espions vont collecter un maximum d’informations pour en tirer des conclusions et faciliter leurs actions.  

Il faut aussi savoir que ceux qui sont nos alliés (mais pas nos amis) nous écoutent aussi. Dans leurs fichiers ils embarquent les données des particuliers, des entreprises, des administrations… C’est la puissance des outils dont ils disposent, des techniques de big data, qui va leur permettre de faire remonter de cet ensemble du renseignement élaboré.   

Cédric Sylvestre 

Les cyberattaques sont nombreuses, il est difficile de savoir qui en est le commanditaire. On pense que c’est notamment grâce au cyberespionnage que la Chine a rattrapé son retard technologique.  

Au-delà de l’espionnage, il y a de véritables attaques d’infrastructures stratégiques, de déstabilisation :  

• On peut penser au ver malveillant Stuxnet utilisé par les États-Unis et Israël contre les installations nucléaires iraniennes. 
• La Corée du Nord avait eu la bonne idée d’attaquer des serveurs de Sony Picture qui avait eu la mauvaise idée de diffuser un film très malveillant contre Kim Jon Hun.  
• On se souvient aussi de ce qui s’est passé lors de campagnes électorales Américaine.  

Les attaques sont plurales et visent tout le monde, même les individus ! A l’image de l’affaire Pegasus, on estime que 50000 numéros de téléphone auraient été contaminés dont ceux de 180 journalistes.  

Quand on s’attarde sur comment sont relayées ces informations ou ces suspicions dans les médias, on entend souvent « on pense que » « il se pourrait », suivi d’un démenti. Ce qu’entendent les individus – en dehors des sphères de cyberespionnage – c’est qu’il y a des suspicions, mais qu’elles ne sont pas avérées.  

Pour faire le parallèle : on voit des mouvements de soldats sur la terre ferme, dans le cyberespace les mouvements ne se voient pas. Il suffit d’un démenti d’un homme politique pour que la corrélation ne se fasse pas.  

Olivier Frachon 

Pendant longtemps l’espionnage c’est ce qu’on pouvait lire dans les romans de John le Carré avec une logique d’espions russes contre espions Américains. 

Désormais, il faut prendre le nouveau contexte du cyberespace et plutôt se tourner vers les livres de William Gibson qui a inventé le cyberpunk dans les années 80. Il avait déjà anticipé cette interconnexion entre les individus, les États, le Metavers – que Facebook est en train de nous préparer pour l’avenir.  

Pour illustrer ce système, le fait que tout le monde espionne tout le monde, et que cela peut avoir des conséquences bien au-delà des pays concernés, j’aimerais reprendre l’exemple d’Eternal Blue, une faille qui avait été découverte et transformée par la NSA. 

Un groupe de hackers a volé cette info à la Nasa, pour les publier sur le Darkweb, et cela a été récupéré par des groupes affiliés à la Corée du Nord, pour devenir Wannacry en 2017.  

Quelques temps après, des groupes russes affiliés à Sandworn et APT28 ont récupéré Wannacry, l’ont associé à Petya et l’ont appelé NotPetya. La Russie a ensuite attaqué l’Ukraine, et cela a touché d’autres pays et entreprises. 

Les victimes in fine ne sont pas toujours celles qu’on pouvait imaginer au début. 

4. Le cyberespionnage passe notamment via les failles dans les outils de communication. Dès lors, quelles questions se poser en choisissant un outil de communication ? Avez-vous des recommandations spécifiques d’outils et de bonnes pratiques en la matière pour les particuliers et les professionnels ? 

Arnaud Coustillère 

On est dans un espace dangereux, il faut davantage faire preuve de vigilance. Mais comment réduire les risques de cyberespionnage ? Il faut faire son choix sur ces différentes options : 

1. La carte sim : un opérateur mobile qui répond très bien à cette problématique Dust Mobile, mais c’est plutôt pour des professionnels.  
2. Les applications : il y a un nombre limité d’entreprises qui sont capables de surveiller ce que va raconter votre application. En France, nous avons la pépite française Pradeo, utilisée par utilisé dans les armées françaises.  
3. Les XDR et EDR 
4. Les messageries : leur modèle est basé sur les données. Si vous voulez vraiment vous protéger, il faut utiliser des modèles différents. La meilleure protection concerne ce qui est en Peer 2 Peer, où très peu de choses restent sur les serveurs. Il y a Olvid, qui est agrée par l’ANSSI et Screed, qui est porté par la mouvance Skyrock. Autrement, il y a des solutions qui laissent des traces sur les serveurs types Thales, Airbus… ou encore Signal.  

Gabriel De Brosses 

Les solutions techniques doivent être précédés par une prise de conscience. Un téléphone a une capacité à capter de l’information. Il faut se demander ce qu’on fait, et ce qu’on dit. Le premier réflexe est de ne pas utiliser un media électronique pour partager une info sensible.  

Cédric Sylvestre

Pour se faire attaquer il connaitre sa surface d’attaque (serveur, application mobile, un PC). Quand on pense à son degré de sécurité, il faut se poser 3 questions :  

1. Où sont stockées les données ?  

Ce n’est pas la même chose d’être sur le cloud américain, cloud souverain, On-premise ou directement sur le téléphone. Il peut alors y avoir une imposition des règles extra-territorialité. 

2. Comment sont chiffrées les données et qui détient les clés ?  

Si le fournisseur détient les clés, il peut à loisir les déchiffrer, à l’insu de l‘utilisateur, changer les identités numériques des utilisateurs. Dans le cas de Whatsapp et en vertu du Cloud Act, l’État Américain peut consulter ce qu’il se passe sur les serveurs.  

3. Comment accède-t-on à la donnée ? Les logins/mdp, la 2FA signifient qu’il faut faire confiance au service. C’est pourquoi il se pose toujours la question de la personne morale, qui est soumise à certaines règlementations.  

Bonnes pratiques :  

Les charges virales arrivent par des pièces jointes, qui vont exploiter une faille de la librairie. Méfiez-vous des messages que vous recevez.  

1. Le problème dans la sphère du numérique c’est l’identité numérique des gens.  
2. Si vous pensez qu’un attaquant peut vous en vouloir, il faut faire l’effort de réinitialiser son téléphone par exemple. Il faut savoir avec une politique de rétention et d’hygiène.  
3. Quand vous avez des choses sur votre téléphone, cela ne sert à rien de garder un historique de plusieurs années. Comme on dit : « On ne laisse pas trainer tous les bijoux de famille sur sa messagerie ».  

5. Plus globalement, quels critères faut-il avoir en tête pour se prémunir du cyberespionnage lorsqu’on choisit un type de technologie pour son organisation ? 

Charlène Grel :  

Les technologies sont une partie de la manière dont on peut adresser la question.  

Il va y avoir :  

1. La technologie interne 
2. La surface d’attaque : ce qui est exposé sur internet et donc accessible depuis l’extérieur.  

Ces groupes utilisent des techniques de Phishing ou une intrusion via les failles de sécurité qui sont sur les systèmes d’information. Tous les systèmes exposés (site web, interface de connexion), tout ce qui est exposé d’un point de vue périmétrique, est très souvent sur des choses qui sont récupérées par des attaquants.   

Il faut donc mettre en place une veille importante interne et externe, pour avoir une connaissance des menaces cyber, exploits, patchs, versions à mettre à jour.  

Un autre axe à mettre en avant est le facteur humain. Cette question se pose notamment dans les questions de recrutement, il faut regarder le profil des personnes que l’on va recruter.  

Mais aussi à travers les problématiques d’exfiltration des données via des clés USB, d’intrusions physiques (citons l’exemple des PC qui restent dans des chambres d’hôtels lors de grand rassemblement d’entreprises). 

Gabriel De Brosses 

80% des compromissions de données sont dues à un utilisateur légitime qui permettra l’accès à de l’information. Les utilisateurs ouvrent la porte aux attaquants par une prise de contact par email ou suite à de l’engineering sociale.  

Les intrusions peuvent aussi venir par la porte de nos prestataires.  

Cédric Sylvestre 

Les fuites de données sont à 95% dues à de la négligence et non de la malveillance. On peut sécuriser en interne, mais il suffit d’ouvrir des droits d’accès avec l’extérieur pour que le risque augmente.  

Dans le choix de ses technologies, il faut faire attention à ne faut pas ajouter une surface d’attaque supplémentaire. Avec Olvid, l’attaquant ne pourrait rien savoir des utilisateurs. Quand on choisit une solution, il faut savoir si possiblement, il peut y avoir une attaque de masse. Ce qu’il faut c’est réduire le plus possible le risque d’attaque.  

6. Pouvez-vous nous expliquer ce qu’est la Cyber Threat Intelligence ? Quels outils utilisent cette méthode ? Est-ce indispensable pour se prémunir du cyber espionnage ? 

Gabriel De Brosses 

On a besoin d’informations pour protéger l’information. Il faut agréger un maximum de sources pour savoir ce qui peut nous menacer. Pour une entreprise cela passe par de la collecte d’informations sur les menaces, en lien avec leur activités (connaissance des attaques de masse et ciblées) pour pouvoir se prémunir des tentatives.  

Charlène Grel 

La CTI correspond au renseignement sur la menace. Il y a 3 niveaux dans la CTI : 

1. Stratégique : l’idée est d’avoir une compréhension des enjeux géopolitiques, locaux pour savoir quels acteurs ou pays peuvent procéder à une attaque.  
2. Tactique : iI s’agit d’élargir l’analyse et faire la corrélation entre les typologies d’attaque. Le but est d’identifier les chronologies d’actions et comment ils ont fait pour se maintenir sur le SI. 
3. Opérationnel : il s’agit de collecter les informations et traces laissées par les attaquants comme les noms de domaines, urls, outils ou documents.  

Olivier Frachon 

Il y a déséquilibre entre l’attaque et la défense. La CTI donne le maximum d’éléments pour se défendre et essayer de combler ce déséquilibre.  

Toutes les informations issues de la Cyber Threat Intelligence pourront nourrir les différentes briques du SI, firewall, SIEM, équipe de sécurité spécialisée. C’est ça qui va permettre de réaliser si on s’est fait attaquer ou si on va se faire attaquer.  

Si on n’a pas ce type de mécanisme, c’est difficile de pas se prémunir des menaces externes qui pèsent sur vous.  

On peut également s’abonner à des flux d’informations privés, (mendiant, fireeye, kaspesky,…) tout comme avoir ses propres feeds publiques (blogs de chercheurs, showdan, …)  

L’aspect communautaire est très intéressant. Il est possible de s’interconnecter au sein d’une même verticale pour partager des IOC. 

Cependant, la CTI reste plutôt réactive et elle s’accompagne d’autres pratiques comme le Threat Hunting et le Purple Tealing (reprendre les méthodes d’attaque et essayer de rentrer par cette méthode).  

L’addition de ces actions permettent de s’améliorer de manière continue.  

7. Le cyberespionnage est-il un enjeu de puissance pour les états ? Pouvez-vous nous expliquer comment il est appliqué des nouveaux rapports de force géopolitiques, et notamment la concurrence entre la Chine et les Etats-Unis ? 

Arnaud Coustillère 

Le cyberespionnage est un enjeu de puissance pour les états. En effet, le numérique n’est pas un truc de bisounours. Il repose sur la domination de celui qui a la donnée par rapport aux autres. Le combat est là.  

Les rapports de force géopolitique viennent en partie de la volonté de se développer. Le champ de bataille des états unis et de la Chine c’est l’Europe c’est l’Europe. Le numérique amplifie et complexifie les réalités : nous sommes dans la prolongation du rapport de force qui fait que les États-Unis veulent rester la 1^e puissance. 

Olivier Frachon 

Le cyberespionnage est un enjeu de puissance, c’est pour certains :  

• le moyen de maintenir son retard ou combler son retard 
• la possibilité d’exister politiquement 
• la possibilité de semer le chaos de manière permanente : désinformation, déstabilisation, disruption et destruction, certains préfèrent que tout le monde souffre pour continuer à exister.  

Il n’y a pas de convention, ni de retour de bâton en cas d’attaques. Il peut y avoir des coalitions entre les polices mais cela n’aboutit pas forcément. Il en découle donc un sentiment d’impunité.  

Les Etats-Unis et la Chine veulent toutes les deux être la Première puissance mondiale. On ne peut pas dire qu’ils sont dans une guerre froide car ils continuent à échanger. Les relations sont froides, mais elles sont là. Il y a tout de même une guerre dans certains domaines : l’IA, la 5G, les ordinateurs quantiques, les sujets autour de l’espace (missiles hypersonic). 

Nous allons vers une séparation des Internets avec un internet autour des US et l’autre autour de la Chine, et les européens devront choisir leur camp dedans.  

8. Quelles sont les cibles des attaques de cyberespionnage ? S’agit-il uniquement des grandes entreprises des secteurs stratégiques ? Les PME doivent-elles aussi maintenir un haut niveau d’alerte ? D’autant plus qu’elles peuvent être des sous-traitants, et donc des portes d’entrée pour cibler des entreprises stratégiques ? Existe-t-il une typologie claire de la victime ? 

Charlène Grel  

On a une typologie claire de victimes, et plusieurs. Il est toujours difficile d’identifier un cas de cyberespionnage car les attaques sont longues et pas forcément identifiées. Nous ne sommes pas non plus sur des sujets qui sont facilement abordables auprès du public. 

Les typologies de victimes sont :   

1. Très grandes entreprises, grands groupes de l’industrie, des nouvelles technologies  
2. Des petites entreprises qui sont sur des secteurs stratégiques. Plus simples à cibler car pas encore mature. Elles seront la cible d’attaque par rebond.  
3. Il peut aussi d’agir d’entreprises qui déploient des logiciels chez leurs clients (centrion, caseia).  

9. On sait que le renseignement français utilise une technologie développée par la société américaine Palantir pour traiter un grand nombre de données. Dans ce cadre, l’utilisation de technologies étrangères pose-t-elle un risque de cyberespionnage et de souveraineté pour l’État Français ? 

Cédric Sylvestre   

Dès que vous êtes à risque, vous êtes à la merci des gens qui y travaillent, de la législation… la tentation c’est de parler de souveraineté et de prendre des solutions françaises.  

Je pense que la tendance va être de sortir du débat de la nationalité pour aller vers le Privacy By Design. Nous on a voulu avoir une solution apatride. Ce qui doit trancher c’est  

Nous avons l’intention de passer en Open Source.