Alors que le 50e anniversaire de l’alunissage de la NASA était célébré partout dans le monde, certains médias ont préféré se souvenir des atteintes à la sécurité dont la NASA a souffert dernièrement, peut-être pour nous rappeler subtilement que les attaques contre la cybersécurité sont de plus en plus complexes.

Il y a quelques mois, la BBC indiquait que la NASA avait informé elle-même ses employés dans une note de service qu’une violation de la sécurité avait exposé les données personnelles de leurs anciens et présents collaborateurs. Elle a également mentionné qu’il s’agit du dernier incident subi par l’Agence spatiale au cours des huit dernières années mais malheureusement pas le seul.

Parmi les attaques précédentes, les pirates ont pu prendre le contrôle des ordinateurs de son Laboratoire de Propulsion Jet, en 2011, et un incident en 2013 a supprimé huit domaines web de l’institution, orchestré par un groupe appelé Master Italian Hackers Team.

Parmi les données exposées lors de ce dernier incident, considéré comme l’un des moins graves, les numéros de sécurité sociale et “autres informations privées” de certains membres du personnel de l’Agence ont été piratés. Cependant, il est exclu que des plans ou détails de toute mission spatiale ou d’information affectant la sécurité nationale aient été révélés.

Bien qu’ils soient qualifiés d'”incidents mineurs”, les atteintes à la sécurité numérique des institutions publiques et des entreprises chargées de services essentiels à la population deviennent monnaie courante et de plus en plus dangereuses.

En France aussi, les cyberattaques d’envergure visant les entreprises ont des conséquences directes sur leurs comptes de résultats, en raison des blocages qu’elles provoquent sur les systèmes informatiques. Ainsi en juin dernier, le groupe français Eurofins,  groupe de services d’analyses pour la pharmacie, l’agroalimentaire et l’environnement, a vu son bénéfice net chuter de 35% à 58,9 millions d’euros au premier semestre 2019, principalement en raison des frais liés à cette attaque au “rançongiciel”.

En tant que cible pour les cybercriminels, le secteur public devient plus attrayant, enregistrant plus d’incidents cybernétiques que tout autre secteur. Il y a très peu de temps, le fonctionnement du Centre Hospitalier Universitaire de Rouen a été fortement perturbé à cause de la paralysie informatique provoquée par un virus rançongiciel  de grande ampleur. Le CHU de Rouen a déclaré qu’aucune fuite de données médicales ou personnelles n’a été constatée à ce jour par les investigations.

Dans le récent rapport de l’analyste indépendant Ponemon Institute, qui explore le risque cybernétique dans le secteur public et identifie les priorités des responsables de la cybersécurité dans les administrations du monde entier. A cette fin, elle a interrogé près de 250 professionnels des quatre continents, en charge des mesures de défense des entreprises publiques, sur les enjeux liés à la nécessité de repousser tout type d’attaque.

Le problème n’est ni mineur ni isolé, comme le souligne la même analyse. En fait, il estime que 88 % des organismes publics ont été victimes d’au moins une cyberattaque au cours des deux dernières années et 62 % en ont subi deux ou plus. Il souligne également que le rythme des menaces ne cesse de s’accélérer et qu’il ne fera qu’empirer à l’avenir.

Il mentionne que la prolifération des dispositifs IoT aggrave la situation et crée de nouvelles vulnérabilités, ce qui impose une augmentation de la visibilité des installations et le recours aux spécialistes de ces dispositifs. Il est également nécessaire, dans son évaluation, de maîtriser l’ensemble de la surface d’exposition et d’établir des priorités entre les vulnérabilités, afin d’être plus rapide et plus efficace dans la lutte contre ces cyberattaques.

Il est vrai que les spécialistes de la cybersécurité publique ont fait un excellent travail en termes d'”hygiène technologique”, selon la même étude de l’Institut Ponemon, qui a considérablement réduit les attaques de phishing. Mais il faut aller plus loin et étendre cette défense à tous les types d’appareils, y compris les téléphones mobiles et les capteurs IoT, avec des méthodes et des outils pour identifier, hiérarchiser et résoudre plus efficacement leur vulnérabilité.

Un petit pas pour l’homme, mais un grand pas en avant pour la cybersécurité