Échange avec : Stéphane Duguin, du CyberPeace Institute

« À l’heure actuelle, le problème numéro 1 dans le secteur de la cybersécurité, est le burn-out : il y a trop de données, trop de dossiers et pas assez de temps. »

Le paysage des menaces actuel est caractérisé par différents facteurs qui contribuent tous à un niveau de complexité sans précédent. Pour mieux comprendre chacun des éléments qui sont en jeu, SoSafe a interviewé Stéphane Duguin, PDG renommé du CyberPeace Institute.

Le CyberPeace Institute a pour mission de renforcer la cybersécurité et de protéger les plus vulnérables au sein de notre société marquée par le numérique. Il offre un appui aux ONG en leur permettant de se défendre contre les menaces cyber et en s’adaptant aux vulnérabilités qui leur sont spécifiques dans l’espace cyber.

Cet échange passionnant avec Stéphane Duguin explore le dédale des menaces cyber et met en lumière les principaux défis auxquels sont aujourd’hui confrontées ces entités. Il se penche sur le rôle croissant joué par l’IA dans les menaces émergentes, sur les conséquences dévastatrices que peuvent avoir les rançongiciels et sur la façon dont des facteurs comme le burn-out et les dynamiques géopolitiques enveniment encore la situation. Stéphane Duguin nous livre également son avis d’expert sur une question qu’il connaît bien : l’impact profond et souvent brutal de ces menaces aux multiples visages sur les ONG.

À quels types de structures le CyberPeace Institute vient-il en aide et quelles sont les principales difficultés auxquelles elles sont confrontées ?

La mission de notre institut consiste à protéger les entités les plus vulnérables dans le cyberespace. L’une de nos priorités est donc de défendre les ONG, en particulier celles qui œuvrent dans le domaine humanitaire. En réalité, lorsque ces entités sont victimes d’une cyberattaque, les répercussions au niveau humain sont énormes. Presque aussi désastreuses que s’il s’agissait de vies humaines. Il faut arrêter de parler de réseaux, d’ordinateurs et d’argent : parlons des gens ! Ces ONG sont dans une position très délicate, parce qu’elles sont la cible à la fois de groupes criminels en quête de profits financiers, mais aussi de gouvernements agissant pour des motifs géopolitiques. Or, leur système de cybersécurité n’a pas la maturité nécessaire pour se défendre. 

Quels services proposez-vous aux ONG ?

Nous avons récemment inauguré un centre de cybersécurité humanitaire qui accompagne les ONG. L’une des prestations proposées est un programme de volontariat appelé « The CyberPeace Builders » (Les artisans de la paix cybernétique). Dans le cadre de cette initiative, nous nous sommes associés à des sociétés du secteur privé qui ne veulent pas se contenter de se protéger elles-mêmes, mais souhaitent œuvrer pour la communauté. Nous veillons à ce que ces entités bénévoles puissent prêter main-forte aux ONG qui ont des besoins en matière de cyberdéfense. L’objectif est d’aider les ONG à gagner en résilience et à se remettre d’une attaque, mais nous ne proposons pas de services de réponse en cas d’incident. Nous comptons plus de 330 volontaires qui aident des ONG. Notre but est de fournir gratuitement des services de cybersécurité à un millier d’ONG d’ici 2025.

Vous avez dit que votre approche était avant tout axée sur l’humain. D’après l’expérience que vous en avez, comment les cyberattaques peuvent-elles affecter les personnes ?

Il ne faut pas oublier que, dans la plupart des cas, l’objectif des cyberattaquants est de jouer sur la psychologie de la victime : il y a donc une dimension de manipulation. Les attaques par rançongiciel, par exemple, sont l’un des rares cybercrimes nécessitant la complicité de la victime. Une personne frappée par ce type de logiciel malveillant se retrouve contrainte de prendre des décisions difficiles avec un profond impact psychologique : faut-il payer ou non la rançon ? Faut-il signaler l’attaque ? Dans un deuxième temps, les malfrats cherchent à susciter un sentiment de culpabilité chez leur victime. Les ONG sont énormément ciblées par des fraudes au président. En cas d’attaque réussie, la personne qui s’est laissé piéger va souvent être montrée du doigt au sein de l’organisation. 

Selon l’activité de la victime, ces atteintes psychologiques peuvent avoir une autre conséquence, plus généralisée : elles ont des répercussions sur les personnes qui bénéficient habituellement des services de l’entité victime de l’attaque. C’est assez manifeste dans le secteur dans la santé, par exemple. Lorsqu’un hôpital est frappé par un rançongiciel ou une attaque qui vient paralyser son fonctionnement, les patients ne reçoivent pas le même niveau de soins. Une étude de Vanderbilt a montré que, lorsqu’un hôpital a subi une cyberattaque, les séquelles restent présentes plusieurs mois, voire un an après. Les patients souffrant de pathologies graves sont moins bien pris en charge qu’avant l’attaque et sont davantage susceptibles de connaître une issue fatale. En effet, comme l’établissement est encore en train de se remettre de l’attaque et de restaurer ses systèmes, les temps de réaction sont plus longs.

Il ne faut pas sous-estimer les retombées psychologiques à long terme de ces événements sur les victimes. Il existe un exemple très parlant, à ce sujet : c’est celui de l’attaque par rançongiciel dont a été victime la clinique Vastaamo, en Finlande. Lorsque cette dernière a refusé de payer la somme exigée, les criminels ont décidé de rançonner, un à un, tous les patients de cette clinique, en les menaçant de divulguer des informations privées sur leur santé psychique. Pour gérer cette crise, la Finlande a dû mettre sur pied une unité de soutien adaptée qui a pris en charge plus de 25 000 victimes.

Dans le contexte actuel des menaces cyber, qu’est-ce qui, selon vous, a changé au cours de l’année écoulée ?

Avant tout, l’évolution de la cybercriminalité vers un modèle commercial. Nous avons constaté une augmentation très rapide du nombre de groupes criminels utilisant des technologies révolutionnaires. Les cybercriminels savent collaborer avec beaucoup d’efficacité et exploitent désormais les nouvelles technologies comme des vecteurs d’attaque. On le voit aujourd’hui avec ChatGPT, mais c’était déjà le cas, il y a plusieurs années, lorsque les deepfakes ont fait leur apparition.

Le deuxième point qui me vient à l’esprit est la protection qu’offrent les États contre les menaces cyber. Ils doivent, en effet, veiller à ce que les lois, les normes et les réglementations soient correctement appliquées dans le cyberespace, mais la situation ne va pas en s’améliorant. On pense à tort qu’il n’y a aucune règle dans le cyberespace. Or, c’est faux. De nombreuses lois régissent la cybersécurité, mais elles sont mal appliquées. Les forces de l’ordre n’ont tout simplement pas assez de ressources pour apporter une réponse systématique au problème. Les États contribuent également à envenimer la situation en menant des attaques à des fins de renseignement. Tant qu’ils persistent à utiliser leurs ressources pour des cyberattaques d’espionnage, ils participent à l’insécurité générale dans le cyberespace. En effet, pour que ces opérations de renseignement soient efficaces, ils doivent veiller à entretenir certaines vulnérabilités.

Il y a enfin un troisième aspect, qui a émergé depuis quelque temps déjà, mais semble malheureusement se développer plus que jamais dans le contexte de la guerre en Ukraine, c’est l’enrôlement de civils dans les cyberattaques. Dans un contexte de crise ou de conflit spécifique, les civils se retrouvent impliqués dans des piratages de grande ampleur. Nous avons vu, par exemple, des groupes de hackers russes s’en prendre à tous ceux qui s’opposaient aux intérêts de la Russie et des pirates bénévoles rejoindre les rangs de la cyberarmée ukrainienne. C’est particulièrement inquiétant, car il en résulte des cyberattaques qui ratissent large et ne distinguent plus entre civils et militaires.

« Les cybercriminels savent collaborer avec beaucoup d’efficacité et exploitent désormais les nouvelles technologies comme des vecteurs d’attaque. »

À votre avis, quelles sont les formes de cyberattaques les plus fréquentes ?

En Ukraine, plus de 90 % des attaques étaient des DDoS, mais si l’on considère la cybercriminalité de manière générale, le vecteur le plus commun reste le phishing. Celui-ci intervient dans presque tous les types d’attaques : attaques de banque, fraudes au président, rançongiciels ou vols d’identifiants pour ne citer qu’eux. La recrudescence des rançongiciels et l’innovation dont ils font constamment l’objet sont véritablement alarmantes, car ce type d’attaque est capable d’anéantir complètement un organisme ou une communauté.

L’une des principales crises, aujourd’hui, est la guerre en Ukraine. Étant donné l’augmentation impressionnante du nombre de cyberattaques depuis le début de la guerre, pensez-vous que nous assistons à une « guerre hybride » ?

Oui, les données sont formelles sur ce point. Notre plateforme est la seule plateforme publique au monde à tenir un décompte des cyberattaques depuis le début de la guerre. Nous en avons enregistré plus de 1 300 depuis l’invasion de l’Ukraine, soit près de 20 par semaine. Ces attaques sont le fait de 87 acteurs malveillants, et touchent 20 secteurs dans plus de 45 pays.

De quelle manière la situation géopolitique actuelle affecte-t-elle le paysage des menaces cyber pour les ONG ?

Nous vivons dans un monde où les crises se succèdent les unes après les autres : COVID-19, guerre en Ukraine, tremblement de terre en Syrie et en Turquie, etc. Chaque crise entraîne une réponse émotionnelle du grand public qui se mobilise pour donner à des œuvres humanitaires ou des associations caritatives. Il y a donc un afflux d’argent considérable qui attise la convoitise des criminels. C’est la raison pour laquelle ils ciblent tout particulièrement ce secteur, relativement démuni en matière de cybersécurité. Bien malgré eux, les ONG et les donateurs se retrouvent impliqués dans leurs agissements. On a, d’une part, les ONG qui demandent uniquement des fonds pour leurs activités humanitaires, non pour la cybersécurité, et d’autre part, des personnes qui font des dons pour participer aux œuvres des ONG, non pour financer leurs besoins en cybersécurité. Ce secteur est donc vulnérable, parce que tous considèrent que la cybersécurité est secondaire. Et c’est justement ce que nous essayons de changer.

« Nous vivons dans un monde où les crises se succèdent, et chacune d’elles entraîne une réponse émotionnelle du grand public qui se mobilise pour donner à des œuvres humanitaires ou des associations caritatives. Comme les criminels sont attirés par l’argent, ils ciblent ce secteur, relativement démuni en matière de cybersécurité. »

Avec l’émergence de nouveaux outils comme ChatGPT, l’intelligence artificielle connaît un essor sans précédent. Selon vous, quel impact aura ce phénomène sur le paysage des menaces cyber ?

Tout ce que nous avons vu en matière de deepfake depuis 2017 a constitué une véritable révolution dans l’univers de l’intelligence artificielle. Quelques années se sont écoulées depuis, et aujourd’hui, certains groupements criminels parviennent à générer des contenus très réalistes et convaincants pour manipuler les gens : une voix ou un visage connu, des e-mails bien rédigés, etc. Par ailleurs, l’intelligence artificielle est une technologie qui permet de mieux analyser l’écosystème social des personnes de façon à élaborer des attaques d’ingénierie sociale très bien pensées.

Nous assistons également à la montée en puissance d’une nouvelle stratégie des cybercriminels : les attaques générées ou assistées par IA. Elles sont mieux automatisées et dévoilent plus facilement l’infrastructure. Pour contrer ces évolutions, il faut donc que nous mettions en œuvre, du côté de la défense, des outils d’intelligence artificielle qui nous protègent mieux.

Vous venez de parler des avantages de l’intelligence artificielle dans le cadre de notre cybersécurité. Selon vous, quels nouveaux défis allons-nous rencontrer en utilisant l’IA dans cette optique de défense ?

Le principal risque est que l’IA va générer une quantité importante de données qu’il nous faudra traiter en tant qu’humains. Or, à l’heure actuelle, le problème numéro 1 dans le secteur de la cybersécurité, est le burn-out : il y a trop de données, trop de dossiers et pas assez de temps. L’intelligence artificielle ne va malheureusement faire qu’amplifier ce problème en multipliant encore le nombre de données. C’est assez inquiétant.

Si l’on considère la situation sous un angle plus large, l’une des causes d’un burn-out est le sentiment de ne pas faire un travail utile. L’essor de l’IA et la difficulté croissante à distinguer ce qui est authentique de ce qui a été falsifié viennent saper les fondements mêmes de la démocratie. Face à un juge, plus personne ne saura dire si les preuves présentées sont véridiques ou si elles ont été trafiquées. Avec de tels doutes, c’est tout le système que les enquêteurs numériques se sont ingéniés à élaborer qui s’écroule… On comprend donc qu’ils aient de plus en plus de mal à trouver du sens à leur travail.

À retenir de cet entretien avec le CyberPeace Institute

Cette interview met en lumière la complexité croissante du paysage des menaces cyber en soulignant, non seulement les menaces actuelles comme le phishing, les rançongiciels et les fraudes au président, mais aussi le tournant qu’elles prennent avec les progrès rapides de la technologie et de l’IA. Les attaques gagnent en sophistication et en prévalence alors que les cybercriminels s’acharnent impitoyablement sur leurs victimes : non seulement sur des sociétés, mais aussi sur des entités vulnérables comme les ONG. La situation déjà compliquée est encore envenimée par l’instabilité géopolitique à l’échelle mondiale à laquelle le secteur de la cybersécurité doit se préparer sérieusement. Or, comme le souligne Stéphane Duguin, la vulnérabilité des entités est encore aggravée par un secteur de la cybersécurité à l’agonie, frappé par le manque de ressources et le burn-out qui s’empare des professionnels.

Si l’affectation des ressources est déjà un défi de taille pour les sociétés, elle l’est d’autant plus pour les ONG dont les ressources sont encore plus limitées. Celles-ci se trouvent donc dans une situation particulièrement difficile lorsqu’elles doivent se remettre d’une cyberattaque. Pour lutter contre les conséquences de ces attaques, Stéphane Duguin préconise d’adopter une approche centrée sur l’humain qui, sans négliger les aspects techniques, s’intéresse aussi à l’impact psychologique important que ces incidents ont sur les personnes et à l’interruption des services vitaux prodigués à ceux qui dépendent des ONG et de leur aide.

« Il faut arrêter de parler de réseaux, d’ordinateurs et d’argent : parlons des gens ! »

Pour découvrir d’autres avis de leaders en cybersécurité sur les stratégies essentielles qui permettent de limiter les risques humains et de protéger votre société, consultez notre dernière Analyse du risque humain.

Analyse du risque humain 2023

Lire le rapport

Découvrez les dernières données sur le phishing, des avis d'experts et des stratégies pour bien comprendre le paysage européen des menaces cyber.