Les questions cybernétiques sont rarement absentes des actualités, notamment les attaques par ransomware, l’espionnage ou encore les pannes non malveillantes suscitant de vives inquiétudes. Les organisations doivent se protéger contre les risques et menaces actuels et futurs.
Le risque cyber évolue en permanence, à la fois en raison des avancées technologiques, des enjeux géopolitiques et des changements dans le fonctionnement des groupes de cybercriminalité.
« C’est un réseau complexe de facteurs qui interagissent et se développent à un rythme rapide, » déclare Ffion Flockhart, responsable mondiale de la cybersécurité, basée à Londres. « Nous sommes au coeur de tout cela : notre mission est d’aider nos clients à gérer au mieux les risques et menaces cybernétiques auxquels ils font face, quelles que soient les circonstances. »
En effet, ajoute Catharina Glugla à Düsseldorf, « l’hypothèse selon laquelle il y aura une perturbation » causée par des incidents cybernétiques défavorables est la base d’une bonne gestion des risques et soutient la résilience opérationnelle.
« C’est un réseau complexe de facteurs qui interagissent et se développent à un rythme rapide. Nous sommes au cœur de tout cela. »
Ffion Flockhart
Associée
Quels types d’incidents cybernétiques posent les plus grands problèmes ?
Les lecteurs connaissent sans doute le concept des attaques par ransomware, un fléau qui touche de nombreux secteurs depuis des années. Steven Hadwin à Londres souligne l’émergence de groupes de cyber-extorsion sophistiqués adoptant un modèle de ransomware-as-a-service.
« Cela implique des groupes d’attaquants qui concèdent sous licence les outils et techniques nécessaires pour effectuer des attaques d’extorsion cybernétique à plusieurs affiliés, ce qui a conduit à une prolifération d’acteurs malveillants, » explique-t-il. « Les attaques que nous constatons impliquent généralement un chiffrement non autorisé généralisé des systèmes, associé à un vol de données à grande échelle. Une rançon est alors demandée en échange d’une clé de déchiffrement et de la restitution des données volées. »
Les groupes d’extorsion ont aussi exploité des vulnérabilités dans des logiciels largement utilisés pour mener des extorsions par vol de données massif, comme ce fut le cas lors de la compromission très médiatisée de l’outil de partage de fichiers MoveIt.
Malheureusement, cela représente un marché lucratif pour les acteurs malveillants, dont l’identité est souvent connue. Les organisations peuvent choisir de négocier avec eux, parfois pour gagner du temps pour remettre de l’ordre, parfois pour payer une rançon.
Un négociateur de ransomware pourra conseiller si l’attaquant est véritablement celui qu’il prétend être. Comme l’explique Marcus Harewood à Londres, c’est crucial si l’entreprise envisage de répondre à leurs exigences.
« Les groupes d’attaquants organisés et motivés financièrement comptent énormément sur leur nom et leur réputation pour extorquer leurs victimes, » déclare-t-il. Sont-ils dignes de confiance si une rançon est versée ? « Il existe une certaine forme d’honneur parmi les voleurs. S’ils devaient renier leur parole, aucun expert en cybersécurité ou en renseignement sur les menaces ne conseillerait de poursuivre le paiement. »
Les avocats ne peuvent pas faire de recommandations concernant le paiement d’une rançon, mais ils peuvent conseiller sur la légalité de cette démarche, par exemple, pour déterminer si l’attaquant est soumis à des sanctions ou fait partie d’une organisation terroriste. Ils communiqueront également avec les forces de l’ordre.
« Les clients veulent savoir que si ils paient la rançon, ils ne seront pas en infraction avec les sanctions, » explique Marcus. Cela va de pair avec la nécessité de déterminer si le paiement d’une rançon permettra de redémarrer l’entreprise plus rapidement, voire complètement—des considérations particulièrement sensibles dans des secteurs tels que la santé.
En dehors de l’extorsion, l’espionnage et le vol de propriété intellectuelle en raison de la compromission d’un environnement informatique restent des enjeux majeurs. Ces attaques sont parfois menées par des acteurs étatiques et peuvent impliquer l’accès à des informations très sensibles.
Ffion précise : « Les acteurs malveillants dans ce domaine tendent à adopter une approche discrète et prolongée. Ils cherchent à obtenir une présence durable dans un environnement, afin de collecter le maximum d’informations tout en restant indétectés. »
Dans le pire des scénarios, les acteurs malveillants pourraient également chercher à mener des attaques pour endommager des infrastructures physiques. Heureusement, à ce jour, il y a eu peu d’exemples de cela—mais dans un climat de sensibilité géopolitique et militaire accrue, c’est un risque qui mérite une attention minutieuse à tous les niveaux.
Que dire des pannes majeures dont nous entendons parler ?
Des incidents cybernétiques significatifs peuvent également survenir sans intention malveillante. Un exemple notable est la panne informatique mondiale survenue en juillet 2024, liée au logiciel de cybersécurité de CrowdStrike, dont des milliers d’entreprises dans le monde dépendent.
« CrowdStrike était un événement ‘cygne noir’, » souligne Ross Phillipson à Perth. « Cela a servi de signal d’alarme pour de nombreuses personnes en matière de risque de résilience opérationnelle. »
Catharina ajoute : « Les clients réalisent à quel point cela peut se produire facilement. Ils n’ont pas nécessairement besoin d’être la cible d’un acteur malveillant ; cela peut simplement arriver à cause de la concentration des risques. »
Comment gérer le risque de manière optimale, sur le plan stratégique et opérationnel ?
Les coûts financiers des incidents et des pannes cybernétiques, ainsi que de nouvelles lois et réglementations telles que le règlement européen sur la résilience opérationnelle numérique (DORA), la directive NIS2 révisée de l’UE et la norme de gestion des risques opérationnels CPS 230 en Australie, incitent à investir dans la cybersécurité et la résilience opérationnelle dans de nombreux secteurs. Les obligations liées à la cybersécurité en matière de protection des données et de respect de la vie privée sont un autre facteur, les sanctions imposées par des législations telles que le règlement général sur la protection des données (RGPD) étant souvent liées à des défaillances en matière de cybersécurité.
Les conseils d’administration réalisent également qu’ils ont des obligations. Anna Rudawski à New York observe que la gestion des risques cybernétique était historiquement une pratique réactive, déterminée par des enquêtes et des actions d’application des règles. « Nous sommes en train d’observer un passage vers un travail proactif, » indique-t-elle. « Les conseils doivent donner le ton, afin que chacun comprenne les risques pour l’entreprise. »
« C’est une approche basée sur les risques. Vous devez identifier les plus grands risques et les traiter. »
Catharina Glugla
Associée
Une entreprise doit avoir l’expertise et les connaissances nécessaires pour faire les bons choix d’investissement. « Une grande partie de la stratégie cybersécurité peut et doit être réalisée avec l’équipe juridique, » souligne Anna, « y compris savoir où obtenir le meilleur rapport qualité-prix en matière de conformité légale et réglementaire.
« Vous devez prendre ces décisions en présence des bonnes personnes, et vous voulez que des avocats soient impliqués parce qu’au bout du compte, vous gérez une exposition légale. »
Ross mentionne que bon nombre d’organisations ne s’attaquent toujours pas aux fondamentaux. Par exemple, les politiques de mots de passe sont souvent faibles, et cela, avec un manque d’authentification multifacteur, rend les entreprises vulnérables au stuffing d’identifiants, où des cybercriminels achètent des noms d’utilisateur et mots de passe obtenus lors de violations de données passées et les utilisent pour tenter d’accéder aux systèmes informatiques des entreprises.
Le risque dépendra du secteur—for example, dans le secteur de l’énergie, l’accent sera mis sur les infrastructures, alors qu’en santé, il portera sur la sécurité des patients et les données. L’accent diffère, dit Catharina, mais les étapes à suivre sont fondamentalement les mêmes. « C’est une approche basée sur les risques. Vous devez identifier les plus grands risques et les traiter. »
Ce qui ne sera pas toléré, en particulier par un régulateur, c’est l’inaction. « Ils veulent voir que vous avez fait quelque chose, » déclare-t-elle. « Cela ne vous empêchera pas d’avoir un incident—car il est inévitable que quelque chose se produise—mais vous avez essayé de vous préparer et vous êtes maintenant en mesure de réagir. »
Ross est d’accord. « Personne n’attend quelque chose de parfait, mais ils s’attendent à ce que vous y ayez réfléchi. Des choix difficiles devront être faits, » dit-il.
« Ce qui est vraiment important de notre point de vue—et nous passons beaucoup de temps à aider nos clients avec cela—c’est de s’assurer que vous avez une narration, que vous avez réfléchi aux risques et que vous avez un plan. ‘C’est trop difficile et trop cher’ ne sera pas accepté. »
Les entreprises utilisent également les technologies émergentes avec efficacité. Par exemple, depuis plusieurs années, l’apprentissage automatique a été intégré dans les logiciels de détection et de réponse des terminaux (EDR) et d’autres solutions défensives.
Comme l’explique Marcus : « À tout moment, les entreprises seront confrontées à différentes attaques et recevront de nombreux alertes. Certaines seront des faux positifs, d’autres crédibles. Il est très difficile de discerner à travers ce bruit ce qui doit être priorisé et traité en premier, donc les entreprises utilisent des technologies basées sur l’IA pour trier ces données, et cela se fait beaucoup plus rapidement qu’un humain ne le pourrait. »
« …vous voulez que des avocats soient impliqués parce qu’à la fin de la journée, vous gérez une exposition légale. »
Anna Rudawski
Associée
Comment les entreprises peuvent-elles se préparer aux incidents ?
La cybersécurité consiste à protéger ce que vous avez, mais aussi à vous préparer au pire. Steve précise que les décisions clés lors d’une cyberattaque comprennent « si oui ou non interagir avec l’attaquant, quand prendre les systèmes hors ligne et les restaurer, et quand et qui informer. » Un programme de préparation aux incidents mature identifiera un processus clair et précis les responsabilités, de sorte que tout le monde sache qui est responsable.
Anna observe une tendance chez les entreprises sous attaque à paniquer. « Elles ne savent pas qui sont les décideurs clés, et il y a toutes ces décisions, qui sont difficiles à prendre dans une crise. » Une préparation approfondie et constante peut atténuer ces problèmes.
Des simulations cybernétiques aident les entreprises à affiner leur réponse. Comme le décrit Marcus : « Les dirigeants y réfléchissent maintenant en temps de paix, plutôt que lorsqu’ils sont sous le feu. Vous jouez le jeu de ce qu’ils vont faire.
« Si vous vous y préparez, formez-vous et reformez-vous, votre capacité de réponse augmentera. »
Ceux qui ne prévoient pas peuvent empirer une mauvaise situation : « Si la communication échoue, c’est ce pour quoi vous serez souvenirs, » ajoute-t-il. « C’est presque aussi dommageable que ce que vous êtes en train d’affronter parce que c’est ce que tout le monde voit.
« Ce n’est pas un problème quotidien, donc vous avez besoin d’un certain niveau de compétence. » En plus de votre équipe juridique, cette expertise inclut la négociation de rançon, la communication de crise cybernétique et l’investigation judiciaire.
« Nous sommes souvent intégrés dans les plans et procédures de réponse aux incidents des organisations, » explique Marcus. « Nous nous assurons que toute l’enquête est menée sous le secret professionnel. Nous accompagnerons une entreprise tout au long du cycle de vie de l’incident et des différentes voies de travail, y compris ses obligations légales et contractuelles. Nous sommes techniques et légistes—et nous savons ce que recherchent les régulateurs. »
Catharina conclut : « Vous vous préparez à pouvoir continuer à offrir vos services et produits de la meilleure manière possible tout en gérant la perturbation. »
Une bonne planification commence par connaître ce que vous avez en termes d’inventaire, de serveurs, de systèmes et de processus. Ross indique : « Supposez que cela va se produire et identifiez les systèmes ou opérations qui sont si critiques pour votre entreprise que vous auriez du mal à fonctionner sans eux. »
IA – la prochaine frontière ?
Il y a beaucoup de discussions sur la manière dont l’IA changera le paysage des menaces cybernétiques, abaissant la barrière d’entrée pour les acteurs malveillants et générant de nouveaux défis défensifs. Des inquiétudes existent également sur le fait que les modèles et systèmes d’IA eux-mêmes pourraient être ciblés par les attaquants.
Charlie Weston-Simons à Londres indique que l’accent est pour le moment mis sur l’utilisation de l’IA pour rendre les comportements conventionnels des acteurs malveillants plus efficaces : « Par exemple, l’IA peut aider à rédiger un email de phishing très convaincant ainsi qu’automatiser et accélérer les processus que les acteurs malveillants utilisent pour identifier et exploiter les vulnérabilités. »
« Les dirigeants y réfléchissent maintenant en temps de paix, plutôt que lorsqu’ils sont sous le feu. »
Marcus Harewood
Associé senior
Pensées finales
La cybersécurité est un parcours d’amélioration continue. Les acteurs malveillants deviennent de plus en plus sophistiqués, la technologie change constamment, et de nouvelles lois et réglementations apparaissent sur la scène mondiale.
Anna Gamvros à Sydney indique : « Nous allons voir plus de lois et, de plus en plus, elles seront formulées comme des lois sur la sécurité nationale en raison de la géopolitique. Cela pose un risque, qui est un pouvoir exécutif accru et, en particulier, l’ingérence gouvernementale dans l’entreprise privée et ses actifs.
« C’est un domaine intéressant d’un point de vue politique, sans parler d’un point de vue juridique et de gestion des risques. Je ne peux pas penser à un meilleur moment dans l’histoire du monde pour être un avocat en cybersécurité ! »
Bon à savoir
- La cybersécurité nécessite une approche continue et proactive pour gérer les risques.
- Les organisations doivent mettre en place une formation régulière pour leur personnel afin de renforcer leur résilience.
- Les nouvelles réglementations, comme le RGPD, imposent des sanctions sévères pour les manquements en matière de cybersécurité.