Visant des systèmes pour partie obsolètes, le ransomware WannaCrypt a touché nombre d'institutions publiques et de systèmes industriels. Une situation qui doit alarmer les décideurs, selon le collectif Résistance Cyber, qui veut revoir la vision de la sécurité pour la focaliser sur les bonnes pratiques.
Si le ransomware WannaCrypt n'est pas un électrochoc suffisant, Résistance Cyber veut forcer le changement dans la sécurité informatique. « Collectif spontané » monté hier (dont le nom fera sourire certains), il est composé de spécialistes dans le domaine de la cybersécurité, qui réclament de revoir le modèle de sécurité des entreprises en France.
L'idée : sortir de la vision classique, propre à vendre du matériel mais jugée inefficace, pour insister sur l'hygiène des pratiques et des réseaux, notamment via la formation. Pour Jean-Nicolas Piotrowski, président de la société ITrust et auteur du manifeste, « nous sommes passés très près de la catastrophe » avec WannaCrypt (voir notre analyse). Il faut donc aller plus loin, et de manière plus concrète qu'avec la publication de tweets peu inspirés.
Le ransomware, qui a infecté plus de 200 000 terminaux dans le monde, a été ralenti par l'enregistrement de deux noms de domaine, servant de « kill switch ». Cette infection massive souligne un large problème de maintenance du parc informatique, exploitant une faille corrigée par Microsoft et des versions obsolètes de Windows (dont XP).
Miser sur l'hygiène informatique
« Je n'en peux plus de voir des sociétés piratées, avec un niveau de sécurité catastrophique, s'agace le patron d'ITrust. WannaCry n'est pas une attaque élaborée, c'est même très basique. Ce qui nous exaspère, c'est que ça puisse toucher Renault. » Le constructeur français a mis en pause la production dans trois usines, certains de ses équipements industriels étant affectés.
Dans son manifeste, le collectif attaque frontalement les principaux acteurs du marché, et appelle à organiser la filière pour fournir des solutions simples et peu coûteuses aux PME... En insistant notamment sur le facteur humain.
« On passe à l'idée qu'avec une bonne hygiène numérique, on peut avoir une sécurité à moindre coût. Ça gêne beaucoup de monde de dire ça, quand 80 % du chiffre d'affaires du secteur est dû à la vente de firewalls et d'antivirus » nous déclare Jean-Nicolas Piotrowski, qui propose des formations aux entreprises.
Protéger les industries européennes
L'exaspération affichée doit masquer un certain opportunisme, alors que WannaCrypt s'affiche actuellement jusque dans les journaux télévisés ; une rareté en matière « cyber ». Créé rapidement, le collectif dit agréger rapidement de nouveaux membres tels qu'HexaTrust. « Le dernier soutien est arrivé à 2h » nous expliquait en début de matinée le président d'ITrust.
À force d'« état d'urgence » et de « terrorisme », le manifeste vise à mobiliser le secteur de la sécurité, d'abord au travers de groupes en ligne (via Facebook et LinkedIn notamment) pour rapidement s'organiser. Le but : « protéger nos emplois, notre savoir-faire européen », cible de nombreuses attaques. Miser sur l'hygiène informatique pour mieux défendre les intérêts français, voire la souveraineté.
Professionnalisation contre sous-investissement
« On n'est pas passés loin de la catastrophe. On avait dit que ça se produirait et rien n'a été fait » lance Piotrowski, qui tance à la fois le sous-investissement chronique dans la sécurité informatique, l'excuse du retour sur investissement difficilement perceptible... et l'incompétence des responsables.
Le collectif estime aussi que la défense périmétrique (défendre son réseau) laisse le champ libre aux attaquants, qui se professionnalisent. « Ces menaces nouvelles [...] utilisent des techniques qui ne sont plus décelées par les protections actuelles » affirme-t-il. Cela même si, dans les faits, il est bien difficile de jeter ce modèle avec l'eau du bain de WannaCrypt.
Les signataires veulent donc dénoncer « des entreprises de sécurité obnubilées par des intérêts économiques maintenant d’un autre âge », à savoir les grands groupes du secteur... Des entreprises à même de s'offrir des labels coûteux, qui représenteraient jusqu'à 20 % du coût d'une prestation pour de petits acteurs. Les David de la cybersécurité taclent donc en règle les problèmes des Goliath, les affirmant obsolètes.
Face à des solutions parfois vendues plusieurs millions d'euros, par moments « non-souveraines » et donnant un faux sentiment de sécurité, Résistance Cyber (et la société de formation ITrust, à sa base) mettent donc en avant la formation et les bons gestes. Comportement des employés, mises à jour logicielles, cloisonnement des réseaux... « Avec 3 000 euros, j'évite WannaCry » pense l'entreprise, qui vise ici les PME.
La société promet déjà de monter des offres dédiées aux petites entreprises, avec deux de ses homologues. Quand l'intérêt général se marie à merveille avec son propre modèle économique. Rappelons que l'ANSSI investit déjà bien le sujet, par exemple avec ses 42 recommandations pour une hygiène informatique de base.
Réagir avant la « deuxième phase », crédit d'impôts en tête
Pour Résistance Cyber, WannaCrypt est une première phase, avant un événement plus grave, comme une attaque étatique réussie sur une infrastructure vitale (centrale nucléaire, réseau électrique...). Soit la deuxième phase. Il ne faut donc pas que le soufflé retombe. « Je vois un gros inconvénient à WannaCrypt, c'est un coup de semonce sans énormément de dégâts, sinon quelques hôpitaux, affirme Jean-Nicolas Piotrowski. Il faut bien dire qu'on a eu de la chance de ne pas passer loin de la catastrophe ».
Il faudrait donc porter un nouveau discours, sans attendre d'initiative publique... Même si Résistance Cyber compte bien sur l'oreille de l'ANSSI pour porter ses revendications. Et elles sont nombreuses.
La première mesure affichée est un crédit d'impôts « sécurité » pour PME et ETI, que des régions seraient déjà en train de valider. Une demande pour laquelle le cas WannaCrypt tombe tout de même à pic. Le collectif veut aussi « stimuler » une offre de sécurisation des petites entreprises, institutions publiques et collectivités, en créer une autre pour les opérateurs d'infrastructures vitales (OIV), mettre en place une plateforme de réponse à incident pour les PME et ETI.
Il souhaite encore regrouper des sociétés innovantes (par exemple dans l'intelligence artificielle et le big data, notamment via French Tech), créer une offre de cyberassurance, lister des produits de confiance adaptés aux PME (avec une plateforme de test) et, enfin, ouvrir des formations aux bonnes pratiques numériques à l'école et d'ingénierie en cybersécurité.
Autant de solutions qui n'ont rien de révolutionnaire, s'appuient pour partie sur l'action publique, et pour l'autre sur des offres commerciales, qu'une partie des signataires sont à même de proposer eux-mêmes.
