Dans les années 1970 à New York, l’emprise de la mafia sur la ville a conduit de nombreux propriétaires d’entreprises à inclure un poste de paiement de la mafia dans leur budget annuel. Aujourd’hui, certaines des plus grandes entreprises du monde budgétisent à nouveau l’extorsion. Cette fois, la menace ne vient pas de la violence physique mais de cybercriminels à l’autre bout du monde.
Les attaques de ransomware ont fortement augmenté au cours des dernières années. Au début de 2021, le rapport 2020 du FBI sur la criminalité sur Internet comprenait 791 790 plaintes pour délits présumés sur Internet, soit une augmentation de plus de 300 000 plaintes par rapport à 2019, les entreprises faisant état d’une perte collective dépassant 4,2 milliards de dollars – et ce ne sont que les attaques signalées au Bureau. De plus en plus d’entreprises ont choisi de gérer les cyberattaques en interne, en payant discrètement une rançon aux cybercriminels qui menacent de divulguer les données des clients ou pire. En fait, le Government Accountability Office a rapporté en mai que le nombre d’entreprises investies dans des polices d’assurance cyber était passé d’environ 25 % en 2016 à près de 50 % en 2020.
Les grandes entreprises technologiques peuvent prétendre que les cyber-assaillants sont de plus en plus avertis, mais les méthodes que ces criminels utilisent pour s’introduire dans les serveurs de l’entreprise sont toujours restées basiques. La plupart des attaques de ransomware se produisent encore en raison de serveurs ou de systèmes obsolètes, d’un manque d’air dans les secteurs critiques, d’escroqueries par hameçonnage par courrier électronique et d’une mauvaise protection par mot de passe. Et il existe un moyen simple d’arrêter cela : des réglementations gouvernementales qui obligeraient les entreprises à se protéger et à protéger les consommateurs – ou à en payer le prix.
Ce pays est à la traîne d’une grande partie du monde occidental en termes de politiques visant à protéger les entreprises et les particuliers contre les cyberattaques. Bien qu’initialement destiné à traiter de la vie privée, l’adoption du Règlement général sur la protection des données (RGPD) de l’Union européenne en 2016 a résolu pour l’UE de nombreux problèmes auxquels nous sommes actuellement confrontés. Le RGPD exigeait que les informations et les données des consommateurs soient correctement cryptées sur des systèmes isolés et entièrement corrigés et appliquait avec diligence ces mandats par de lourdes amendes.
Aux États-Unis, les mesures de conformité gouvernementales actuelles, telles que la norme de sécurité numérique de l’industrie des cartes de paiement (PCI DSS), conçue pour protéger les données des clients, ne sont tout simplement pas suffisantes. Je traite avec de nombreuses entreprises qui ne sont pas conformes aux normes PCI, et ce que j’entends des dirigeants de ces entreprises, c’est qu’ils préfèrent payer l’amende de 50 000 $ pour non-conformité plutôt que d’investir les 2 millions de dollars qu’il en coûterait pour se mettre en conformité.
“En acceptant l’inévitabilité et la budgétisation des cyberattaques, nous permettons essentiellement aux cybercriminels de poursuivre leur travail sans contrôle.“
En Europe, le RGPD facture jusqu’à 4 % du chiffre d’affaires brut d’une entreprise si elle ne respecte pas les normes – un chiffre bien plus motivant que les amendes imposées aux entreprises américaines non conformes.
Comme de nombreuses entreprises américaines ayant des intérêts commerciaux en Europe connaissent déjà la réglementation GDPR, il ne serait pas difficile d’adapter tout ou partie du GDPR aux normes américaines, et les données de chacun seraient ainsi plus sûres.
À mon avis, la réglementation américaine devrait refléter le RGPD pour garantir que tous les systèmes publics et privés accessibles depuis Internet doivent être entièrement corrigés et ne peuvent contenir aucune donnée critique – qui devrait plutôt être cryptée avec une clé et stockée sur un serveur séparé.
Une autre mesure réglementaire clé serait de créer un processus de certification rigide pour toute personne travaillant dans le domaine de la cybersécurité, supervisé par un conseil d’administration des licences d’État comme notre système pour les avocats ou les cosmétologues.
À l’heure actuelle, le gars qui me coupe les cheveux a plus de surveillance de la part du gouvernement que les personnes employées pour sécuriser nos systèmes critiques. C’est un problème car cela ne donne aux entreprises ayant un réel besoin d’une ressource de cybersécurité aucun moyen d’examiner correctement les candidats pour ces rôles. Nous ne pouvons pas nous attendre à ce que chaque chef d’entreprise devienne lui-même un expert des processus de cybersécurité. Par conséquent, la création d’une surveillance dans l’industrie garantirait que tous les professionnels certifiés ont la formation nécessaire pour détecter et corriger les failles dans les systèmes de leurs clients.
Enfin, toute industrie classée comme infrastructure critique – comme le pétrole, le gaz ou l’énergie nucléaire – devrait mettre en place des vides d’air entre les systèmes de contrôle et les réseaux commerciaux. Un intervalle d’air garantit qu’un réseau informatique sécurisé est physiquement isolé d’Internet, et donc impossible d’accès à distance.
En fait, l’industrie de l’énergie nucléaire est déjà d’accord avec cela et, par conséquent, il n’y a pas encore eu de réacteur nucléaire compromis par une cyberattaque, simplement parce que personne en dehors de l’emplacement physique du réacteur ne peut entrer.
Cependant, comme nous l’avons vu dans l’incident du Colonial Pipeline, l’industrie pétrolière et gazière n’a pas encore rattrapé son retard. Alors que nos législateurs continuent de se tourner vers les grandes entreprises technologiques (qui profitent souvent financièrement des conséquences des cyberattaques) pour obtenir des conseils sur ces questions, je crains qu’il ne faille une attaque terroriste dans le domaine cybernétique pour que les législateurs prennent conscience de la nécessité d’une réglementation.
Malheureusement, l’absence de réglementation significative nous a mis dans le même bateau que les propriétaires de magasins de la ville de New York dans les années 1970. En acceptant l’inévitabilité et la budgétisation des cyberattaques, nous permettons essentiellement aux cybercriminels de poursuivre leur travail sans contrôle. Il est temps pour nos élus et chefs d’entreprise de se dresser contre l’extorsion et de repousser cette nouvelle cyber mafia – avant qu’il ne soit trop tard.
Eric Cole est le fondateur de Secure Anchor Consulting et un expert en cybersécurité reconnu par l’industrie avec plus de 20 ans d’expérience pratique dans le domaine.
En savoir plus sur la cybersécurité
« Si vous venez pour nous, nous allons venir pour vous » : le ministère de la Justice réprime la cybercriminalité
Les petites banques disent qu’elles sont “un demi-pas derrière” les criminels de ransomware – et demandent au Congrès de les aider à riposter
Le boom des ransomwares vient de gangs qui fonctionnent comme des licornes de logiciels cloud – “un modèle commercial vraiment incroyable”
Comment les agents fédéraux ont-ils récupéré le bitcoin et accédé à un portefeuille crypto lié à la cyberattaque Colonial Pipeline ?
.