D’emblée, enfonçons une porte ouverte : les pirates informatiques seront de plus en plus nombreux à tenter leur chance, gonflés d’optimisme par les succès spectaculaires d’attaques récentes. Il n’est qu’à penser à la compromission, l’année dernière, des serveurs de Microsoft, Samsung, Nvidia, Okta et Ubisoft par le groupe Lapsus$; ou encore à la mise en vente, sur un forum en ligne, de données personnelles d’environ 5.4 millions d’utilisateurs de Twitter.

On peut toutefois se demander quels sont les facteurs de changement qui pousseront les attaquants à rénover et à adapter leurs méthodes. Quelles formes prendront-elles? Quels nouveaux territoires seront investis par les cybermenaces? Et surtout, pour quels impacts?

Après la disponibilité, le levier de la confidentialité

Bien que les cybercriminels gagnent en effectifs, on observe une diminution globale des paiements de rançon à la suite d’une infection par rançongiciel. Ainsi, selon la société américaine d’analyse de blockchain Chainanalysis, bien que le total des rançons payées par cryptomonnaie en 2020 ait connu un bond d’environ 60 % pour atteindre 765 millions $US, il serait retombé à 457 millions en 2022.

C’est que confrontées à un problème devenu endémique, les entreprises ont cherché à parfaire leur résilience, dont une meilleure gestion des sauvegardes de données; de sorte que si environ 70 % des victimes consentaient au paiement de la rançon en 2020, la proportion est désormais estimée à 40 %. Le Centre antifraude du Canada rapporte en outre une baisse du nombre de victimes au pays en 2022, soit 66 contre 104 en 2021 (bien qu’il ne s’agisse ici que des cas dûment rapportés au CAFC).

Peut-on pour autant conclure à une diminution durable des tentatives de cyber extorsion? Pas si vite : les attaquants, en retour, s’adaptent et changent de tactiques! Notamment en misant moins sur la non-disponibilité des données pour la victime que sur une atteinte à leur confidentialité, soit le risque de dommages réputationnels si elles devaient être rendues publiques.

Et pour cela, nul besoin de vraiment détenir ces données : comme au jeu du Poker menteur, il suffit d’en convaincre la cible, avec quelques informations réelles obtenues sans effort par sources ouvertes, sur les forums et les réseaux sociaux. Même fictive, une compromission revendiquée sera souvent considérée crédible, alors que le déni de l’entreprise donnera plutôt l’impression inverse.

Cette fraude par bluff (ou ransom-vaporware), qui requiert peu de virtuosité technique et table sur les nouvelles dispositions légales en matière de protection des données personnelles (Loi 25), prendra probablement de l’ampleur. Elle s’appuie avant tout sur l’ingénierie sociale — à savoir la duperie et la manipulation de l’interlocuteur —, tout comme les détournements de fonds par la fraude au président et, plus généralement, par l’usurpation d’identité en entreprise (BEC), également en forte hausse depuis l’instauration généralisée du télétravail.

Élargissement de la surface et des moyens d’attaque

Bien que l’informatique quantique soulève d’importants enjeux de sécurité future, elle ne présente pas de menace imminente. Il lui faudra plusieurs années avant d’être disponible aux attaquants pour «casser» nos meilleurs niveaux de chiffrement actuels. Certes, des échanges de données pourraient être capturés aujourd’hui puis déchiffrés en 2030 ou 2035; d’où l’importance d’en limiter l’accès par l’application adéquate de mesures de sécurité contemporaines.

Quant à l’intelligence artificielle et au machine learning, il s’agit avant tout d’un puissant moteur d’innovation pour les solutions de défense, dont l’identification des menaces (threat hunting), l’analyse comportementale des utilisateurs et l’analyse des flux réseau. Côté offensif, on a récemment relevé l’utilisation d’outils comme ChatGPT pour générer de faux courriels ou du code malicieux, et les technologies deepfakes (images et vidéos de synthèse) joueront à coup sûr un plus grand rôle dans les opérations d’hameçonnage et de fraude; mais les cas d’usage restent encore limités.

En revanche, on peut s’attendre à une exploitation plus efficiente de l’automatisation scriptée, laquelle permet de collecter très rapidement et d’agréger depuis plusieurs sources, en phase de reconnaissance, des informations utiles à l’élaboration d’une attaque — que ce soit pour énumérer des vulnérabilités technologiques ou pour reconstituer un organigramme d’entreprise afin d’identifier la cible idéale.

Les moyens mis en œuvre par des États continueront, pour leur part, à provoquer des ondes de choc cyber. Soit sous la forme de dommages collatéraux — par débordements involontaires hors du champ d’action prévu en infectant d’autres systèmes, ou par représailles pour une prise de position officielle. Le Centre canadien pour la cybersécurité publiait justement, le 26 février dernier, une alerte à cet égard pour les nations alliées de l’Ukraine.

Sans oublier l’effet multiplicateur — voire exponentiel — d’une surface d’attaque toujours plus vaste et diverse, avec la convergence des systèmes d’information et industriels, et le flot toujours plus imposant d’objets connectés (téléphones cellulaires, domotique, senseurs portés sur soi pour l’entraînement, etc.) Cet élargissement de la surface d’attaque passe également par la chaîne d’approvisionnement, dans la mesure où développeurs de logiciels et fournisseurs seront, eux aussi, de plus en plus visés pour atteindre l’entité cliente.

Défis organisationnels et enjeux d’assurabilité

Enfin, face à la hausse des cyber risques, les organisations auront immanquablement à relever des défis de gouvernance, de conformité et d’assurabilité. Entre autres par une décentralisation des processus décisionnels pour un temps de réponse plus rapide et davantage d’agilité, mais qui exigera en retour une meilleure coordination des efforts.

De nouvelles obligations légales nécessiteront par ailleurs de réformer des processus internes — dont la nouvelle Loi modernisant des dispositions législatives en matière de protection des renseignements personnels — et des requis de conformité seront de plus en plus exigés de la part des assureurs pour une couverture cyber.

En effet, échaudées par la hausse importante des cyberattaques ces dernières années, les compagnies d’assurance ont dû décaisser bien au-delà de ce qu’ils avaient prévu, et haussent désormais leurs exigences pour preuve d’assurabilité — de même que le prix des couvertures, qui devient trop cher pour les petites entreprises. Alors que les entités tierces (partenaires, fournisseurs, etc.) sont de plus en plus tenues responsables en cas de piratage, une réflexion de fond sur le transfert du risque en général s’avère incontournable.