Partenaires
Contactez-nous
Obtenez un devis
Écrit par Robert Bond le 16 mars 2023

Quel est l'avenir de la cyberguerre ?

Alors que nous célébrons l'anniversaire solennel de la guerre contre l'Ukraine, il est clair que les cyberattaques constituent une part importante de l'arsenal de la Russie. Les cyberattaques contre l'Ukraine ont augmenté de 250 % en 2022 par rapport aux deux années précédentes. La stratégie agressive et multidimensionnelle de la Russie en matière de cyberguerre consiste à cibler le gouvernement ukrainien, les entités militaires, les infrastructures critiques et les secteurs des services publics et des médias.

Depuis le début de la guerre, de nombreuses souches de wiper - dont WhisperGate, HermeticWiper, IsaacWiper, CaddyWiper, Industroyer2 et SDelete - ont été déployées contre les réseaux ukrainiens. Pendant ce temps, les attaques par hameçonnage visant les pays de l'OTAN ont augmenté de 300 % au cours de la même période. Nombre de ces attaques ont été menées par un gang soutenu par le gouvernement biélorusse, connu sous le nom de PUSHCHA (alias Ghostwriter ou UNC1151), dont on sait qu'il est aligné sur la Russie.

 

Figure 1: Campagnes de phishing menées par des cybercriminels soutenus par le gouvernement
Source: Google révèle une augmentation alarmante des cyberattaques russes contre l'Ukraine (thehackernews.com)

 

Les effets de la guerre sur la dynamique des groupes cybercriminels d'Europe de l'Est constituent une étude intéressante. Diverses bandes de pirates informatiques et syndicats de ransomware prennent parti pour servir leurs intérêts. Nous avons également constaté que la frontière entre les attaquants motivés par des raisons financières et les acteurs parrainés par l'État s'est estompée. Par exemple, UAC-0098, un acteur de la menace connu pour avoir diffusé le logiciel malveillant IcedID, a été observé en train d'adapter ses techniques pour cibler l'Ukraine par le biais d'une série d'attaques par ransomware.

Certains membres de l'UAC-0098 sont d'anciens membres du gang de cybercriminels Conti, aujourd'hui disparu. TrickBot, qui a été absorbé par l'opération Conti l'année dernière avant la disparition de cette dernière, est désormais systématiquement pris pour cible.

 

Cyber-instruments russes

L'omniprésence des cyberattaques russes n'est pas surprenante si l'on considère les récents efforts politiques visant à renforcer les services de renseignement du pays et à améliorer leur agilité opérationnelle. Ces entités sont les suivantes :

  • Service fédéral de sécurité (FSB)

Le FSB est la principale agence de sécurité intérieure du pays et dépend directement du président russe. Il supervise la sécurité intérieure et le contre-espionnage. Ces dernières années, les attributions du FSB ont été étendues à la collecte de renseignements étrangers et aux cyber-opérations offensives. On pense que le FSB complète son personnel avec des pirates informatiques criminels et civils. Les cyber-analystes ont surnommé les pirates du FSB Berserk Bear, Energetic Bear, Gamaredon, TeamSpy, Dragonfly, Havex, Crouching Yeti et Koala. 

  • Service de renseignement extérieur (SVR)

Le SVR est la principale agence civile russe de renseignement extérieur chargée de recueillir des renseignements étrangers par le biais de signaux humains et électroniques et de méthodes cybernétiques. Il utilise des compétences techniques avancées pour pénétrer dans les réseaux et y conserver un accès. Les cyber-experts désignent les pirates du SVR sous les noms d'APT 29, Cozy Bear et The Dukes.

  • Direction principale du renseignement de l'état-major général des forces armées de la Fédération de Russie (GRU)

Le GRU est l'agence de renseignement militaire la plus importante de Russie. Les unités cybernétiques du GRU gèrent plusieurs instituts de recherche qui se concentrent sur le développement d'outils de piratage et de logiciels malveillants. Les cyber-analystes désignent ces unités sous les noms d'APT 28, Fancy Bear, Voodoo Bear, Sandworm et Tsar Team.

  • Agence de recherche sur Internet

L'Internet Research Agency est un groupe privé connu pour son soutien au gouvernement russe. Il mène des opérations d'influence et de désinformation pro-russes en ligne par le biais des médias sociaux et est connu pour se faire passer pour des activistes nationaux et d'autres personnes dans le cadre de ces efforts.

 

Tactiques d'atténuation et de défense

Malgré l'ampleur et la sophistication des opérations de cyberguerre de la Russie, leur impact sur l'Ukraine n'a pas été aussi dévastateur que prévu.

Cela peut être attribué aux progrès des technologies de défense et à la cyber-résilience de l'Ukraine. Bien que le pays n'ait pas été en mesure d'isoler complètement ses systèmes de la pénétration russe, il a adopté de solides tactiques de remédiation et de récupération, telles que la sauvegarde de ses fichiers sur des serveurs étrangers. 

L'Ukraine était bien préparée, car elle durcit son environnement et renforce ses défenses depuis des années. Le pays a été la cible d'attaques substantielles de la part de la Russie bien avant que la guerre n'éclate. Il s'agit notamment de frappes contre le réseau électrique en 2015 et 2016 et d'un virus en 2017 visant les entreprises ukrainiennes.

 

La montée des cyber-sanctions

S'il est évident que la cybercriminalité continuera à jouer un rôle essentiel dans les futurs conflits armés, le reste du monde prend des mesures pour la perturber et la décourager : 

  • En 2015, les États-Unis ont émis leurs premières cyber sanctions lorsque le décret 13694 du président Obama "a autorisé l'imposition de sanctions aux personnes et aux entités jugées responsables ou complices d'activités cybernétiques malveillantes entraînant des préjudices énumérés qui sont raisonnablement susceptibles d'entraîner une menace importante pour la sécurité nationale, la politique étrangère, la santé économique ou la stabilité financière des États-Unis, ou d'y avoir contribué de manière significative".
  • En 2020, l'Union européenne a également introduit des cyber sanctions en ciblant six personnes et trois entités de Russie, de Chine et de Corée du Nord qui ont été "impliquées dans des cyber-attaques importantes ou des tentatives de cyber-attaques contre l'UE ou ses États membres".
  • En février de cette année, les États-Unis ont sanctionné 22 personnes et 83 entités en Russie, ainsi que 30 personnes et sociétés dans des pays tiers qui ont aidé la Russie à se soustraire aux sanctions américaines précédentes. Le même mois, les gouvernements américain et britannique ont annoncé des mesures conjointes à l'encontre de sept cybercriminels russes connus pour être membres du gang du logiciel malveillant Trickbot. 

Le champ d'application des sanctions et des réglementations relatives à la cybernétique s'étend désormais aux réseaux terrestres et spatiaux. Le 2 mars 2023, la Maison Blanche a publié une stratégie nationale de cybersécurité, identifiant les pirates informatiques russes et chinois comme des menaces majeures pour ces infrastructures. Dans un communiqué, la Maison Blanche a déclaré : "Nous sommes confrontés à un environnement de menace complexe, avec des acteurs étatiques et non étatiques qui développent et exécutent des campagnes inédites pour menacer nos intérêts".  

 

Conclusion - La prochaine frontière

Avec la montée en puissance des nations, les affrontements dans le cyberespace risquent d'être plus nombreux que par le passé. Divers systèmes seront touchés, et des populations et des zones plus vastes seront soumises à des tactiques plus audacieuses. En matière de cyberguerre, tout le monde est vulnérable car il n'y a pas de règles de base. 

L'atténuation de l'impact des futures activités de cyberguerre nécessite une collaboration et un échange de renseignements entre les gouvernements, les organismes industriels et les entreprises. Plus important encore, il faudra que les bons groupes reçoivent les bonnes informations au bon moment.

Pour leur part, les organisations doivent être proactives en minimisant les risques et en se préparant à réagir si (ou quand) le pire se produit. Elles doivent notamment prendre les mesures suivantes :

  • Recherche de vulnérabilités éventuelles dans leurs chaînes d'approvisionnement cybernétiques
  • Exiger des fournisseurs de logiciels tiers qu'ils démontrent qu'ils accordent la priorité à la cybersécurité
  • Tester leurs plans d'intervention en cas d'incident, notamment en organisant des scénarios et des exercices, afin de s'assurer que leurs plans sont solides et que chacun sait clairement ce qu'il est censé faire en cas de crise

Articles similaires

Hitachi Systems Trusted Cyber Management annonce fièrement la nomination de Gajen Kandiah au poste de président de son conseil d'administration

22 janvier 2024
SANTA CLARA, CALIFORNIE - 22 janvier 2024 - Hitachi Systems Trusted Cyber Management (HSTCM) est ravi d'annoncer la nomination de Gajen Kandiah en tant que nouveau président du conseil d'administration, à compter du 1er janvier 2024. Kandiah succède à Shin Kuno, qui occupait le poste depuis septembre 2022.
En savoir plus

Renforcez votre cyberrésilience : L’impact des simulations « Purple Team »

29 novembre 2023
À une époque où les cyberattaques sont devenues une réalité inévitable, les organisations sont confrontées à la menace constante des failles de sécurité. Systèmes de sécurité Hitachi est à l'avant-garde de la lutte contre ce défi grâce à une approche innovante : la simulation « Purple Team ». Cette méthode de formation et de test en matière […]
En savoir plus

Protégez votre commerce en ligne et vos clients ce Vendredi fou

21 novembre 2023
Alors que le Vendredi fou bat son plein, les entreprises qui exploitent des plateformes de commerce électronique se retrouvent au premier rang de la frénésie des achats en ligne. Alors que les consommateurs s'empressent de saisir vos offres du Vendredi fou, on ne saurait trop insister sur l'importance de rester vigilant. L'essor des achats en […]
En savoir plus
phone-handsetcrossmenu