Nicolas Arpagian (Trend Micro) "Dans la cyberguerre ukrainienne, des banques et des sites gouvernementaux pourraient être visés en France"

Le directeur de la stratégie en cybersécurité de Trend Micro et expert en cyberguerre livre son analyse sur les cyberattaques qui touchent actuellement l'Ukraine.

Nicolas Arpagian est directeur de la stratégie en cybersécurité de Trend Micro. © Trend Micro

Enseignant à l'Ecole nationale supérieure de la police (ENSP) et à l'Ecole de guerre économique (EGE), Nicolas Arpagian est l'auteur de Frontières.com, un essai sur la géopolitique cyber, à paraître en avril 2022 aux Editions de L'Observatoire.

JDN. En Ukraine, des cyberattaques ont été lancées contre des banques et des sites web gouvernementaux. Faut-il s'en inquiéter ?

Nicolas Arpagian. Les cyberattaques constatées ces dernières semaines étaient principalement de deux types. Il s'agissait soit d'attaques par déni de service bloquant l'accès à des services web, soit des défaçages de pages d'accueil. Elles ne sont ni complexes ni coûteuses à mettre en place. Mais elles revêtent une portée symbolique dans la mesure où elles ont affecté la disponibilité de systèmes de banque en ligne pour les particuliers. Et aussi parce qu'elles visaient des sites internet à forte visibilité, avec dans certains cas la diffusion de messages vindicatifs à destination des Ukrainiens (les sites affectés ont notamment affiché un message avec un drapeau ukrainien barré, et ayant pour titre : "Ukrainiens ! Toutes vos données personnelles ont été transmis sur un réseau public.", ndlr). 

Ces cyberattaques ont été initiées avant le début des affrontements. Compte tenu de leur large visibilité et du blocage des systèmes financiers, elles avaient clairement pour objectif de participer à la création d'un climat de crainte au sein de la population ukrainienne.

Peut-on s'attendre à un débordement de ces cyberattaques au-delà de l'Ukraine ?

L'arme cyber est utilisée par des Etats qui peuvent apprécier de ne pas voir leur responsabilité juridique immédiatement mise en cause. Le cadre du droit des conflits armés, notamment issu des Conventions de Genève, établit ce qu'est un état de paix, un état de guerre, ce qu'est une cible militaire, une cible civile... Dans le cadre du conflit entre l'Ukraine et la Russie, l'utilisation de l'arme numérique qui échappe aux observateurs (de l'ONU, ndlr) est envisageable pour éventuellement dissuader des pays qui pourraient marquer un engagement un peu trop fort (en faveur de l'Ukraine, ndlr) aux yeux de la Russie, et ainsi leur envoyer un message d'avertissement sans engager de corps armé sur un théâtre d'opération.

Dans la gradation des actions offensives, la cyberattaque peut ainsi être actionnée pour faire passer des messages. Par ce biais, les Etats ont la possibilité de se dédouaner en affirmant qu'elle ne provient pas de leurs armées régulières, mais qu'il s'agit d'initiatives prises par des patriotes. Se pose évidemment ensuite la question de la motivation réelle et des sources de financement.

La France peut-elle être touchée par ces actes de cyberguerre ?

Si les cyber-partisans de la Russie considèrent que la France est particulièrement vindicative vis-à-vis de la Russie, l'Hexagone pourrait se retrouver dans leur viseur. La France comme les autres pays de l'Union européenne doit être très vigilante face à cette cyber-menace.

Ces cyber-actions de dissuasion (contre la France, ndlr) sont envisageables par rebond ou dans l'optique de venir décourager des initiatives d'aide diplomatique ou encore d'aide logistique tout en évitant un affrontement direct sur le terrain. Rappelons que la France a envisagé d'apporter un soutien matériel à l'Ukraine, via la fourniture de matériel militaire notamment.

Quelles pourraient être les cibles en France ?

Il est probable que les attaquants rechercheront en premier lieu les entités exposées techniquement. C'est-à-dire celles qui, compte-tenu de la porosité et de la fragilité de leur système informatique, sont particulièrement accessibles. Ce risque peut concerner toute organisation qui n'aurait pas suffisamment protégé son IT, ou qui n'aurait pas isolé ses systèmes d'information de manière à éviter les contaminations en chaîne. On se rappelle des centaines de sites WordPress mal sécurisés qui avaient fait l'objet d'une attaque massive en 2019. La logique serait la même. Pour être visible, cela passe par du volume.

"La gestion du cyber-risque ne porte pas sur les 48 prochaines heures. Elle doit être permanente"

Des acteurs particuliers tels que des banques et des sites gouvernementaux peuvent être visés en France. S'ils sont trop bien protégés, la question pour les cyber-attaquants serait alors de savoir comment les atteindre en passant par des partenaires, des sous-traitants, des clients moins robustes...

Comment anticiper ?

Il est indispensable d'adopter une logique de vigilance de manière durable. La gestion du cyber-risque ne porte pas sur les 48 prochaines heures. Elle doit être permanente. On entre dans une perspective de temps long. Il est important de ne pas cesser d'optimiser l'étanchéité de ses systèmes d'information. Il est important de s'équiper de capacités de détection de dernière génération. Elles permettront d'identifier les potentiels intrusions de manière réactive en vue de prendre rapidement les décisions qui s'imposent pour isoler les actions malveillantes, de la saturation réseau au chiffrement de données en passant par le défaçage de site.

La France et l'Europe ne partent pas d'une feuille blanche. Avec la loi de programmation militaire de 2016 et la directive Nis de 2018, nous avons progressé en matière de cyber-protection. On a identifié les activités critiques des opérateurs d'importance vitale et des opérateurs de services essentiels. Ils ont été désignés en considérant que leur potentiel de défaillance mettait en péril la collectivité nationale. Ce qui a permis depuis à ces acteurs d'ajuster leurs outils et dispositifs de protection en mettant en œuvre des cahiers des charges précis. Des exercices de stress test informatique, de gestion de crise et d'intrusion ont été menés pour les éprouver. Toutes ces mesures contribuent à réduire l'exposition au risque de cyberattaque sur les acteurs qui assurent les fondations du pays.