Le mois dernier, le Bay Area Rapid Transit de San Francisco, le plus grand système de transport en commun de Californie, a subi une attaque de ransomware qui a exposé des données hautement sensibles du propre service de police de l’agence.
Vice Society, le prolifique groupe de rançongiciels qui a revendiqué la responsabilité de l’attaque, a tout volé, des listes principales d’employés aux rapports de laboratoire sur le crime et les a rendus publics, mettant des vies en danger. Ce n’était que la dernière d’une longue liste de cyberattaques ciblant les systèmes de transport en commun et les infrastructures nationales, et ce ne sera certainement pas la dernière.
Au cours de mes 12 années en tant que procureur du district de Manhattan, j’ai été témoin des effets néfastes des menaces de cybersécurité. La cybercriminalité à New York a un impact quotidien sur d’énormes institutions financières, détaillants et fournisseurs d’infrastructures. Ces entités sont des cibles attrayantes pour les cybercriminels, que ce soit pour des raisons financières ou politiques.
Gamme d’acteurs
Lorsqu’une organisation est attaquée, il est difficile d’en connaître la source : peut-il s’agir d’un État-nation, d’un groupe de cybercriminalité ou de quelqu’un au sein de l’organisation ? Les acteurs de l’État-nation et leurs mandataires changent constamment de marque et se réinventent pour éviter d’être détectés.
Cela dit, bien que les acteurs étatiques aient tendance à causer le plus de dégâts, plus de 80 % des cyberattaques sont menées par des acteurs privés.
Au-delà du risque financier pour les entreprises et les particuliers, la cybercriminalité est une grave menace pour notre sécurité nationale, les infrastructures critiques étant de plus en plus ciblées chaque jour.
Chaque exploit zero-day (une vulnérabilité dans un système qui n’a pas de solution connue) représente une opportunité pour un ennemi d’intercepter des communications sensibles, de voler une propriété intellectuelle précieuse et de paralyser les systèmes qui assurent notre sécurité : électricité, eau, nucléaire, hôpitaux, et plus.
Effets d’entraînement
La cybercriminalité ne consiste pas seulement à extraire de l’argent ou des données. Ces attaques sapent la confiance dans nos institutions les plus importantes et sèment la peur et l’incertitude, ce qui est l’un des principaux objectifs de nos adversaires.
Un regard sur certains des plus grands cyber-événements de 2022 conduit cette maison. Il y a eu une explosion de l’extorsion numérique. Le piratage du groupe de rançongiciels Lapsus$ a divulgué des données sensibles de victimes, y compris les principales entreprises technologiques du monde.
Le gouvernement du Costa Rica a été paralysé par le rançongiciel Conti, lié à la Russie. Les vols dans les entreprises de blockchain ont augmenté de façon exponentielle au cours de la dernière année, avec des pertes stupéfiantes. En mars dernier, Lazarus, lié à la Corée du Nord, a volé 540 millions de dollars en crypto-monnaie à Ronin, une plate-forme de blockchain populaire.
Les organisations et les industries qui tolèrent peu les temps d’arrêt continuent d’être durement touchées, car les mauvais acteurs ciblent ceux qui sont les plus susceptibles de payer. En juin dernier, une société de soins de santé basée dans le Massachusetts a annoncé une violation affectant les données de santé de 2 millions de personnes.
Dans le sillage de la pandémie, l’industrie manufacturière est désormais l’industrie la plus ciblée – la demande de la chaîne d’approvisionnement signifie que les entreprises ne peuvent pas se permettre d’être hors ligne, même si chaque bit de données est sauvegardé.
Une meilleure préparation est nécessaire
Malheureusement, les prévisions actuelles en matière de cybersécurité favorisent les criminels et les acteurs parrainés par l’État par rapport à la capacité des juridictions et des entreprises à les combattre. Nous ne sommes pas préparés aux attaques ou aux conséquences qui s’ensuivent inévitablement.
Une récente enquête de Baker McKenzie a révélé que les poursuites en matière de cybersécurité et de violation de données constituaient la principale préoccupation en matière de risque de litige pour les conseillers juridiques seniors au sein des grandes entreprises du monde entier.
Bien que les agences fédérales se concentrent sur la prévention d’une cyberattaque qui entraîne une catastrophe nucléaire ou une panne de courant à l’échelle nationale, les gouvernements des États et locaux doivent également examiner de près leur capacité à réagir à un cyberévénement grave.
Nous avons besoin d’une réflexion créative et d’un engagement à tous les niveaux pour aborder le problème des cybermenaces en tant que crise qu’il est.
Quand j’étais encore DA, j’ai demandé à des experts du renseignement du NYPD ce qui se passerait si nous étions touchés par une attaque contre, par exemple, nos sources d’eau. Y avait-il un projet ?
La réponse a rendu douloureusement clair que nous avions du travail à faire : il n’y avait pas de plan A et il n’y avait certainement pas de plan B. En cas d’attaque grave contre une infrastructure critique, personne ne viendrait nous sauver. New York devrait se sauver.
L’exemple de New York
Nous nous sommes donc mis au travail. Nous avons réuni un groupe de travail public/privé, comprenant des fournisseurs d’infrastructure, des forces de l’ordre, des services de renseignement et des organisations à but non lucratif. Nous avons formé les premiers intervenants à gérer une cyberattaque, avec le soutien, entre autres, d’IBM et de son centre de formation dans le Massachusetts.
Cinq ans plus tard, le NYC Cyber Critical Services and Infrastructure Project a son propre centre de commande dédié et une composition diversifiée de près de 300 professionnels des soins de santé, de la technologie, du gouvernement et d’autres secteurs.
Lorsque l’attaque du Colonial Pipeline a frappé, le Bureau du renseignement du NYPD a rapidement mis à profit « l’équipe d’équipes » de CCSI pour passer le mot dans les organisations membres et s’assurer que les fournisseurs d’infrastructure parcouraient leurs réseaux à la recherche d’attaques similaires.
Il reste du travail à faire, mais New York a prouvé que ce modèle fonctionne et peut être reproduit dans tout le pays, à relativement peu de frais et rapidement. Pour les États et les villes qui disposent de moins de ressources que New York, c’est extrêmement important. Ils n’ont pas le luxe d’avoir le temps d’améliorer la cybersécurité et la résilience des infrastructures critiques. Ils en ont besoin maintenant.
Les efforts de sécurité collective sont essentiels à notre sécurité. Si nous voulons avoir une chance de nous défendre contre les cybermenaces importantes – le type d’attaques qui peuvent détruire un réseau électrique ou un hôpital – nous devons travailler ensemble.
Les États-Unis ont ouvert la voie au développement d’Internet et abritent aujourd’hui les entreprises technologiques les meilleures et les plus innovantes au monde. Nous devons maintenant faire preuve du même leadership pour le sécuriser.
Écrivez pour nous : consignes aux auteurs
Informations sur l’auteur
Cyrus Vance Jr. est associé et directeur mondial de la pratique de cybersécurité de Baker McKenzie. Avant de rejoindre Baker McKenzie, il a rempli trois mandats consécutifs de quatre ans en tant que procureur du district de Manhattan.