L’équation semble simple mais y répondre est un peu plus compliqué si on y regarde de plus près.

Si on en croit les médias ou les entreprises de cybersécurité, on aurait plutôt tendance à répondre OUI assez rapidement.

Si on en croit les opérationnels de la cybersécurité et qu’on prend un peu de recul, la réponse est plutôt NON.

En effet, la pandémie liée au Coronavirus cristallise l’actualité du monde entier et la cybersécurité ne déroge pas à la règle. Mais est-ce que cela signifie que de nouvelles cybermenaces se sont développées et ont explosé en quantité ? Non, pas forcément.

Pourquoi ?

L’actualité fait que l’industrie de la cybersécurité et les médias se sont focalisés sur les cybermenaces et autres arnaques (scam) exploitant le COVID-19. Les victimes se sont également plus largement manifestées, comme l’a confirmé le FBI. Elles sont réelles et très nombreuses mais la plupart existait déjà avant la crise. Les malwares les plus répandus comme TrickBot, Agent Tesla ou encore Emotet, distribués par des groupes cybercriminels ont adapté leurs « messages » à la crise du COVID-19 (sujets, contenus et noms de pièce-jointes) et ainsi maximiser la probabilité que leurs victimes en viennent à cliquer sur un lien ou une pièce-jointe piégée par un de leur malware. Ils profitent également de l’occasion pour se faire passer pour l’Organisation Mondiale de la Santé pour crédibiliser leurs messages.

Depuis toujours, des acteurs malveillants s’emparent de l’actualité internationale et des grands événements pour mener à bien leurs campagnes de spam, phishing, spear-phishing ou autres fraudes (au président ou la fausse livraison de masques...) et arnaques, jouant sur les peurs et incertitudes (pandémie, facture impayée...) ou les opportunités de gains financiers (des places pour la Coupe du Monde de football, le remboursement de trop-perçu des impôts...) pour attirer l’attention de leurs victimes et ainsi les piéger. Les thèmes changent et les menaces restent.

Si les menaces ne sont pas donc forcément plus nombreuses (comme le confirment Google et Microsoft qui bloquent et analysent des millions de campagnes malveillantes), elles deviennent malheureusement plus dangereuses. En effet, une grande partie de la population mondiale est confinée. Les États, administrations et entreprises tournent au ralenti. Moins de personnel, beaucoup moins d’activité, beaucoup d’organisations sont ainsi fragilisées. Dans ce cadre, l’impact potentiel d’une cyberattaque réussie peut devenir très rapidement critique. On pense, par exemple, aux hôpitaux qui sont déjà sous-pression. Une attaque informatique pourrait alors mettre encore plus en danger les vies déjà menacées de nombreux patients et des personnels soignants. Mais on peut penser également à tous les fournisseurs de services essentiels à la Nation qui le sont d’autant plus dans une crise pandémique qui les obligent souvent à fonctionner en mode dégradé...

Quid du télétravail généralisé ?

Au-delà des menaces profitant de l’actualité du Coronavirus pour inonder nos messageries électroniques, la crise a aussi accéléré la mise en place d’un télétravail massif (et très loin d’être habituel ni préparé) dans les entreprises et administrations.

Ce nouvel usage a forcément accru les risques de compromission (malveillante) ou d’indisponibilité (pas forcément d’origine malveillante) des systèmes d’information des organisations les moins bien organisées. Le fait de travailler à distance, confiné avec leur famille, peut également exposer les utilisateurs à baisser leur attention face aux menaces (spam / phishing / fraudes) détaillées précédemment.

Mais concrètement, il y a peu d’exemples (en sources ouvertes) d’incidents réels ou d’une hausse d’attaques profitant des nouvelles vulnérabilités induites par ce travail à distance généralisé. Un seul cas a été médiatisé car il s’agissait d’une attaque par déni de service distribué (DDoS) qui a ciblé l’AP-HP (les hôpitaux de Paris) le dimanche 22 mars pendant une heure, limitant les accès externes à la messagerie et à des applications métiers.

Pour conclure

La crise sanitaire du COVID-19 a clairement des répercussions dans l’espace cyber. Les groupes cybercriminels et même certains groupes étatiques tentent de capitaliser au maximum sur la pandémie pour mener leurs attaques informatiques. Ils essaient de piéger leurs victimes en les trompant avec des contenus et des fichiers liés au Coronavirus. Peut-être de façon un peu trop visible, car cela focalise l’attention des défenseurs, qui se sont même regroupés dans plusieurs initiatives (comme la COVID-19 CTI League) pour mutualiser leurs moyens, partager des renseignements sur ces menaces exploitant le COVID-19 voire aider bénévolement les structures de santé du monde entier.

L’état de la menace cyber est au plus haut pendant cette crise sanitaire car la surface d’attaque des organisation s’est accrue avec le travail à distance généralisé, un confinement qui dure, une impréparation et une crise économique qui s’annonce historique. Les attaques ne seront pas plus nombreuses qu’avant mais elles risquent de faire beaucoup plus de dégâts, compte-tenu de la fragilité de plus en plus grandes de nos organisations...

#RestezChezVous #Courage