Bernd et Marcel Steinkühler de Correct Power Institute, un spécialiste des technologies de l'information, discutent des attaques provenant d'Internet et des défenses potentielles.
Une entreprise doit-elle simplement s'attendre à ce que les cybercriminels l'attaquent?
Bernd Steinkühler : Lorsqu'un site tel qu'un centre de calcul est mis en service, les pirates informatiques attaquent, statistiquement parlant, au bout de deux minutes au plus tard. Si les pirates parviennent à interrompre l'alimentation électrique, ils peuvent neutraliser l'entreprise. Cependant, il arrive souvent que les pirates appellent à l'aide d'un téléphone portable jetable et disent : « Vous devez payer un montant X ou vous serez finis dans cinq minutes ». En règle générale, les entreprises paient.
Qu'est-ce qui motive les pirates informatiques? La banque A les engage-t-elle et les paie-t-elle pour attaquer la banque B?
Bernd Steinkühler : Le plus souvent, les entreprises chinoises ou russes engagent des pirates informatiques pour nuire à leurs concurrents. C'est assez professionnellement organisé, c'est pourquoi les entreprises extorquées paient généralement sans réfléchir trop longtemps ou trop fort. Ils savent que leur électricité peut être coupée au bout de dix minutes.
C'est aussi simple que cela?
Marcel Steinkühler : C'est encore plus simple : un gestionnaire laisse son téléphone portable dans un taxi; le chauffeur le trouve et le vend à un criminel, qui l'utilise comme passerelle pour franchir le pare-feu de l'entreprise. Cela arrive plus vite que vous ne le pensez : le réseau entier de l'entreprise peut être détruit en l'espace de quelques minutes. Les téléphones portables sont actuellement le principal point d'accès. Cette escroquerie affecte actuellement le secteur bancaire londonien.
Les entreprises gèrent-elles leurs données avec négligence?
Bernd Steinkühler : Ils ne savent pas toujours ce qui peut arriver. La plus grande menace réside dans la connexion occasionnelle des dispositifs à l'internet. S'il y a une architecture sensible derrière un de ces dispositif, comme, par exemple, une station d'épuration, cette négligence peut avoir de graves conséquences. Si des pirates informatiques arrêtent les pompes, plusieurs milliers de personnes n'ont soudain plus d'eau. C'est pourquoi les tests de pénétration sont importants pour trouver les failles dans l'architecture. Pourtant, jusqu'à récemment, ces tests n'ont pas toujours été réalisés de manière cohérente. Cette pratique occasionnelle est progressivement remise en question dans un plus grand nombre d'entreprises, et la sécurité informatique gagne en importance. Pour les banques, c’est devenu le sujet le plus important. L'ensemble de l'architecture qui y est développée est sécurisée sur le plan informatique. En tant que fournisseurs de services, nous sécurisons les voies de transport des données en appliquant rigoureusement le chiffrement. Cela signifie qu'il n'y a pas de vecteurs d'attaque dans l'Internet ouvert.
Si quelqu'un le voulait, pourrait-il se protéger à 100 % contre les cyberattaques?
Bernd Steinkühler : Il faut être honnête : les pirates informatiques nous défient tous les jours et il n'existe pas de niveau de sécurité à 100 %. Chaque système a ses faiblesses, quelle que soit la qualité de sa construction. Cependant, si une entreprise met l'accent sur la cybersécurité et emploie une centaine de personnes pour l'assurer, alors les pirates ne réussiront qu'avec beaucoup d'efforts. Une personne, par contre, n'a aucune chance contre elle. Nous avons intégré de nombreux obstacles dans notre système de surveillance des fermes de serveurs : nous nous appuyons sur le chiffrement et la détection des intrusions, ce qui signifie que nous surveillons également le trafic dans notre réseau protégé. Si nous détectons des schémas suspects, les paquets de données sont rejetés et ne sont pas transportés plus loin. Cela nous aide également à savoir s'il y a des lacunes en matière de sécurité et où elles se trouvent. En outre, notre architecture est conçue de sorte que seuls certains serveurs, pas tous, peuvent accéder à l'infrastructure à surveiller. Les employés doivent se connecter en utilisant une identification à deux facteurs, et ils ne voient les choses que virtuellement. Ils ne sont jamais physiquement dans la même pièce que les ordinateurs. C'est essentiel : tout doit être dissimulé pour ne pas être attaqué.