Pourquoi les tensions géopolitiques augmentent-elles les risques de cyberattaque 

La guerre se joue aujourd'hui au sol, dans les airs et dans l’espace cyber. Depuis le début du conflit au Moyen-Orient, nous constatons une augmentation des attaques cyber liées aux événements de la région. A ce stade, nous n’observons pas de nouvelles armes informatiques révolutionnaires ou de techniques de piratage secrètes. Pour les assureurs et les risks managers, les menaces sont connues et familières mais elles s’inscrivent dans un contexte beaucoup plus volatile. Il devient donc essentiel de bien maîtriser les bases.

Pour en savoir plus, nous avons posé cinq questions à Mathieu Cousin, Cyber Risk Consulting & Threat Intelligence Strategist chez AXA XL.

Qu’est-ce qui a changé depuis le début de la guerre en Iran et le blocage du détroit d’Ormuz ?

Lorsque les tensions géopolitiques augmentent, l'activité cyber suit. Dans ce conflit, les groupes alignés ou affiliés au Gouvernement Iranien utilisent les attaques cyber pour mener une riposte hybride.

Comme l'a souligné le Google’s Threat Intelligence Group, nous ne devons pas craindre d’être visés par de nouvelles classe d'attaques, mais simplement nous préparer à affronter les techniques de piratage vues au cours des dernières années, de manière beaucoup plus fréquente.

A ce stade ils observent les méthodes suivantes :

• Des attaques DDoS (saturation d’un serveur) et des « défigurations » de sites web,
• Des piratages et des opérations de hack-and-leak (piratage et publication des données piratées),
• Des campagnes d'ingénierie sociale et de phishing,
• Des logiciels malveillants, des ransomwares et, dans certains cas, des outils de suppression destructeurs.

Les menaces sont réelles dans la région, mais une fois de plus, elles ne sont pas inconnues. Les mesures conçues pour contrer ces techniques restent très pertinentes – d'autant que les occurrences sont en hausse et que les schémas de ciblage évoluent.

Qui se cache derrière cette récente vague d'activités hostiles ?

L'Iran peut compter sur un large écosystème d'acteurs cybernétiques.

• Des groupes de pirates informatiques et des collectifs sympathisants: À partir du 6 mars, plus de 70 groupes et collectifs avaient publiquement exprimé leur soutien à l'Iran. Ils sont principalement connus pour des fuites de données, des défigurations de sites web et des attaques DDoS. Ils ciblent essentiellement les sites web, les applications, les API et autres actifs publics des organisations perçues comme soutenant les États-Unis et Israël. Jusqu'à présent, les dommages les plus constatés sont des perturbations de l’activité ou de fortes nuisances, mais pas des destructions à large échelle.

• Des groupes de menaces persistantes avancées (APT) iraniens: Des groupes tels que APT33, APT42 et MuddyWater ont prouvé récemment leur capacité à monter des attaques plus sophistiquées. Ils combinent le phishing ciblé, l'ingénierie sociale, les logiciels malveillants, les ransomwares, l'exfiltration de données et les outils de suppression de données. Des recherches récentes ont révélé des preuves de l’infiltration d'acteurs iraniens dans certains réseaux d'entreprises américaines. De nombreuses nouvelles vagues d’attaques devraient encore être menées, mais les bombardements et les problèmes connexion internet en Iran limitent en partie les activités de ces groupes pour le moment.

Observe-t-on une volonté stratégique de lier les cyberattaques à des dommages physiques ?

Oui, c’est l’un des développements les plus marquants des dernières semaines : le lien entre les opérations au sol et la résilience numérique.

Des drones iraniens ont frappé plusieurs data centers d’Amazon Web Services dans la région, et causé des perturbations en ligne pour les organisations qui dépendent de ces infrastructures, bien que les acteurs sur place prennent des mesures de prévention en amont pour assurer la continuité des opérations. Plus largement, les infrastructures numériques – des data centers aux télécommunications – sont désormais clairement des cibles potentielles pour les combats militaires.

Cela a deux implications clés.

1. D’une part, les perturbations régionales peuvent rapidement devenir un problème de continuité des opérations à l'échelle mondiale.
2. D’autre part, les plans de reprise des activités et de résilience sont sortis du cadre théorique pour être testés en temps réel.

Pour l'assurance cyber, c'est exactement là que l’assurance et les services associés convergent : l'interruption des activités due aux pannes, les dépendances au cloud et à certaines technologies, et la robustesse des plans de réponse aux incidents et de continuité des activités d'une organisation.

Qui est le plus exposé dans la région selon vous ?

Historiquement, les acteurs alignés avec l'Iran ont ciblé les intérêts américains et israéliens, y compris les infrastructures critiques, l'énergie, la défense, les télécommunications et les services financiers dans la région ou à portée. Aujourd'hui, nous observons trois grands groupes de cibles potentielles :

• Les organisations américaines et israéliennes: Surtout celles qui œuvrent dans les infrastructures critiques et des secteurs clés, ou avec des liens stratégiques forts, des rôles clés dans les chaînes d'approvisionnement. Ces organisations devraient maintenir une surveillance élevée et des mesures de résilience renforcées contre les attaques DDoS à grande échelle, les ransomwares et potentiellement des logiciels malveillants destructeurs.

• Les organisations présentes au Moyen-Orient: Les entreprises dans des pays perçus comme des soutiens historiques des États-Unis – y compris le Koweït, le Qatar, Bahreïn et l'Arabie saoudite – font face à des risques accrus, y compris d’attaques opportunistes. Les grands acteurs de la « tech » tels que Google, Microsoft, Oracle et Amazon sont actifs dans la région et sont exposés aux attaques cyber, avec des effets potentiels en cascade pour leurs clients.

• Les organisations, même éloignées, perçues comme alliées des USA ou d’Israël: Les groupes soutenus par l'Iran ont ciblé des organisations européennes pendant les négociations nucléaires de 2015, et le gouvernement albanais en 2022. Des schémas similaires pourraient émerger chaque fois que des pays ou des organisations sont perçus comme agissant contre les intérêts iraniens.

L'implication politique directe n'est pas le seul critère de risque. La perception, le secteur d’activité, les partenariats et la géographie comptent tous – et sont des facteurs clés pour évaluer l'exposition d’un acteur, public ou privé.

Que devraient faire les entreprises désormais pour atténuer les risques auxquelles elles s’exposent ?

La plupart des organisations n'ont pas besoin de revoir intégralement leurs protocoles de sécurité. Elles doivent s'assurer que les contrôles existants sont actifs, efficaces et bien testés.

Dans cet environnement, nous recommandons aux entreprises de :

• Maintenir en alerte les équipes en interne, et les informer régulièrement,
• Garder les centres d'opérations de sécurité en état d'alerte renforcé contre les tentatives de phishing, d'ingénierie sociale ou d’attaque DDoS,
• Vérifier que les contrôles de base fonctionnent – y compris l'authentification à 2 ou plusieurs facteurs (2FA/MFA), les solutions EDR/MDR et le filtrage des e-mails,
• Garder les inventaires d'actifs à jour et appliquer les correctifs de sécurité sans attendre,
• S'assurer que les plans de réponse aux incidents et de gestion de crise sont à jour, répétés et prêts à être activés,
• Sensibiliser les collaborateurs, en particulier les équipes support et celles en première ligne, en leur prodiguant des conseils ciblés sur les tentatives de phishing et d'usurpation d'identité.
  

Ces mesures ne réduisent pas seulement la probabilité et les conséquences d’une attaque. Elles prouvent également une bonne hygiène cyber, ce qui est de plus en plus important pour obtenir et maintenir durablement la couverture d’un assureur.

Nous sommes susceptibles de voir une activité cyber continue en lien avec la guerre en Iran, y compris des attaques plus opportunistes et des dommages collatéraux vers des organisations éloignées de cette guerre.

Nous ne faisons pas face à une nouvelle catégorie d'armes cyber imparables. Nous faisons face à une utilisation plus fréquente de techniques déjà bien comprises de menaces cyber dans un environnement géopolitique tendu.

La clé est de rester vigilant et de se protéger, sans paniquer.