La cyber défense des administrations et des collectivités territoriales

La cyber défense des administrations et des collectivités territoriales

  • Auteur/autrice de la publication :
  • Post category:Cahiers de EFOB

Rien dans les grandes tendances de 2023 ne laisse présager un ralentissement des cyberattaques de plus en plus sophistiquées par des logiciels malveillants, le pishing et les ransomwares. 
Si ces cyberattaques touchaient les entreprises privées, 2022 a marqué un tournant dans les cibles comme les hopitaux, les administrations et les collectivités territoriales.
On a recensé près de 730 déclarations d’incidents dont les principaux concernent l’Hopital du Sud Francilien, la Mairie de Brunoy, le Conseil Départemental de Seine et Marne et le Conseil Régional de Normandie. La Poste Mobile, l’Assurance Maladie ont aussi fait l’objet d’attaques aux conséquences désastreuses.
Les surfaces d’attaques se sont étendues avec l’utilisation des failles de l’IoT, l’internet des objets connectés, le cloud et les usages nomades du travail.

Comment l'IA/ML a fait irruption dans la cybersécurité?

L’intelligence artificielle (IA) et la machine d’apprentissage (ML pour machine learning) sont apparues comme une solution précieuse pour les organisations, notamment les équipes en charge de la cybersécurité, dans l’élaboration de plans d’actions contre les menaces.
IA/ML exploite dénormes volumes de données pour repérer les activités suspectes en temps réel.

Quant aux pirates informatiques, ils utilisent l’intelligence artificielle (IA) de plusieurs manières pour concevoir des attaques sophistiquées. 

  1. Reconnaissance automatisée : Les pirates peuvent utiliser des algorithmes d’apprentissage automatique pour collecter des informations sur les cibles potentielles. Ils peuvent rassembler des données sur les vulnérabilités, les configurations réseau, les mots de passe faibles, et d’autres informations utiles pour planifier leurs attaques.
  2. Phishing amélioré : L’IA peut être utilisée pour personnaliser des campagnes de phishing en fonction des données collectées sur les victimes potentielles. Cela rend les e-mails de phishing plus convaincants en utilisant des informations telles que le nom de la victime, son entreprise et d’autres détails spécifiques.
  3. Attaques par force brute intelligentes : Les pirates peuvent utiliser l’IA pour optimiser les attaques par force brute, en adaptant les tentatives de connexion en fonction des schémas de réponse du système cible. Cela peut réduire le temps nécessaire pour casser un mot de passe.
  4. Analyse de vulnérabilités automatisée : Les outils d’IA peuvent automatiser l’analyse de vulnérabilités, en identifiant les failles de sécurité dans les systèmes cibles plus rapidement et plus efficacement que les méthodes manuelles.
  5. Génération de malware : L’IA peut être utilisée pour créer des malwares sophistiqués capables d’éviter la détection par les solutions de sécurité traditionnelles. Les pirates peuvent également utiliser l’IA pour personnaliser les malwares en fonction de la configuration spécifique de la cible.
  6. Attaques par déni de service distribué (DDoS) : Les attaques DDoS peuvent être orchestrées de manière plus efficace en utilisant l’IA pour coordonner un grand nombre de dispositifs zombies, tout en adaptant les attaques en temps réel pour contourner les défenses de la cible.
  7. Faux médias et deepfakes : L’IA peut être utilisée pour créer des vidéos et des enregistrements audio falsifiés, ce qui peut être utilisé pour diffuser de fausses informations ou compromettre la réputation d’une personne ou d’une organisation.

Comment l'IA/ML alimente la cybersécurité?

La cybersécurité alimentée par l’IA (intelligence artificielle) et le ML (machine learning) fait référence à l’utilisation de ces technologies avancées pour renforcer la sécurité des systèmes informatiques et protéger les données contre les menaces cybernétiques.

Voici comment l’IA et le ML sont utilisés dans le domaine de la cybersécurité :

  1. Détection des menaces : Les systèmes de cybersécurité basés sur l’IA et le ML sont capables de surveiller en temps réel le trafic réseau, les journaux d’événements et d’autres données pour détecter les comportements suspects ou malveillants. Ces systèmes peuvent apprendre à partir de données historiques pour identifier de nouvelles menaces et ajuster automatiquement leurs modèles de détection.
  2. Analyse de comportement anormal : Les algorithmes d’IA et de ML peuvent être formés pour reconnaître les modèles de comportement normaux dans un réseau ou un système. Tout comportement qui s’écarte de ces modèles est signalé comme suspect, ce qui permet de détecter plus rapidement les intrusions ou les activités malveillantes.
  3. Prévention des attaques : L’IA et le ML peuvent être utilisés pour créer des systèmes de prévention des intrusions plus sophistiqués. Ces systèmes sont capables de bloquer automatiquement les attaques en temps réel en se basant sur les modèles de menace identifiés.
  4. Analyse de malware : Les antivirus et les outils de détection de malware utilisent l’IA pour analyser les fichiers et les logiciels à la recherche de comportements malveillants. Cette technologie permet de détecter des malwares polymorphes qui modifient leur code pour échapper à la détection.
  5. Gestion des vulnérabilités : Les outils d’IA et de ML peuvent analyser les vulnérabilités potentielles dans les systèmes informatiques en examinant les configurations, les patchs manquants et d’autres facteurs. Ils aident les organisations à identifier et à résoudre rapidement les vulnérabilités avant qu’elles ne soient exploitées.
  6. Identification des menaces avancées persistantes (APT) : Les APT sont des attaques sophistiquées et ciblées qui peuvent rester inaperçues pendant longtemps. L’IA peut aider à détecter ces attaques en analysant des données complexes sur une période prolongée.
  7. Automatisation de la réponse aux incidents : L’IA peut être utilisée pour automatiser la réponse aux incidents de sécurité, en déployant des contre-mesures immédiates dès qu’une menace est détectée, ce qui permet de réduire les délais de réponse et d’atténuer les dommages potentiels.
  8. Apprentissage continu : Les systèmes de cybersécurité basés sur l’IA et le ML s’améliorent avec le temps à mesure qu’ils accumulent plus de données et d’expérience. Ils peuvent ainsi s’adapter aux nouvelles menaces et aux évolutions des tactiques des cybercriminels.

 

Pourquoi recourrir à une cybersécurité plus intelligente?

La surface d’attaque s’est élargie, couvrant désormais les appareils d’internet connecté (caméras, portiques, portes automatiques,…), ordinateurs portables.
Les capacités d’anticipation ainsi que les modèles prédictifs utilisés permettent aussi aux pirates de concevoir des attaques de plus en plus complexes.
Les capacités humaines montrent leurs limites, non pas tant dans la compréhension des attatques, mais dans la détection, l’analyse et la neutralisation  en temps réel, des cyberattaques.

En résumé, la cybersécurité alimentée par l’IA et le ML vise à améliorer la capacité des organisations à détecter, prévenir et répondre aux menaces cybernétiques de manière proactive et efficace, en exploitant la puissance de l’automatisation et de l’analyse avancée des données. Cependant, il est important de noter que ces technologies ne sont pas une solution miracle et doivent être intégrées dans une approche globale de la cybersécurité comprenant également des mesures de sécurité traditionnelles.

Cette démarche  s’est traduiite par une augmentation des moyens et des effectifs, notamment celui de l’Agence nationale de la sécurité et des systèmes d’information (ANSSI), dont le budget augmentera de 4,6 millions d’euros et où 126 postes sur trois ans ont été créés. De nouveaux postes de « cyberpatrouilleurs » (1500) sont également créés en 2023, issus d’une école de formation en cybersécurité. L’Etat a créé une nouvelle agence du numérique des forces de sécurité à compter du 1er janvier 2023. Toutes ces actions marquent une évolution de la mentalité concernant la cybersécurité en France.

En guise de conclusion

L’Etat a lancé une feuille de route 2023-2027 du numérique en santé, dans laquelle la cybersécurité occupe une place centrale, le tout s’inscrivant dans la stratégie nationale de la cybersécurité pour 2030, pour laquelle l’État prévoit d’investir plus d’1 milliard d’euros, dans le but de protéger les infrastructures vitales.

Toutefois encore trop peu sensibilisés aux cybermenaces, les agents des administrations et des collectivités territoriales sont souvent victimes de pishing, ces emails pièges qui re-routent vers des sites malveillants, utilisés par les hackers pour subtitiliser des données sensibles.

Les technologies de cyberdéfense evoluent mais les méthodes des hackers évoluent encore plus vite. Il est important que l’utilisateur ne constitue pas le maillon faible d’une architecture de plus en plus renforcée contre les nouvelles cyberattaques. 

Restons tous vigilants!

Olivier SEGBO – Porte-Parole de EFOB – Evaluation des politiques publiques – Expert en cybersécurité – KRYPTSYS