La semaine dernière, j'ai participé à CyberUK au NEC de Birmingham, comme je le fais depuis 2018, lorsque je travaillais pour la Maison Blanche. L'événement est toujours une bonne occasion de retrouver de vieux amis, de réseauter et de se renseigner sur les dernières technologies et les événements dans et autour du monde de la cybersécurité. Cette année n'a pas été différente.
Une conférence remarquable (et largement médiatisée) a été donnée par la directrice du GCHQ, Anne Keast-Butler, qui a attiré son attention sur la menace « réelle et croissante » que représente la Chine en matière de cybersécurité. Elle a noté que les « actions irresponsables » des pirates informatiques soutenus par l'État chinois constituent une « priorité absolue » pour l'agence de renseignement, pour laquelle elle consacre « plus de ressources à la Chine qu'à toute autre mission ». Mais cette mission n'est pas une mission que le gouvernement britannique entreprend seul. Ils travaillent avec les alliés du renseignement des Five Eyes, à savoir les États-Unis, le Canada, l'Australie et la Nouvelle-Zélande, pour relever ces défis afin de garantir l'avenir.
Ce n'est pas la première fois que les Five Eyes travaillent ensemble pour faire face aux problèmes mondiaux de cybersécurité. En mai de l'année dernière, des membres des agences de cyberdéfense et de renseignement des États-Unis, du Royaume-Uni, du Canada et de l'Australie ont publié conjointement un rapport sur les activités des cybergroupes parrainés par l'État chinois et sur l'évolution de leurs techniques. Dans le rapport, ils ont décrit un déplacement de l'attention des cibles d'espionnage classiques vers les entreprises et les systèmes impliqués dans des infrastructures critiques.
Au cours des dernières années, les pays occidentaux ont eu de plus en plus recours à cette forme d'attribution publique d'activités malveillantes menées par des cybergroupes parrainés par l'État, pour ainsi dire, pour démasquer le travail auparavant obscur des agences de renseignement et militaires étrangères. Il s'agit d'une sorte d'art politique qui est utilisée par les pays du Groupe des cinq et d'autres pays pour établir des limites efficaces en matière de comportements inacceptables.
Cette approche coordonnée est remarquable. Il y a quelques semaines au RSAC, Eric Goldstein, directeur adjoint exécutif pour la cybersécurité à l'Agence de cybersécurité et de sécurité des infrastructures (CISA), a parlé aux participants de la cybermenace chinoise dans un discours similaire à celle donnée par Keast-Butler de CyberUK.
Les deux discussions ont notamment mis en lumière le risque lié à un acteur de la menace spécifique : Vault Typhoon. Vault Typhoon est unique car il ne collecte pas de renseignements ; il vise plutôt à provoquer des perturbations importantes. Les tactiques, techniques et procédures (TTP) utilisées par cet APT sont également inhabituelles, car il repose souvent sur le déploiement d'attaques stratégiques (et longues) vivantes pour échapper à la détection. Il ne s'agit là que de l'une des nombreuses menaces sophistiquées qui affectent les organisations, tant publiques que privées, dans le monde d'aujourd'hui.
L'augmentation des menaces a renforcé l'attention portée aux initiatives visant à contourner de telles attaques, notamment le Secure by Design Pledge de la CISA et du NCSC, conjointement avec le NCSC. Cet engagement est axé sur les produits et services logiciels d'entreprise aux États-Unis. Cela implique d'atteindre sept objectifs de sécurité clés, notamment le renforcement de l'authentification multifacteur (MFA), la réduction des mots de passe par défaut et l'amélioration de l'installation des correctifs de sécurité.
L'une des plus grandes forces de la communauté de la cybersécurité est que nous nous réunissons souvent pour le plus grand bien du monde au nom d'un avenir sûr. ACDS est fière d'avoir annoncé la semaine dernière être devenue l'une des 100 premières entreprises, aux côtés d'AWS, Microsoft, Cisco, Google et IBM, à signer cet engagement et à s'engager à améliorer la sécurité des produits d'ici un an.