Parlons de l'embarras, en particulier de l'embarras en tant que tactique. Une tactique, même si elle n'est pas nécessairement nouvelle, qui semble apparaître de plus en plus fréquemment dans les actualités.
Lorsque nous examinons les motivations d'un attaquant, nous pensons souvent à l'argent, aux opportunités, aux perturbations et/ou au pouvoir. L'année dernière, Paige Mullen, chef de produit et criminologue chez ACDS, a écrit à ce sujet en détail pour Teiss. Je vous recommande de le lire ! En fin de compte, les motivations des cybercriminels ont changé et les motivations sont souvent floues. Pour comprendre les motivations d'un hacker, il faut d'abord entrer dans son esprit. Prenons, par exemple, les Jeux olympiques de Paris.
Nous sommes à moins d'un mois des Jeux olympiques et les yeux du monde entier sont tournés vers Paris. Mais alors que la ville est sous le feu des projecteurs, l'occasion s'est présentée aux cybercriminels, en particulier ceux des États-nations, de faire passer les fonctionnaires pour des idiots. Des imbéciles sur la scène mondiale, devant leurs alliés, leurs dirigeants et le public. Un autre motif se présente donc : l'embarras. Mais pourquoi ? Pourquoi opter pour un faux pas plutôt que pour le chaos et les bouleversements généralisés ?
En mars, le Premier Ministre français, Gabriel Attal, a pris la parole au ministère des Affaires générales à La Haye sur des organismes gouvernementaux français victimes de cyberattaques d'une « intensité sans précédent », tout en déclarant que le gouvernement avait été en mesure d'en contenir l'impact. En outre, il a été confirmé qu'une « cellule de crise » avait été activée pour « déployer des contre-mesures » jusqu'à la fin des attaques. Le gouvernement a notamment été pris pour cible par Anonymous Sudan, qui a confirmé être à l'origine d'attaques par déni de service distribué (DDoS) visant des infrastructures gouvernementales. Sans surprise, malgré son nom, Anonymous Sudan est un groupe hacktiviste aligné sur la Russie.
Le problème avec l'embarras, c'est qu'il s'agit rarement d'un déclencheur suffisamment important pour déclencher des représailles. Choisir de laisser les victimes face au monde entier est une bonne idée si vous voulez provoquer une scène, même si les attaques n'ont pas abouti. Sans spéculer, c'était peut-être l'objectif. Avec autant d'investissements dans la capitale à l'approche des Jeux olympiques (on estime que 9,7 milliards de dollars ont été dépensés par le gouvernement sur la préparation des jeux, avec l'espoir d'attirer 15 millions de visiteurs entre juillet et septembre) et les sponsors qui investissent de l'argent dans les jeux, paraître « faible » en termes de cybersécurité, surtout après tant d'investissements, n'est pas optimal.
J'attends le jour où nous verrons « l'embarras en tant que service » comme une émanation des groupes de menaces persistantes avancées (APT) et des écosystèmes « en tant que service » qui les accompagnent.
Mais il ne s'agit pas d'un problème qui touche uniquement les gouvernements et les grandes organisations ; la cybersécurité est un problème qui touche tout le monde. Plus tôt cette semaine, l'ACDS a publié un rapport sur « Les défis de la cybersécurité en 2024 : violations de données, risques liés à l'open source et vulnérabilités des réseaux » sur la base de recherches que nous avons menées récemment. Notre étude a révélé que plus des deux tiers des organisations ont été victimes de trois violations de données ou plus au cours des 24 derniers mois. Bien que ce type d'attaques soit généralement moins intentionnellement motivé par l'embarras (et davantage motivé par l'argent ou le pouvoir), le fait d'être touché à plusieurs reprises est susceptible de faire rougir certains visages.
J'écris souvent sur la vulnérabilité dans le cyberespace, mais être vulnérable, ce n'est pas se cacher la tête. Il s'agit d'une ouverture émotionnelle et d'une volonté de collaborer et de demander de l'aide. Plus précisément, nous avons besoin d'une nouvelle approche de la manière dont les professionnels de la cybersécurité conseillent aux organisations de se protéger contre les cybermenaces. Les entreprises doivent faire preuve de plus de transparence quant aux situations dans lesquelles elles sont vulnérables aux attaques, ce qui commence souvent par le fait d'admettre qu'elles seront attaquées. Il est regrettable d'être pris pour cible à de nombreuses reprises par des cybercriminels, mais le risque d'une attaque réussie peut être considérablement réduit si de bons outils sont mis en œuvre de manière proactive avant la catastrophe.
C'est cliché, mais la cybersécurité n'est pas un sprint de 100 m ; c'est plutôt un marathon.