Lors de sa première conférence de presse en tant que premier ministre du Royaume-Uni, Sir Keir Starmer a souligné l’attachement « inébranlable » de son pays à l'OTAN et déclaré que la sécurité et la défense seraient les premiers chevaux de bataille de son gouvernement. Dans ce contexte, une attention toute particulière devrait être accordée à la sécurisation des chaînes d’approvisionnement numériques au Royaume-Uni et dans les autres pays membres de l'OTAN, face à la multiplication des cyberattaques menées par des acteurs malveillants déterminés à porter atteinte aux infrastructures nationales critiques.
Début juillet 2024, une semaine à peine après son élection, le premier ministre britannique s’est rendu à Washington pour participer à son premier sommet de l’OTAN. À cette occasion, il a réaffirmé « l'attachement inébranlable » du Royaume-Uni à l'Alliance et annoncé que son pays procéderait à une revue de défense stratégique et qu'il porterait ses dépenses de défense à 2,5 % du PIB. Toujours en juillet, le gouvernement de Sir Starmer a fait part de son intention de déposer un nouveau projet de loi sur la cybersécurité et la résilience, que beaucoup considèrent comme le pendant britannique de la nouvelle directive de l'UE sur les réseaux et les systèmes d'information (directive SRI 2), qui prendra effet le 18 octobre 2024.
L’élection de Sir Starmer à la tête du gouvernement britannique et le sommet de l'OTAN se sont déroulés dans un contexte de montée rapide des tensions géopolitiques. En effet, la Russie et la Chine, notamment, se limitent de moins en moins aux guerres commerciales ou aux conflits régionaux qu'elles mènent par procuration avec l'Occident : elles en viennent à cibler plus directement les pays membres de l’OTAN au moyen de cyberattaques. Et force est de constater que ces attaques ne se limitent plus aux campagnes de cyberespionnage. Elles visent désormais à désorganiser et à fragiliser nos économies, ou sont conçues de telle manière qu'elles permettent d'implanter très discrètement du code malveillant dans les systèmes informatiques des infrastructures nationales critiques, voire des institutions nationales de sécurité, et de l'y laisser en sommeil de façon à ce qu'il puisse être activé au cas où les tensions s’intensifieraient.
En début d’année, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) et le Federal Bureau of Investigation (FBI) ont indiqué dans un avis conjoint que des cyberacteurs parrainés par la République populaire de Chine (RPC) cherchaient à infiltrer des réseaux informatiques de manière à pouvoir mener des cyberattaques visant à désorganiser des infrastructures critiques américaines, au cas où une crise d'importance majeure ou un conflit surviendrait avec les États-Unis. Cette mise en garde a été suivie d'une alerte du National Cyber Security Centre (NCSC) du Royaume-Uni, qui a lui aussi relevé une aggravation de la menace que représentent les cyberattaques commises par des acteurs malveillants parrainés par des États contre des infrastructures critiques au Royaume-Uni.
Augmentation du nombre d’attaques visant nos chaînes d’approvisionnement numériques
Alors que ce sont surtout les campagnes de désinformation parrainées par des États ou les attaques ciblant nos institutions démocratiques qui sont relayées par les médias, les attaques contre les chaînes d'approvisionnement numériques – qui regroupent tous les fournisseurs, partenaires et prestataires de services externes de nos administrations publiques et des opérateurs de nos infrastructures critiques – constituent une menace moins visible mais néanmoins très sérieuse.
D'après l'Agence de l'Union européenne pour la cybersécurité (ENISA), d'ici 2030, la « compromission de la chaîne d'approvisionnement des dépendances logicielles » va devenir la principale cybermenace à laquelle les secteurs public et privé seront confrontés. En outre, dans son rapport annuel 2023 sur les violations de données l'Identity Theft Resource Center a indiqué que le nombre de structures touchées par des attaques ciblant les chaînes d'approvisionnement avait augmenté de plus de 2 600 points de pourcentage rien que sur les cinq dernières années.
Ces attaques peuvent avoir des conséquences très graves. Elles sont ainsi susceptibles d'ébranler des pans entiers de l'économie, de déclencher la prochaine crise financière, voire de compromettre la sécurité nationale, comme le montrent les exemples qui suivent.
On a appris dernièrement que des pirates informatiques soupçonnés d'être liés aux autorités chinoises avaient infiltré le réseau du prestataire de services de paie du ministère britannique de la Défense, mettant la main sur les noms, coordonnées bancaires et adresses de quelque 270 000 personnes servant ou ayant servi au sein des forces armées britanniques. En juin, le Centre national de cybersécurité des Pays-Bas a annoncé que des pirates informatiques liés à la Chine avaient « accédé à au moins 20 000 systèmes FortiGate à travers le monde en l'espace de quelques mois, en 2022 et 2023 » et que parmi les cibles « figuraient des dizaines d'administrations publiques (occidentales), des organisations internationales et un grand nombre d'entreprises de l'industrie de défense ». Récemment, le NCSC britannique et les autres membres du Groupe des cinq ont émis une alerte concernant un botnet composé de plus de 260 000 appareils compromis à travers le monde, qui serait géré par une entreprise établie en Chine et ayant des liens avec les autorités chinoises. Ce botnet a été utilisé par l'acteur malveillant chinois Flax Typhoon pour désorganiser des infrastructures critiques, principalement dans les secteurs des communications, de l'énergie, des transports, de la gestion de l'eau et du traitement des eaux usées.
Il ne s'agit là que de quelques exemples récents parmi tant d'autres. Menée en 2020, la campagne SolarWinds, que de nombreux experts de renom considèrent comme la plus grande cyberattaque perpétrée à ce jour, a marqué les esprits. SolarWinds est le fournisseur d’Orion, un logiciel de gestion et de supervision des réseaux informatiques utilisé à travers le monde par des milliers de clients opérant dans le secteur public ou privé. Un tel outil est conçu pour résider au cœur même des systèmes et processus opérationnels des entités qui l'utilisent, ce qui lui permet d'accéder à des informations extrêmement sensibles, notamment aux journaux système et aux données de performances. Les pirates, qui seraient liés au Service du renseignement extérieur russe (SVR), sont parvenus à insérer du code malveillant dans une mise à jour du logiciel Orion. Lorsque les clients ont installé cette mise à jour, ils ont involontairement copié ce code malveillant dans leur environnement informatique, créant ainsi une porte dérobée par laquelle les pirates ont pu accéder directement aux systèmes et aux données des clients de SolarWinds, dans le cadre de ce que l'on appelle une « attaque en chaîne ».
Cette attaque visant la chaîne d'approvisionnement a eu de très sérieuses répercussions. Quelque 18 000 clients de SolarWinds auraient installé la mise à jour logicielle compromise, qui a affecté nombre d’entre eux, y compris des agences fédérales américaines comme le Département de la Sécurité intérieure, le Département d'État et le Trésor, ainsi que des géants de la tech tels que Microsoft, Intel et CISCO.
Pourquoi les attaques contre les chaînes d'approvisionnement se multiplient-elles ?
Les attaques dirigées contre les chaînes d'approvisionnement se multiplient. Il y a deux grandes raisons à cela. La première est l'externalisation accrue de fonctions métiers, souvent critiques, dans le cadre des processus de numérisation. La deuxième raison est la robustesse des mesures de cyberdéfense mises en place par les structures publiques ou privées – en particulier celles qui opèrent au sein d'infrastructures nationales critiques et, de manière générale, celles qui sont actives dans des secteurs fortement réglementés – ainsi que par les institutions nationales de sécurité. Cela signifie qu'il est devenu beaucoup plus difficile d'attaquer directement ces structures, ce qui pousse les pirates à chercher des points d'entrée moins sécurisés pour pouvoir accéder aux données et aux systèmes de leurs cibles.
Ces maillons faibles figurent souvent parmi les nombreux fournisseurs et partenaires commerciaux. Soit leurs logiciels ou leur matériel informatique sont implantés au cœur même des systèmes et processus internes d'une structure, soit ils traitent à distance, pour son compte, des informations sensibles, y compris des données sur le personnel. Il peut s'agir de prestataires externes de services de paie, de services juridiques ou de services de pension, de fournisseurs d'outils de productivité et de collaboration, de prestataires de services cloud ou de fournisseurs de solutions de cybersécurité, pour n'en citer que quelques-uns. Ensemble, ils constituent nos chaînes d'approvisionnement numériques. Le processus d'externalisation a créé un ensemble complexe de dépendances et engendre des faiblesses que les pirates exploitent de plus en plus.
De surcroît, la chaîne ne s'arrête pas à ces fournisseurs « tiers », ou « directs ». Ceux-ci dépendent à leur tour d'un réseau comptant souvent des centaines d'autres structures pour la fourniture de leurs services, et ainsi de suite. Par exemple, lorsque l'acteur malveillant russe ClOP a exploité les vulnérabilités de MOVEit Transfer en 2023, bon nombre des milliers de victimes, certaines de grande renommée, n'utilisaient même pas elles-mêmes ce logiciel. Elles ont été impactées (c'est-à-dire que leurs données ou celles de leurs clients ont été exfiltrées) par l’intermédiaire de prestataires de services – tels que le fournisseur de solutions logicielles de gestion des ressources humaines et de la paie Zellis ou PBI Research Services, prestataire de services de recherche d’informations très actif dans le secteur financier – qui utilisaient MOVEit Transfer pour traiter les données de leurs clients.
Une nouvelle approche s’impose
Face à ces risques croissants, comment les pays membres de l’OTAN et l'Alliance dans son ensemble peuvent-ils mieux protéger leurs chaînes d’approvisionnement contre des attaques à grande échelle ?
Le fait que chaque structure dispose de ses propres mesures de cyberdéfense est l’un des principaux obstacles à une gestion efficace des risques liés aux chaînes d'approvisionnement. Pour que la sécurité des chaînes d'approvisionnement puisse être garantie, il faut une nouvelle approche, fondée sur une collaboration renforcée. Le gouvernement britannique, par exemple, s’est déjà mis au travail en adoptant l'approche Defend As One, décrite dans la stratégie nationale de cybersécurité qu’il a publiée récemment. Au travers de cette approche, les autorités du Royaume-Uni entendent tirer parti du partage des données, de l'expertise et des capacités en matière de cybersécurité au sein du secteur public britannique pour mettre sur pied un mécanisme de défense nettement plus puissant que ses composantes considérées dans leur globalité.
Cette démarche est un pas dans la bonne direction, le gouvernement britannique reconnaissant implicitement que l'approche cloisonnée, le « chacun pour soi », est le plus grand obstacle au renforcement de la cybersécurité. Mais il faut aller plus loin. Qu'elles le veuillent ou non, les structures publiques ou privées sont toutes liées les unes aux autres, et la prévention des cyberattaques est une responsabilité qui doit être du ressort l'écosystème dans son ensemble. Personne ne peut faire cavalier seul. De même, les autorités régulatrices ont elles aussi un rôle important à jouer. Nous devons passer d'une culture de l’assurance, de la menace et de l’amende à une culture où les prestataires protégeant nos infrastructures critiques, les organismes nationaux de sécurité, les partenaires du secteur privé et tous les fournisseurs essentiels unissent leurs forces pour nous défendre contre les attaques visant la chaîne d'approvisionnement et pour renforcer la résilience globale de l'écosystème.
On pourrait ainsi créer, à l’échelle nationale, des centres d'opérations de sécurité (SOC) pour la chaîne d'approvisionnement, qui, opérant à distance, seraient librement inspirés du Cyber Government Security Centre britannique (Cyber GSeC), du Government Cyber Coordination Centre britannique (GCCC) ou des modèles de SOC proposés par le NCSC. Au sein de ces SOC pour la chaîne d'approvisionnement, les structures ayant un département Sécurité bien développé et possédant une solide expertise en ce qui concerne, par exemple, la recherche et la détection d’attaques et la réponse à y apporter, devraient s'efforcer d'intégrer dans leur dispositif leurs partenaires et fournisseurs de plus petite taille pour protéger l'ensemble du système, en les faisant bénéficier de leur savoir-faire avancé et de leurs ressources spécifiques.
Dans le cadre d'une éventuelle collaboration à l'échelle de l'Alliance, ces SOC pourraient opérer conjointement avec le Centre OTAN intégré pour la cyberdéfense (NICC), nouvellement établi, et avec la capacité alliée d’aide à distance en cas d’incident cyber (VCISC), qui sont venus s’ajouter aux capacités globales de cyberdéfense de l'OTAN. Ils permettront de garantir à tous les Alliés un accès plus facile et plus égal à du renseignement à jour sur les menaces et, surtout, à un soutien opérationnel et technique en cas d'incident.
Le NICC, dont la création n'a été approuvée que récemment, lors du sommet de 2024 à Washington, sera implanté au quartier général stratégique de l'OTAN qu'est le SHAPE (Belgique). Sa mission consistera « à protéger les réseaux de l'Organisation et des Alliés et à tirer parti du cyberespace comme milieu d'opérations » ainsi qu’à « informer les commandants militaires de l'OTAN de menaces ou vulnérabilités possibles dans le cyberespace, y compris dans les infrastructures critiques civiles détenues par le secteur privé qui sont nécessaires pour appuyer des activités militaires ». Le Centre s'attachera donc en priorité à fournir du renseignement sur les menaces afin d'affiner la prise de décision militaire et « d’améliorer notre connaissance de la situation dans le cyberespace et de renforcer la résilience et la défense collectives ».
La VCISC, lancée quant à elle lors du sommet de 2023 à Vilnius, s'attachera à améliorer les capacités alliées de réponse aux incidents en assistant les pays « lorsqu’ils devront prendre des mesures d’atténuation face à des actes de cybermalveillance majeurs ». La nouvelle capacité permettra aux Alliés de solliciter de l’aide et de recevoir une assistance cyber en cas de crise sans invoquer l'article 5, mais aussi d’obtenir rapidement des conseils, un soutien et des informations techniques en cas d’incident.
Ces nouveaux moyens à la disposition de l'OTAN renforceraient considérablement l'expertise et les ressources dont pourraient bénéficier les SOC pour la chaîne d'approvisionnement qu'il est proposé de mettre en place au niveau national et, partant, jetteraient les bases d'un possible SOC intégré pour la chaîne d'approvisionnement qui opérerait à l'échelle de l'OTAN.
De la même manière que l'OTAN a fait sienne la devise « Un pour tous, tous pour un » lorsqu'il s'agit de la défense de la sécurité commune de l'Alliance, l'Organisation ainsi que les organismes de sécurité, les autorités régulatrices, les structures publiques et privées et les prestataires de services des pays membres doivent unir leurs forces face à la menace réelle et imminente que représente l’augmentation croissante – mais difficilement quantifiable – du nombre d’attaques contre nos chaînes d’approvisionnement numériques.