Un vendredi après-midi de fin septembre, Facebook a annoncé avoir fait l’objet d’une faille de sécurité majeureDes pirates informatiques ont infiltré le réseau social, accédant à environ 50 millions de comptes personnels, la pire attaque de l'histoire de l'entreprise. Des rapports ultérieurs ont émis l'hypothèse que l'auteur pourrait être une puissance étrangère, ce qui a suscité de nouvelles inquiétudes quant à l'état de la cybersécurité aux États-Unis.
Ces dernières années, la cybersécurité a suscité une attention particulière dans le débat national. Des attaques comme celles visant Facebook, entre autres, ont suscité des inquiétudes chez les Américains quant à la sécurité de leurs données personnelles et à leur protection contre de telles menaces potentielles. Des rapports récents indiquent montré une augmentation significative du nombre de cyberattaques, dont beaucoup visent de grandes banques et d'autres institutions détenant des informations hautement sensibles. Le contraste avec il y a dix ans, où les cyberattaques étaient beaucoup moins fréquentes, est saisissant.
L'intention du pirate informatique
La question des motivations des pirates informatiques est complexe. S'il est communément admis que la cybercriminalité est motivée par l'appât du gain, il existe de nombreux cas où les motivations sont également d'ordre social, idéologique ou politique. Parmi les formes d'activisme sur Internet, on trouve : hacktivisme, fonctionne selon tous ces principes. C'est ainsi que les pirates informatiques commettent des cybercrimes pour promouvoir un changement social, qu'il s'agisse de liberté d'expression, de liberté d'information ou de droits humains. Prenons le cas d'Anonymous, un groupe qui publie des informations classifiées obtenues par piratage informatique dans un objectif idéologique de transparence. À la lumière de cela, on pourrait affirmer que toute cybercriminalité n'est pas nécessairement néfaste. Comme le montrent les précédents, le piratage informatique a le pouvoir d'induire un changement social. Au début du Printemps arabe, Anonymous travaillé pour attirer l’attention des médias sur les manifestations en Tunisie, rétablir l’accès aux sites web censurés par le gouvernement et écrire un code permettant aux militants d’échapper à la surveillance gouvernementale.
Les experts affirment que les pirates informatiques sont devenus plus audacieux grâce aux nouvelles technologies qui leur permettent d'infiltrer les systèmes avec une relative facilité. Ces avancées, certes impressionnantes et prometteuses d'un point de vue technologique, représentent également une menace importante pour de nombreux secteurs de l'économie américaine, comme l'énergie, la santé et les transports, pour n'en citer que quelques-uns. De plus, l'utilisation d'outils tels que déni de service distribué Attaques qui inondent les réseaux d'un trafic incontrôlé, empêchant le fonctionnement du système. Une rançon est alors exigée en échange de la fin de l'attaque. À une époque où les réseaux numériques sont essentiels au bon fonctionnement de l'entreprise, les entreprises sont souvent plus que disposées à remettre la rançon si cela signifie récupérer leurs systèmes.
L'état de la cybersécurité
Malheureusement, les États-Unis sont l'épicentre de ce type d'activités. Comme l'a souligné Ross Rustici, directeur des services de renseignement d'une entreprise de cybersécurité. Cyberreason, a déclaré dans une récente interview avec le HPR : « L'Amérique se situe probablement dans les 25 % supérieurs en termes de défense, mais dans l'ensemble, c'est terriblement insuffisant. » L'ancien analyste cybernétique du Département de la Défense a également ajouté que si le gouvernement américain a fait un « bon effort » pour résoudre le problème, il n'a pas « l'autorité pour imposer des changements » car il n'existe aucune obligation légale pour les entreprises d'avoir des normes élevées de cybersécurité.
Le consensus général des experts du secteur est qu'il n'y aura jamais de protection à 100 % et que les pirates informatiques trouveront toujours un moyen d'infiltrer les systèmes. À mesure que de nouvelles défenses sont construites, de nouvelles ouvertures et vulnérabilités apparaissent, prêtes à être exploitées. Brian Park, cofondateur de Sparklabs Cyber+Blockchain, un accélérateur de startups cybernétiques basé à Washington, a comparé ce phénomène à un jeu du chat et de la souris lors d'une interview accordée à HPR. Alors même que les développeurs inventent de nouvelles technologies de cyberdéfense, les attaquants ont une longueur d'avance et conçoivent déjà des moyens de contourner ces nouveaux obstacles. Cependant, comme le souligne Park, toutes les défenses ne sont pas entièrement cybernétiques. Les pirates informatiques choisissent également d'exploiter le point faible de tout système de sécurité : les humains. De nombreuses entreprises utilisent les humains comme première ligne de défense, qu'il s'agisse d'un conseiller clientèle téléphonique d'une banque ou d'un agent de sécurité sur un site de stockage de données. Dans de nombreux cas, les individus peuvent facilement être amenés à accorder un accès, comme le montre le cas du populaire Escroqueries de l'IRS, où les gens sont persuadés de donner leur numéro de sécurité sociale pour éviter les amendes.
L'attaque est la nouvelle défense
Face à ces menaces, nombreux sont ceux qui estiment que les entreprises et les gouvernements doivent commencer à traquer ces pirates informatiques, en les attaquant avant qu'ils ne nous attaquent. Dans un article de septembre 2018, éditorial pour le Ripon ForumLe sénateur Mike Rounds (RS.D.), président du sous-comité des forces armées sur la cybersécurité, a plaidé en faveur d'une approche plus offensive : « Nous avons suffisamment joué la défensive en matière de cybersécurité. Il est temps de passer à l'offensive. » Bien que le gouvernement soit en mesure d'agir sur cette stratégie, elle est illégale pour les entreprises, selon le Loi de 1986 sur la fraude et les abus informatiques. La loi, qui a été adoptée sous l’administration Reagan, était en réponse au film WarGames, dans lequel un lycéen pirate un superordinateur militaire et manque de déclencher une guerre nucléaire avec l'Union soviétique. Bien que fictif, le film a suffi à convaincre le président Reagan et le gouvernement américain qu'on ne pouvait pas faire confiance aux entreprises en matière de piratage, surtout dans le cas peu probable où cela pourrait entraîner un conflit avec un État étranger.
Le président Trump semble être d'accord avec Rounds. En août dernier, il a émis une directive : le mémorandum présidentiel sur la sécurité nationale 13 — qui accorde au ministère de la Défense une plus grande liberté pour lancer des cyberopérations contre les adversaires des États-Unis. Cette politique, qui marque un tournant par rapport à celle de l'administration Obama, a été critiquée pour son imprudence, susceptible d'entraîner une escalade des cyberconflits et des tensions diplomatiques à l'étranger.
La réaction publique et privée
Face à la menace croissante des cyberattaques, les secteurs privé et public ont consacré davantage d'attention et de ressources à ce problème. Le secteur de la cybersécurité, en particulier, a constaté une augmentation de la demande. expansion rapide avec des taux de croissance annuels projetés de 10 à 12 % jusqu'en 2021. Un rapport de Business Insider estimations que plus de 14655 milliards de livres sterling seront dépensés en services de sécurité d'ici 2020. En outre, recherche menée par Morgan Stanley montre que le coût moyen mondial de la cybercriminalité a augmenté de 62 % entre 2013 et 2017. Malgré l'augmentation des investissements dans les technologies et les services de sécurité, hausse continue La cybercriminalité démontre la nécessité de solutions plus efficaces et efficientes. En phase avec le secteur privé, le gouvernement a commencé à allouer davantage de ressources à la lutte contre les cybermenaces. L'administration Trump Proposition de budget 2019 Le gouvernement demande 14,983 milliards de livres sterling ($) pour le financement total de la cybersécurité, contre 13,1 milliards de livres sterling ($) et 14,4 milliards de livres sterling ($) en 2017 et 2018, respectivement. Cependant, cette augmentation budgétaire a laissé perplexe de nombreux observateurs, compte tenu de la position du président. décision d'éliminer le rôle de coordinateur cybernétique au sein du Conseil de sécurité nationale, le plus haut responsable cybernétique du gouvernement américain.
Le Congrès a également pris des mesures pour améliorer les capacités cybernétiques du pays, certains législateurs appelant à une législation similaire à celle Règlement général sur la protection des données de l'Union européenne, promulguée en mai 2018. Le RGPD vise à protéger les données personnelles des consommateurs traitées ou détenues par les entreprises de l'Union européenne. Il garantit aux consommateurs le droit d'accéder à leurs données, le droit de les faire supprimer et le droit de les retirer à tout moment. De plus, il exige des entreprises qu'elles désignent un responsable de la protection des données, qu'elles informent les utilisateurs de toute faille de sécurité dans les 72 heures et qu'elles se conforment à un certain nombre d'autres conditions. Si une entreprise ne respecte pas l'une de ces normes, elle s'expose à une amende pouvant atteindre 4 % de son chiffre d'affaires annuel mondial. Les partisans de la loi affirment que, compte tenu des récentes cyberattaques, la mise en œuvre d'une législation telle que le RGPD aux États-Unis est nécessaire, car elle offre aux consommateurs un meilleur accès et une meilleure protection de leurs données, un aspect important de la cybersécurité. Dans une déclaration envoyée par courriel à la HPR, Dimitri Sirota, PDG de BigID, une entreprise de cybersécurité basée à New York, a décrit le RGPD comme une « proposition gagnante pour tous les partis politiques » et a déclaré que « tous les aspects de la réglementation bénéficieraient aux États-Unis ». Cela dit, tout le monde n'est pas d'accord. Certains opposants ont fait valoir que le coût de ces exigences impose une charge inutile aux entreprises.
Bien que l'avenir de législations comme le RGPD aux États-Unis soit incertain, le Congrès a déjà apporté des changements concrets pour faire face aux cybermenaces. Le 3 octobre, le Congrès a adopté la loi Loi sur l'Agence de cybersécurité et de sécurité des infrastructures, qui créera une agence de cybersécurité autonome sous l'égide du Département de la Sécurité intérieure. Cette politique est importante dans la mesure où elle désigne le DHS comme l'autorité principale en matière de lutte contre les cybermenaces. De plus, elle centralise une grande partie des ressources cybernétiques du gouvernement au sein d'une seule entité, une amélioration indispensable. Avant cette loi, les États-Unis disposaient d'importants programmes de cybersécurité regroupés au sein de plusieurs départements, ce qui était source de malentendus, de confusions d'autorité et d'inefficacités générales. Bien qu'il s'agisse d'un pas dans la bonne direction, des inquiétudes subsistent quant au succès de l'agence. De nombreux experts du secteur de la cybersécurité estiment qu'un financement et des effectifs supplémentaires importants sont encore nécessaires pour faire face efficacement à la menace des cyberattaques, surtout si cette agence est appelée à devenir la principale ligne de cyberdéfense du pays.
Plans et propositions supplémentaires
À l'avenir, il est clair que le gouvernement américain devra redoubler d'efforts pour protéger le pays contre les cyberattaques en constante évolution. Ces dernières années, le Congrès a apporté de nombreuses améliorations et a enfin commencé à allouer davantage de ressources à la lutte contre cette menace. Cependant, des financements et des recherches supplémentaires sont nécessaires. Une option pour l'avenir consiste à renforcer la coopération entre les secteurs public et privé, car les experts et analystes en cybersécurité du secteur disposent des connaissances les plus récentes sur les menaces actuelles et pourraient être d'une grande utilité pour les législateurs. Une autre option consiste à créer un organisme similaire à celui du président Obama. Commission pour l'amélioration de la cybersécurité nationaleUn tel projet permettrait au gouvernement et à ses agences de réévaluer l'état actuel de la cybersécurité aux États-Unis, en identifiant les principales vulnérabilités de notre cyberinfrastructure. Enfin, des programmes de sensibilisation du public à la cybersécurité pourraient également s'avérer utiles.
L'Amérique et ses entreprises ne sont pas pleinement conscientes de la menace que représentent les cyberattaques. Il est essentiel que les citoyens soient mieux informés des menaces auxquelles ils sont confrontés, des moyens de limiter leur exposition et des ressources à leur disposition en cas de cyberattaque. « Nous devons prendre cette menace au sérieux et nous y préparer », a déclaré le sénateur Bill Nelson (démocrate de Floride) lors d'une récente interview accordée à HPR. « La prochaine cyberattaque est imminente ; la question n'est pas de savoir si elle se produira, mais quand. »