Charl van der Walt, Orange Cyberdefense : «Ce qui a changé, c’est que les failles et vulnérabilités ont des conséquences bien réelles»
Basé en Afrique du Sud, Charl van der Walt est Head of Security Research chez Orange Cyberdefense. ICTjournal s’est entretenu avec cet observateur averti de la menace cyber après son intervention lors de la manifestation Insomni’hack à Lausanne. Il partage son analyse de l’évolution de la cybersécurité ces dernières années et des attitudes à changer pour mieux se protéger.
Vous êtes Head of Security Research chez Orange Cyberdefense. Qu’est-ce ce que vous faites concrètement?
Nous sommes une petite équipe de six chercheurs répartis dans divers pays. Je suis moi-même basé à Cape Town en Afrique du Sud. Nous assumons une fonction de support au niveau global, que ce soit pour renseigner les product managers sur l’évolution du domaine cyber et de la menace, fournir des contenus pour le marketing, , ou participer à des conférences. Nous faisons des recherches de notre propre initiative ou sollicitées par nos collègues côté business, qui veulent par exemple comprendre l’impact sur la menace de la guerre en Ukraine ou de l’intelligence artificielle. Nous avons la chance de disposer d’une énorme quantité de données obtenues notamment via les scans, pen tests et autres activités d’Orange Cyberdefense dans le monde entier. Une part importante du travail de mon équipe consiste à collecter ces données et à développer des plateformes pour les organiser et les comprendre.
Sur la base de vos recherches et des données que vous collectez, quels sont les plus grands changements en matière de cybersécurité intervenus ces cinq dernières années?
Je vais vous dire les choses les plus importantes à mes yeux. En premier lieu, ce qui a changé, c’est l’impact : les failles et vulnérabilités ont des conséquences bien réelles. Ce qui faisait partie de l’imaginaire est aujourd’hui une réalité. Les incidents se multiplient à une vitesse folle. Nous avions pour habitude de les traquer, ce n’est plus possible. Outre le volume des attaques, l’écosystème des acteurs malveillants s’est élargi et il est aujourd’hui bien plus solide et établi. L’impact de ces évolutions n’est pas que financier, la société et les individus le subissent aussi. C’est un changement considérable et ce changement s’accélère. Quand je rencontre des informaticiens, je me dis: «Ces personnes s’occupaient de gérer des serveurs Exchange et leur plus grand risque était que leur CEO n’ait pas accès à ses e-mails. Demain, la pire chose ce sera qu’un robot armé d’un chalumeau se déchaîne sur un chantier de construction».
Deuxième changement, la capacité d’innovation des acteurs malveillants, l’innovation non pas technologique mais criminelle. Les malwares, les vulnérabilités, tout cela n’a pas vraiment changé. Ce qui est nouveau, c’est la manière dont les criminels monétisent leur activité, et en particulier l’extorsion. Toute l’astuce de ce modèle d’affaires consiste à vous prendre quelque chose pour vous le revendre ensuite. C’est un modèle extrêmement puissant qui engendre de véritables écosystèmes capables d’agir à grande échelle.
Dans tous les aspects de la cybersécurité, on trouve aujourd’hui les traces de l’action des gouvernements.
Troisième changement marquant, la militarisation du domaine cyber. Dans tous les aspects de la cybersécurité, on trouve aujourd’hui les traces de l’action des gouvernements. J’ai commencé à m’en rendre compte quand certains spécialistes se sont mis à disparaître des conférences. Ils ont disparu de la recherche académique ou de l’industrie et travaillent désormais quelque part dans un bunker. Beaucoup de l’activité cyber se développe actuellement de manière souterraine avec le concours des Etats et des budgets difficiles à imaginer. Aujourd’hui on est prêt à payer 2,5 millions de dollars pour une seule faille zero day exploitable sur les smartphones. Ce sont des montants qui changent les règles du jeu. Et cette demande fait que tout un écosystème travaille à découvrir des vulnérabilités.
Enfin, un quatrième changement d’importance réside dans la dynamique du marché avec l’émergence de mastodontes de la tech et d’une forme de féodalisation de la sécurité, comme l’appelle Bruce Schneier. Au lieu de produire notre sécurité nous-mêmes, nous l’obtenons de quelque géant technologique, d’un Google ou d’un Microsoft. En contrepartie, nous perdons en contrôle, en autonomie et en discrétion.
Quand on déploie une nouvelle technologie, on ne crée pas seulement de la dette technique, on fait aussi un investissement dans une certaine direction, et il est ensuite très difficile d’en changer.
Vous évoquez l’impact grandissant des cyberattaques sur le monde réel. Pensez-vous que l’on numérise excessivement?
Oui, vraiment. Dan Geer, un esprit brillant sur le sujet, et qui est aussi CISO chez In-Q-Tel, le bras cyber de la CIA, explique à ce propos qu’il utilise un téléphone avec une ligne fixe. Il dit en quelque sorte que nous dépendons trop du numérique et qu’il nous faut veiller à garder des options ouvertes dans l'éventualité d'une défaillance des systèmes numériques. Nous voyons la numérisation comme un progrès sans interroger la direction de ce progrès. Prenons l’explosion de l’IA générative: lorsque j’aborde les risques de cette technologie avec nos clients, ils me rétorquent que le plus grand risque serait de ne pas l’adopter. Comme si la technologie allait tout résoudre et que nous n’avions d’autre choix que de nous y plier et de rapidement la déployer. Je pense au contraire qu’il faut attendre et qu’il y a plein de bonnes raisons de ralentir. Quand on déploie une nouvelle technologie, on ne crée pas seulement de la dette technique, on fait aussi un investissement dans une certaine direction, et il est ensuite très difficile d’en changer. Je pourrais dire de même de la promesse de productivité de l’IA générative : de la productivité dans quelle direction ? Il faut être conscient des choix que nous faisons et oser parfois des choix difficiles. Comme lorsqu’à titre individuel on décide de ne pas être actif sur les réseaux sociaux.
Il y a d’autres leviers pour améliorer la sécurité que d’entraîner les utilisateurs à chaque fois qu’émerge une nouvelle technique d’escroquerie.
On attribue beaucoup d’incidents de sécurité à des erreurs humaines, à un utilisateur qui clique sur un lien, à un administrateur qui configure mal un système. Quelle est votre opinion sur le sujet?
Il faut distinguer les deux cas. S’agissant des erreurs de configurations, il importe que ceux qui gèrent les systèmes soient confrontés à l’impact de ces erreurs, qu’ils «jouent davantage leur peau», comme l’évoquait quelqu’un dans le public lors de la conférence. L’erreur de l’utilisateur est d’une autre nature. Actuellement, beaucoup d’efforts se focalisent sur la formation des usagers, sur leur capacité à détecter une tentative d’hameçonnage. Cela revient à rejeter la faute et à leur déléguer la responsabilité, et je pense que ce n’est ni suffisant ni approprié. Je pense qu’il faudrait plutôt armer les utilisateurs d’outils les aidant à identifier les menaces et à contrecarrer les biais. Je vous donne un exemple: Microsoft Outlook propose un outil qui conserve mon message pendant 5 minutes avant de l’envoyer. C’est un moyen efficace de lutter contre une réactivité excessive.
Les recherches en matière d’attaques de social engineering montrent que nous avons atteint un plateau quant à ce que nous parvenons à gérer. Il reste donc une grande quantité d’incidents face auxquels nous sommes démunis. Et ces incidents surviennent souvent dans un contexte d’anxiété, de distraction ou de stress. Il y a donc d’autres leviers pour améliorer la sécurité que d’entraîner les utilisateurs à chaque fois qu’émerge une nouvelle technique d’escroquerie.