La dépendance croissante à des systèmes informatiques toujours plus complexes et interconnectés dans la plupart des domaines de la vie est le principal facteur de vulnérabilité aux cyberattaques, car la quasi-totalité des systèmes informatiques présentent des failles exploitables par les attaquants. Bien qu'il soit impossible, voire impraticable, de créer un système parfaitement sécurisé , de nombreux mécanismes de défense permettent de le rendre plus difficile à attaquer, faisant de la sécurité de l'information un domaine d'une importance croissante dans le monde actuel.
Les auteurs d'une cyberattaque peuvent être des criminels, des hacktivistes ou des États. Ils cherchent à identifier les failles d'un système, à les exploiter et à créer un logiciel malveillant pour atteindre leurs objectifs, puis à l'installer sur le système ciblé. Une fois installé, ce logiciel malveillant peut avoir divers effets selon sa finalité. La détection des cyberattaques est souvent inexistante ou tardive, notamment lorsque le logiciel malveillant tente d'espionner le système sans être détecté. Si l'attaque est découverte, l'organisation ciblée peut tenter de recueillir des preuves, de supprimer le logiciel malveillant de ses systèmes et de corriger la vulnérabilité qui l'a rendue possible.
Les cyberattaques peuvent causer divers préjudices aux personnes, organisations et gouvernements ciblés, notamment des pertes financières importantes et des vols d'identité . Elles sont généralement illégales, à la fois comme méthode criminelle et comme arme de guerre , bien qu'il soit difficile d'en attribuer correctement la responsabilité et que les auteurs soient rarement poursuivis.
triptyque CIA : confidentialité (absence d'accès non autorisé), intégrité (absence de modification non autorisée) et disponibilité. Bien que la disponibilité soit moins importante pour certains services web, elle peut s'avérer cruciale pour les systèmes industriels.Prévalence
Au cours du premier semestre 2017, deux milliards d'enregistrements de données ont été volés ou compromis par des cyberattaques, et les rançons versées pour ces attaques ont atteint Au fil du temps, les systèmes informatiques occupent une place de plus en plus importante dans notre vie quotidienne et nos interactions. Si la complexité et l'interconnexion croissantes de ces systèmes améliorent l'efficacité, la puissance et la praticité de l'informatique, elles les rendent également plus vulnérables aux attaques et aggravent les conséquences d'une éventuelle attaque. Malgré l'objectif des développeurs de fournir un produit parfaitement fonctionnel, la quasi-totalité des logiciels et du matériel contiennent des bogues. Si un bogue crée un risque pour la sécurité, on parle de vulnérabilité . Des correctifs sont souvent publiés pour corriger les vulnérabilités identifiées, mais celles qui restent inconnues (failles zero-day ) ainsi que celles qui n'ont pas été corrigées demeurent susceptibles d'être exploitées. L'éditeur du logiciel n'est pas légalement responsable des coûts si une vulnérabilité est exploitée lors d'une attaque, ce qui l'incite à développer des logiciels moins chers mais moins sécurisés. Les vulnérabilités varient quant à leur potentiel d' exploitation par des acteurs malveillants. Les plus importantes permettent à l'attaquant d' injecter et d'exécuter son propre code (appelé logiciel malveillant ), à l'insu de l'utilisateur. Sans vulnérabilité permettant l'accès, l'attaquant ne peut pas accéder au système. Le modèle de vulnérabilité (VM) identifie les schémas d'attaque, les menaces et les actifs de valeur, qu'ils soient physiques ou immatériels. Il traite des problématiques de sécurité telles que la confidentialité, l'intégrité, la disponibilité et la responsabilité dans les contextes métiers, applicatifs ou d'infrastructure.
Protection
La plupart des attaques peuvent être évitées en s'assurant que tous les logiciels sont à jour. Néanmoins, même les systèmes entièrement mis à jour restent vulnérables aux exploits exploitant des failles zero-day . Le risque d'attaque est maximal juste après la divulgation publique d'une vulnérabilité ou la publication d'un correctif, car les attaquants peuvent créer des exploits plus rapidement qu'un correctif ne peut être développé et déployé.
Les solutions logicielles visent à prévenir les accès non autorisés et à détecter les intrusions de logiciels malveillants. La formation des utilisateurs permet d'éviter les cyberattaques (par exemple, en les incitant à ne pas cliquer sur un lien ou une pièce jointe suspects), notamment celles qui reposent sur des erreurs humaines. Cependant, un excès de règles peut inciter les employés à les ignorer, annulant ainsi tout bénéfice en matière de sécurité. Certaines attaques internes peuvent également être prévenues grâce à des règles et des procédures. Les solutions techniques permettent de prévenir de nombreuses causes d'erreurs humaines qui rendent les données vulnérables aux attaques, comme le chiffrement de toutes les données sensibles, l'interdiction d'utiliser des mots de passe faibles, l'installation d'un logiciel antivirus pour se protéger des logiciels malveillants et la mise en place d'un système de correctifs robuste pour garantir la mise à jour de tous les appareils.
Il existe peu de données probantes concernant l'efficacité et le rapport coût-efficacité des différentes mesures de prévention des cyberattaques. Bien que l'attention portée à la sécurité puisse réduire le risque d'attaque, il est impossible d'atteindre une sécurité parfaite pour un système complexe, et de nombreuses mesures de sécurité présentent des inconvénients inacceptables en termes de coût ou d'ergonomie. Par exemple, la réduction de la complexité et des fonctionnalités du système permet de réduire efficacement la surface d'attaque . La déconnexion des systèmes d'Internet est une mesure véritablement efficace contre les attaques, mais elle est rarement réalisable. Dans certaines juridictions, des obligations légales existent en matière de protection contre les attaques.
Processus et types d'attaque

La chaîne d'attaque cybernétique est le processus par lequel les auteurs de cyberattaques mènent des attaques informatiques.
- Reconnaissance : les attaquants potentiels recherchent des informations sur le système afin de le cibler. Ils peuvent consulter des informations publiques ou mener des attaques d’ingénierie sociale pour obtenir davantage d’informations sur les systèmes de la cible.
- Armement : après avoir trouvé une vulnérabilité , les attaquants créent un exploit pour obtenir l'accès et un logiciel malveillant pour mener l'attaque.
- Distribution : une fois le traitement terminé, le logiciel malveillant est distribué à la cible. La plupart des violations de données et des insertions de logiciels malveillants sont rendues possibles par hameçonnage (phishing ), où l’attaquant envoie une communication malveillante, souvent un courriel, afin d’inciter le destinataire à cliquer sur un lien ou une pièce jointe pour installer le logiciel malveillant. Le téléchargement furtif (furtif) ne nécessite aucun clic, seulement la visite d’un site web malveillant. Parfois, des personnes internes à l’organisation sont à l’origine de l’attaque et peuvent utiliser leurs identifiants pour contourner la sécurité. Certaines attaques sont menées indirectement via des entreprises associées ayant une relation commerciale avec la cible. D’autres peuvent être menées en accédant directement au matériel, notamment dans les cas de corruption ou de chantage .
- Exploitation : le logiciel de l'attaquant est exécuté sur le système ciblé et crée souvent une porte dérobée permettant à l'attaquant de prendre le contrôle à distance.
- De nombreux attaquants ne lancent pas d'attaque immédiatement. L'attaquant cherche souvent à persister après une interruption du système (telle qu'un plantage ou un redémarrage), à échapper à la détection et à élever ses privilèges , et à sécuriser plusieurs canaux de communication avec ses contrôleurs. Parmi les autres actions courantes, on peut citer la réponse aux commandes à distance et la collecte et la copie de données vers un appareil contrôlé par l'attaquant ( exfiltration de données ).
Activité
Une fois installé, le logiciel malveillant présente une activité très variable selon les objectifs de l'attaquant. De nombreux attaquants tentent d'écouter clandestinement un système sans l'affecter. Bien que ce type de logiciel malveillant puisse avoir des effets secondaires inattendus , il est souvent très difficile à détecter. Les botnets sont des réseaux d'appareils compromis qui peuvent être utilisés pour envoyer des spams ou mener des attaques par déni de service (DoS ) : inonder un système de requêtes simultanées, le rendant inutilisable. Les attaquants peuvent également utiliser des ordinateurs pour miner des cryptomonnaies , comme le Bitcoin , à des fins lucratives.
Les rançongiciels sont des logiciels utilisés pour chiffrer ou détruire des données ; les attaquants exigent une rançon pour la restauration du système ciblé. L’avènement des cryptomonnaies, qui permettent des transactions anonymes, a entraîné une augmentation spectaculaire des demandes de rançon.
Auteurs et motivations

Le stéréotype du pirate informatique est celui d'un individu travaillant à son compte. Pourtant, de nombreuses cybermenaces sont le fait d'équipes d'experts disposant de ressources importantes. « L'augmentation des revenus des cybercriminels entraîne une multiplication des attaques, une professionnalisation accrue et une spécialisation poussée des attaquants. De plus, contrairement à d'autres formes de criminalité, la cybercriminalité peut être perpétrée à distance et les cyberattaques sont souvent facilement extensibles. » De nombreuses cyberattaques sont causées ou facilitées par des personnes internes à l'entreprise, souvent des employés qui contournent les procédures de sécurité pour travailler plus efficacement. Les attaquants présentent un niveau de compétence et de sophistication très variable, tout comme leur détermination à cibler une cible précise plutôt que de choisir opportunément une cible facile. Le niveau de compétence de l'attaquant détermine les types d'attaques qu'il est capable de mener. Les attaquants les plus sophistiqués peuvent persister sans être détectés sur un système renforcé pendant une période prolongée.
Les motivations et les objectifs diffèrent également. Selon que la menace attendue soit de l’espionnage passif, de la manipulation de données ou un détournement actif, différentes méthodes d’atténuation peuvent être nécessaires.
Les éditeurs de logiciels et les gouvernements s'intéressent principalement aux vulnérabilités non divulguées ( failles zero-day ) , tandis que les groupes criminels organisés privilégient les kits d'exploitation prêts à l'emploi basés sur des vulnérabilités connues , qui sont beaucoup moins coûteux . Le manque de transparence du marché engendre des problèmes, notamment l'impossibilité pour les acheteurs de garantir que la vulnérabilité zero-day n'a pas été vendue à un tiers . Acheteurs et vendeurs font leur publicité sur le dark web et utilisent les cryptomonnaies pour des transactions intraçables . La difficulté de concevoir et de maintenir des logiciels capables d'attaquer une grande variété de systèmes a conduit les criminels à constater qu'il était plus rentable de louer leurs exploits plutôt que de les utiliser directement
des bots qui chargent le logiciel malveillant de l'acheteur sur les appareils du botnet. Les attaques DDoS en tant que service utilisant des botnets contrôlés par le vendeur sont également fréquentes et peuvent constituer le premier produit de cybercriminalité en tant que service. Elles peuvent aussi être perpétrées par inondation de SMS sur le réseau cellulaire. Les logiciels malveillants et les rançongiciels en tant que service (SaaS) permettent désormais à des personnes sans compétences techniques de mener des cyberattaques.
Objectifs et conséquences


Les cibles des cyberattaques vont des particuliers aux entreprises et aux entités gouvernementales. De nombreuses cyberattaques sont déjouées ou échouent, mais celles qui réussissent peuvent avoir des conséquences dévastatrices. Comprendre les effets négatifs des cyberattaques aide les organisations à s'assurer que leurs stratégies de prévention sont rentables. Un article classe les dommages causés par les cyberattaques dans plusieurs domaines :
- dommages matériels, y compris les blessures ou la mort ou la destruction de biens
- Dommages numériques, tels que la destruction de données ou l’introduction de logiciels malveillants
- Les pertes économiques, telles que celles causées par des perturbations opérationnelles, les coûts d’enquête ou les amendes réglementaires.
- Préjudice psychologique , comme le fait que les utilisateurs soient contrariés par la fuite de leurs données
- Dommages à la réputation , perte de réputation causée par l'attaque
- Les externalités négatives pour la société dans son ensemble, telles que la perte d’accès des consommateurs à un service important en raison de l’attaque.
Données des consommateurs
Après une fuite de données, les criminels tirent profit de la vente de données telles que les noms d'utilisateur, les mots de passe, les informations de comptes de réseaux sociaux ou de fidélité , les numéros de cartes bancaires [ 70 données de santé personnelles (voir fuite de données médicales ) . Ces informations peuvent être utilisées à diverses fins, comme l'envoi de spams , l'obtention de produits grâce aux informations de fidélité ou de paiement d'une victime, la fraude aux médicaments sur ordonnance , la fraude à l'assurance et surtout l'usurpation d'identité . Les pertes subies par les consommateurs suite à une fuite de données constituent généralement une externalité négative pour l'entreprise
Infrastructures critiques

Les infrastructures critiques sont celles considérées comme essentielles – telles que la santé, l’approvisionnement en eau, les transports et les services financiers – et sont de plus en plus régies par des systèmes cyberphysiques dont le fonctionnement dépend de l’accès au réseau. Pendant des années, des auteurs ont mis en garde contre les conséquences catastrophiques des cyberattaques, qui ne se sont pas encore concrétisées des atteintes à la réputation ) résultant de violations de données, hormis les coûts directs liés aux efforts de rétablissement juridiques, techniques et de relations publiques. Les études ayant tenté d'établir une corrélation entre les cyberattaques et les baisses à court terme des cours boursiers ont abouti à des résultats contradictoires : certaines ont constaté des pertes modestes, d'autres aucun effet, et certains chercheurs ont critiqué ces études pour des raisons méthodologiques. L'effet sur le cours des actions peut varier selon le type d'attaque. Certains experts estiment que les données disponibles suggèrent que les coûts directs et les atteintes à la réputation liés aux violations de données ne sont pas suffisamment importants pour inciter à leur prévention.
Gouvernements

Les sites web et les services gouvernementaux figurent parmi ceux qui sont touchés par les cyberattaques. Certains experts émettent l'hypothèse que les cyberattaques affaiblissent la confiance de la société ou la confiance envers le gouvernement, mais équipe d'intervention d'urgence informatique afin d'être prête à gérer les incidents.
Détection
De nombreuses attaques ne sont jamais détectées. Parmi celles qui le sont, le délai moyen de détection est de 197 jours. Certains systèmes peuvent détecter et signaler les anomalies susceptibles d'indiquer une attaque, grâce à des technologies telles que les antivirus , les pare-feu ou les systèmes de détection d'intrusion . Dès qu'une activité suspecte est suspectée, les enquêteurs recherchent de compromission . La détection est plus rapide et plus probable si l'attaque cible la disponibilité des informations (par exemple, une attaque par déni de service ) plutôt que leur intégrité (modification des données) ou leur confidentialité (copie des données sans modification). Les acteurs étatiques sont plus enclins à garder l'attaque secrète. Les attaques sophistiquées exploitant des failles de sécurité importantes sont moins susceptibles d'être détectées ou annoncées, car l'auteur souhaite préserver l'utilité de l'exploit.
La collecte des preuves est effectuée immédiatement, en privilégiant les éléments volatils susceptibles d'être rapidement effacés. La collecte de données relatives à la violation peut faciliter d'éventuels litiges ou poursuites pénales ultérieurs, mais uniquement si les données sont collectées conformément aux normes légales et que la chaîne de traçabilité est maintenue.
Récupération
Après une attaque, le confinement du système affecté est souvent une priorité absolue. Il peut être mis en œuvre par l'arrêt du système, son isolement, l'utilisation d'un environnement sandbox pour mieux connaître l'attaquant , la correction de la vulnérabilité et la reconstruction du système . Une fois le mode de compromission identifié, il suffit généralement de corriger une ou deux vulnérabilités techniques pour contenir la brèche et empêcher toute récidive . Un test d'intrusion permet ensuite de vérifier l'efficacité du correctif . En cas d'implication d'un logiciel malveillant , l'organisation doit enquêter sur tous les vecteurs d'infiltration et d'exfiltration, les neutraliser et localiser et supprimer tout logiciel malveillant de ses systèmes . Le confinement peut entraver l'enquête, et certaines tactiques (comme l'arrêt des serveurs) peuvent enfreindre les obligations contractuelles de l'entreprise . Une fois la brèche totalement contenue, l'entreprise peut procéder à la remise en service de tous ses systèmes. La mise en place d'une sauvegarde et le test des procédures de réponse aux incidents permettent d'améliorer la récupération.
Attribution
Légalité
Dans de nombreux pays, les cyberattaques sont passibles de poursuites en vertu de diverses lois relatives à la cybercriminalité . L’attribution de l’attaque à l’accusé au-delà de tout doute raisonnable constitue également un défi majeur dans les procédures pénales. En 2021, les États membres des Nations Unies ont entamé des négociations en vue de l’élaboration d’un de lois sur la notification des violations de données qui obligent les organisations à informer les personnes dont les données personnelles ont été compromises lors d'une cyberattaque.