Remy Sabathié – Analyste en cybercriminalité au sein du CERT

Diplômé en géopolitique, géoéconomie et intelligence stratégique, Rémy Sabathié est analyste en stratégie internationale de formation. Il travaille depuis plusieurs années en tant qu’analyste en cybercriminalité au sein du CERT (Computer Emergency Response Team) d’une grande société française. Il a participé à la rédaction de plusieurs ouvrages sur les questions stratégiques (géopolitique, diplomatie, défense, métaux rares).

Entretien a retrouver dans le dossier Les cyber-espaces eurasiatiques : nouvelles vulnérabilités, cadres législatifs, luttes informationnelles

Pouvez-vous nous expliquer en quoi consiste votre métier et quelles sont vos missions ?Pouvez vous nous présenter votre travail au sein du groupe pour lequel vous travaillez ? 

Cela fait dorénavant six ans que je travaille pour un grand groupe français en tant qu’analyste en cybercriminalité. Je suis chargé par des clients, de grandes entreprises – du CAC 40 ou des sociétés européennes – de veiller à leur cybersécurité. Au sein du pôle anti-fraude du CERT (Computer Emergency Response Team), nous gérons des urgences cyber pour nos clients. Nous luttons en particulier contre le phishing (notamment pour les banques), afin de faire fermer le plus rapidement les sites frauduleux qui ciblent nos clients. Ainsi, nous assurons une surveillance du web en 24/7, notamment grâce à nos succursales à l’étranger (Montréal et Singapour) qui nous permettent de faire les 3×8, ce qui est essentiel pour nos clients qui sont confrontés à des cyberattaques permanentes.

Il est aussi question d’analyse d’e-mails : nous avons déployé sur les messageries de nos clients des boutons de reportingd’emails potentiellement suspects : notre rôle est d’analyser ces e mails afin de déterminer s’ils représentent ou non une menace. Si oui, il faudra la catégoriser et qualifier les indices de compromission que l’email contient (adresses IP, adresses mail, noms de domaines…), ce qui permettra in fine d’enrichir notre base de données sur les artefacts malveillants.

Au sein du pôle menace du CERT, nous travaillons beaucoup plus sur le darkweb, pour identifier des fuites de données qui pourraient impacter nos clients. C’est un important travail d’alerte : dès que nous découvrons une fuite de données ou plus généralement une menace, nous informons nos clients en leur donnant le plus de détails possibles sur ce qui a pu être récupéré, pour qu’ils puissent gérer la situation en interne. Il s’agit donc d’une veille permanente sur le Clear, Deep et Dark Web. Le Clear web, c’est le web surfacique et représente 4 à 5% du web, celui indexé par les moteurs de recherche. Le Deep web ne l’est pas, comme les intranets d’entreprise où il faut s’identifier pour y accéder. Le Dark web, quant à lui, n’est pas indexé non plus mais il est en plus illégal : on va y trouver toutes sortes d’activités non-autorisées par la loi.

Quels sont les types d’attaques cyber les plus répandus ? D’où viennent ces attaques et en quoi consistent-t-elles ?  Quelles sont les motivations des hackers?

Il existe tout un panorama de cyber attaques. Il y a d’abord celles qui appartiennent au champ de la cybercriminalité, qui ont un but financier, lucratif, et qui relèvent du crime organisé, de mafias. Parfois, on trouve de nouveaux entrants qui agissent de manière isolée et qui vont se lancer dans ce marché-là.

Outre un aspect monétaire, il existe également des motivations politiques, à travers les États qui utilisent des moyens cyber pour défendre leurs intérêts : c’est là qu’interviennent les services de renseignement ou les ministères des armées, qui se servent du cyber pour se défendre ou attaquer. Cela relève de l’espionnage puisque ce sont des attaques silencieuses, qui ont pour but de récolter des données sensibles. Il est souvent fait usage de spyware, des logiciels espions. Le sabotage est aussi une activité clef et est parfois pratiqué avec l’usage de wipers, comme cela est le cas dans le cadre du conflit russo-ukrainien. Autre exemple d’une cyberopération étatique : le logiciel malveillant Stuxnet, aurait ciblé l’Iran en 2010 dans le cadre de l’opération Olympic Games menée par Israël et les États-Unis pour ralentir le programme nucléaire iranien en perturbant le fonctionnement de centrifugeuses. Il existe également tout un pan de cyberattaques réalisées par des hackers qui sont des « hackctivistes ». Même s’ils peuvent avoir des parcours et des manières de faire différentes, ils ont un point commun, à savoir agir pour défendre des idées. Il y a tout un prisme idéologique qui sous-tend leur action : on trouve aussi bien des terroristes religieux que des écologistes. Quant aux procédés, ils restent proches des cybercriminels en général : intrusion dans des systèmes d’information en vue de récupérer des données, attaques par déni de service distribué (DDoS) etc. Ce ne sont pas des gens qui cherchent à se cacher, on se situe plutôt dans la revendication, contrairement aux actions des États.

La plupart des entreprises françaises aujourd’hui sont-elles équipées pour faire face aux cyberattaques, ou cela ne concerne-t-il que les grandes entreprises ? Peut-on dire que certaines font preuve de négligence quant à la protection de leurs données ? Quelles précautions sont à prendre pour se prémunir au mieux des cyberattaques ? Quels comportements sont à éviter? Comment réagir si un virus infecte un système informatique ?

Il est plutôt question d’un manque de vigilance plutôt que de négligence dans la majorité des cas. On parle ici de failles humaines en matière de cybersécurité. Des progrès ont été effectués ces dernières années, mais il en reste à faire. Les grandes entreprises ont toutes dorénavant des programmes de cybersécurité et sont appuyées par des prestataires externes. L’essentiel du combat à mener concerne les petites et moyennes entreprises : il y a moins de capacités, de moyens et de culture en la matière. Les grandes entreprises, si elles sont plus ciblées à cause de leur statut, ont néanmoins davantage la capacité de se défendre. De fait, celles de petite taille sont beaucoup moins touchées mais lorsque cela arrive, la probabilité qu’elles se trouvent confrontées à de graves ennuis en cas de cyberattaque est beaucoup plus élevée.

Quand les grandes entreprises sont victimes de piratage, elles disposent toutes de procédures de continuité d’activité qui dépassent largement la sphère cyber. Il y a tout un travail de préparation qui est fait en amont. Mais il reste nécessaire de travailler avec des professionnels de cybersécurité en interne – en y consacrant des ressources humaines et financières – ou en ayant recours à des prestataires externes. Mais une fois encore, c’est bien plus difficile pour les petites entreprises qui n’en ont pas forcément les moyens, et qui, parce qu’elles sont de fait moins ciblées, ne perçoivent pas toujours la menace.

Vous avez plusieurs années d’expérience dans ce domaine. Avez-vous vu une évolution particulière des cybermenaces ces dernières années ? À l’heure actuelle, quelles sont les structures qui sont le plus visées? Et pourquoi ? On en a vu contre des hôpitaux, des aéroports…

Les hôpitaux sont de plus en plus frappés car les cybercriminels ont conscience qu’ils touchent quelque chose de sensible et de très mal protégé. Un hôpital est comme une université : c’est un lieu ouvert, fait pour recevoir des personnes. La culture de la sécurité n’est donc pas du tout au cœur du mode de fonctionnement hospitalier, elle est en bout de chaîne, même si des infrastructures ont peu à peu été mises en place. On observe également une plus grande maturité en la matière du côté des grandes organisations.

En termes de ciblage, les ransomwares et les malwares infostealers (qui siphonnent les données) ciblent beaucoup les fournisseurs, les prestataires puisqu’ils se heurtent à une sécurité renforcée du côté des grandes entreprises. On parle alors de supply-chain attack (attaque à la chaine d’approvisionnement). Il s’agit d’une évolution majeure dans le domaine de la cybercriminalité. Ces cyberattaques se révèlent particulièrement pernicieuses dans la mesure où l’entreprise touchée initialement (le prestataire ou le fournisseur) n’est pas l’entreprise ciblée in fine par les attaquants. Ces derniers ciblent le prestataire ou fournisseur dans un premier temps afin de mieux pouvoir infiltrer la grande entreprise cliente dans un second temps. La première attaque peut consister à viser un éditeur de logiciel pour véroler le logiciel vendu ensuite aux entreprises clientes. Il peut s’agir aussi de siphonner des données contractuelles et personnelles chez le prestataire en vue de mener ensuite des hameçonnages ciblés (spear phishing) à l’aide des données recueillies. Par exemple, le groupe d’attaquants REvil a mené en 2021 une cyberattaque à l’encontre du logiciel VSA distribué par l’éditeur américain Kaseya. Cette cyberattaque a exposé de nombreuses entreprises dans le monde, utilisatrices du logiciel de Kaseya. Autre exemple : l’attaque contre SolarWinds conduite en 2020 par APT29 alias Cozy Bear, présumé lié au SVR (service de renseignement extérieur de la Fédération de Russie). Cette cyberattaque ciblait le logiciel professionnel Orion, commercialisé par la société américaine SolarWinds. Par rebond, cette cyberattaque aurait permis de compromettre les systèmes d’information de plusieurs centaines d’organisations, des entreprises mais aussi et surtout des ministères et agences gouvernementales des États-Unis.

Quel lien le secteur privé de la cybersécurité entretient-il avec l’État en France ? Y-a-t-il des formes de coopération ? Dans quelle mesure l’État peut-il assurer la cybersécurité d’acteurs privés ?

Oui, il y a des coopérations. Par exemple, l’ANSSI a un véritable rôle dans la sécurisation des OIV (opérateurs d’importance vitale), qui sont des sociétés ou organisations relevant de secteurs stratégiques – énergie, transports, défense etc. Il existe donc une intervention étatique pour sécuriser ces OIV. L’État était par exemple intervenu lors de l’attaque de TV5 Monde il y a quelques années.

On trouve également des coopérations entre sociétés privées et État en matière de partage d’informations, mais il y a beaucoup à faire, puisqu’on fait face à un certain cloisonnement de l’information – ce qui est inhérent aux logiques de sécurité en général. Ce qui fait que l’on se retrouve parfois dans un système à deux vitesses, où on fait face à des besoins pressants et des acteurs qui ne voient pas forcément un intérêt à partager l’information.

Sans oublier que le but des entreprises de cybersécurité reste un but lucratif, comme toute entreprise, ce qui explique en partie certaines réticences dans le partage d’information et de savoir-faire. Mais dans tous les cas, l’État n’a pas les capacités d’assurer la cybersécurité de toutes les entreprises en général, et je ne suis pas certain que ce soit sa mission.

Qu’est ce qui, selon vous, explique des différences de niveau de cybersécurité entre des pays comme la Bulgarie, la Roumanie, la République tchèque ou la Slovénie et le reste des pays européens ? Quelles sont les formes de coopération existantes ? Peut-on assurer la cybersécurité française seul ? Une cybersécurité autonome et autosuffisante est-elle possible et/ou souhaitable ?

On trouve des gens très doués dans le domaine de la cybersécurité issus de ces pays, mais qui ont tendance à émigrer en Europe de l’Ouest ou ailleurs. Il est donc délicat de juger le niveau de certains pays et les réalités sont différentes selon la taille de l’État, des moyens disponibles… L’essentiel est de travailler de concert pour construire des choses ensemble à l’échelle européenne.

La France ne fait pas cavalier seul en matière de cybersécurité, elle coopère évidemment avec d’autres États. C’est essentiel pour avoir le plus d’informations possibles et lutter de manière efficiente contre les menaces. Mais la France a besoin de gagner en autonomie : être dépendant systématiquement d’outils, de logiciels, d’informations de l’étranger n’est pas une bonne chose, puisque cela nous limite en matière de choix, d’évaluation de la menace… Il est important d’avoir ses propres capacités en matière de cybersécurité. Mais être totalement indépendant et autonome ne me semble pas possible à atteindre. Les maîtres mots sont donc autonomie et coopération.

Faut-il redouter une « cyberguerre » dans les années à venir ? Ce terme vous semble-t-il approprié?

On parle depuis un certain temps de cyberguerre, encore plus depuis le conflit russo-ukrainien. Si on considère ce dernier, nous n’avons pas assisté à une cyberguerre, mais à des cyberattaques. La guerre a une définition précise, et je suis assez prudent avec les terminologies. Je crois néanmoins que l’élément cyber sera de plus en plus prégnant dans les conflits futurs car il le sera dans la société, tout comme l’intelligence artificielle. Il y a eu une augmentation des cyberattaques en Ukraine, mais le conflit a polarisé les attaquants dans cette sphère. Par exemple, au sein de la mafia cyber Conti, des contentieux importants ont émergé quant au conflit. Certains cadres ont affiché leur orientation pro-russe, mais certains membres ne rejoignant pas ces positions ont fait fuiter un certain nombre d’informations, ce qui a conduit à la dissolution du groupe.

Y-a-t-il des pays autres que la Russie, les USA, la Chine ou Israël qui ont une longueur d’avance dans le domaine de la cybersécurité ? Et pourquoi ces pays semblent plus peser que les pays européens en la matière ?

Les pays que vous citez sont les plus réputés en matière de cybersécurité. En matière d’attaques on peut également évoquer l’Iran ou la Corée du Nord parce qu’on a un intérêt important de la part des Américains sur ces sujets-là, ce qui fait que dans le traitement médiatique, on en entend donc davantage parler, ce qui est également dans l’intérêt politique de certains pays : il est très simple de faire volontairement héberger ses domaines et ses serveurs dans un pays étranger. De même, les attaquants n’hésitent pas à laisser volontairement de faux indices derrière eux afin de tromper les enquêteurs et les ingénieurs spécialisés en rétro-ingénierie de virus informatiques. L’attribution est toujours un choix politique, même s’il y a bien des attaques menées par des gouvernements précis. Les médias font qu’on entend bien plus parler des attaques de nos ennemis plutôt que celles menées par notre propre camp ; mais il ne faut pas oublier que l’on s’espionne aussi entre alliés, rappelez-vous l’affaire Snowden.

En matière d’attaques par exemple, la particularité des Nord-Coréens est qu’ils sont très offensifs : Pyongyang possède des hackers d’État mais qui ont des comportements de cybercriminels, ce qui est assez étonnant, puisque les hackers d’État ont traditionnellement plutôt pour modes opératoires l’espionnage et le sabotage. Ici, on fait face à des modes opératoires à but plus crapuleux : attaquer des banques pour récupérer des fonds, etc. Mais c’est spécifique à la Corée du nord qui a besoin d’argent du fait de son isolement diplomatique.

On parle peu du Japon, mais le pays a de réelles capacités en matière de cybersécurité, avec un tissu industriel technologique très performant, comme la Corée du Sud : comme cette dernière est toujours officiellement en conflit avec sa voisine du Nord, elle a développé de réelles capacités en la matière pour des raisons géopolitiques. L’Inde possède également un réservoir important d’ingénieurs et de techniciens en informatique en général et en cybersécurité en particulier. Beaucoup d’entreprises de sécurité informatique font le choix de délocaliser une partie de leur activité en Inde car la main d’œuvre y est bon marché et plutôt qualifiée, même si les meilleurs profils ont tendance à émigrer vers l’Amérique du Nord, l’Europe ou les pays du Golfe.

Les anciens pays soviétiques, par leur tradition universitaire (notamment mathématique et en ingénierie) font qu’ils peuvent avoir des capacités importantes dans le cyber. Quant aux États qui n’ont pas été épargnés par les Russes, on peut les ranger dans la même catégorie, comme l’Ukraine. En état de guerre, les capacités sont décuplées, puisque les attaques subies forgent une expérience : Kiev est donc en train de devenir un acteur de pointe en matière de cyberdéfense.

Dans un autre domaine, Israël est un leader dans l’édition de logiciels de sécurité informatique, mais aussi en matière de renseignement cyber. L’Amérique latine est souvent oubliée, alors qu’on y trouve des capacités en cybersécurité mais aussi des groupes cybercriminels et des mafias, notamment venant du Brésil. Sur le continent africain, les cybercriminels sont très présents, ce qui explique le développement de centres de cybersécurité ainsi que des formations universitaires dans ces domaines. En France, on reçoit une assez forte émigration d’étudiants en provenance du Maghreb et d’Afrique subsaharienne, qui ont des cursus techniques en cybersécurité et qui viennent terminer leur formation chez nous après une licence ou un master. Ce sont des diplômes cruciaux pour nous, puisque nous avons du mal à recruter dans ce domaine : il y a trop de besoins pour peu de formations disponibles. Beaucoup viennent travailler dans des SOC (Security Operations Center, Centres d’opérations de sécurité, ndlr) qui sont demandeurs de profils techniques et embauchent de jeunes diplômés étrangers.

Quelles seraient, selon vous, les pistes de progression en matière de cybersécurité en France ?

Je vois 5 axes principaux d’amélioration et de progression en matière de cybersécurité en France : formation universitaire, sensibilisation des employés et des citoyens, développement et intégration de l’intelligence artificielle dans des outils de cybersécurité, renforcement de l’autonomie française et coopération. La formation universitaire demeure un enjeu clé car nos besoins en cybersécurité sont bien plus importants que les jeunes diplômés qui arrivent sur le marché de l’emploi. De nouvelles formations voient le jour en France mais il est nécessaire d’accélérer le renforcement et l’offre des cursus universitaires en sécurité informatique.

En matière de sensibilisation à la cybersécurité, des progrès ont été faits. L’ANSSI et la plateforme Cybermalveillance.gouv.fr font beaucoup en ce sens, tout comme certaines entreprises. Toutefois, le chantier reste immense. Des millions de Français continuent d’utiliser des ordinateurs, des tablettes et des smartphones quotidiennement sans connaître et appliquer les rudiments de l’hygiène informatique. Et comment leur reprocher ? Si l’on se permet une analogie avec le code de la route, il n’existe pas de permis de naviguer sur le web comme il existe un permis de conduire. Or, les risques et les dangers en informatique sont bien présents. La sécurité informatique est à l’image de la sécurité routière : elle est l’affaire de tous et nécessite une vigilance accrue !

Les récents développements de l’intelligence artificielle interpellent. Ils sont à la fois porteurs d’immenses promesses dans de multiples domaines en général et de progrès en matière de cybersécurité en particulier, mais ils sont aussi annonciateurs de grands défis car les cybercriminels s’emparent déjà des capacités des IA grand public pour développer leur cyberattaques. Une nouvelle course à l’IA a d’ores et déjà débuté entre cyberdéfenseurs et cyberattaquants.

Enfin, et nous l’avons évoqué, une cybersécurité efficace à l’avenir passera à la fois par un développement renforcé de l’autonomie française en la matière (formations, start-up, éditeurs de logiciel, sociétés de cybersécurité) et par une coopération plus approfondie. Inauguré en 2022, le Campus Cyber, lieu totem de la cybersécurité en France, constitue le symbole de cette coopération entre PME, grands groupes, start-up, écoles et bien sûr l’Etat en matière de sécurité informatique. Un modèle à reproduire pour une cybersécurité française toujours plus performante et une société numérique plus sûre.