Cybersécurité - « Les grandes entreprises qui ont déjà subi des attaques sont aujourd’hui mieux préparées »

Ilan Graicer, expert en cybersécurité, entrepreneur et co-fondateur de l’équipe de hackers « Red team ».

Pourriez-vous nous résumer en quelques mots votre parcours ?

Ilan Graicer : Il est assez habituel que les hackers aient des parcours personnels et professionnels très divers. Nous disons souvent : « On n’apprend pas à hacker, on hacke pour apprendre ». Personnellement, j’ai travaillé dans le design de jeux vidéo, dans la programmation, j’ai créé des start-ups… Et bien sûr comme beaucoup d’Israéliens, j’ai également un parcours militaire, notamment dans le renseignement. Mais en ce qui concerne la cybersécurité, c’est surtout venu d’une certaine curiosité ! Vous essayez de faire de petites choses, puis d’entrer dans des systèmes de plus en plus gros, et c’est de plus en plus amusant !

Qu’est exactement la « Red team » ?

I.G. : La « Red team » a été créée y a 7 ans et compte entre 15 et 20 personnes. Lorsque vous allez dans les conférences sur la cybersécurité un peu partout à travers le monde, si vous allez au bar, vous allez forcément rencontrer des gens intéressants. Et en discutant avec certains d’entre eux, nous nous sommes dit que si on voulait faire avancer la cybersécurité, il fallait directement tester les défenses et démontrer les failles des systèmes. À l’origine, c’était une démarche qui concernait plutôt le domaine militaire, mais aujourd’hui elle est aussi tournée vers le monde de l’entreprise. L’idée est de challenger les organisations. Nous n’hésitons pas à nous rendre même physiquement dans certaines d’entre elles pour accéder directement aux systèmes, en nous faisant passer pour des techniciens, des réparateurs... Vous seriez surpris de voir comment une personne avec une échelle sur l’épaule et un casque de chantier peut entrer d’importe où, même dans une banque, sans qu’on ne lui demande rien… On lui tient même la porte !

Notre équipe est composée de spécialistes dans divers domaines : cartes d’accès, téléphones mobiles, voitures, serveurs web, datas… Des gens qui sont chacun reconnus mondialement dans leur domaine. Il est donc difficile de les réunir souvent. Nous nous voyons environ deux jours par mois et nous sommes tous bénévoles. Nous le faisons parce que c’est important mais aussi parce que c’est amusant : c’est la seule façon d’avoir une activité criminelle sans aller en prison !

« Les autorités sont bien sûr alertées sur ce que nous faisons »

En revanche, nous avons un code d’éthique très strict. Parce que nous nous rendons dans des organisations où, si nous faisions une erreur, les conséquences pourraient être très graves. Donc, les membres de la « Red team » sont triés sur le volet. Nous avons réalisé en 7 ans seulement 5 ou 6 très grosses opérations - sur une semaine chacune - et 10 à 15 plus modestes, d’une durée de 1 à 2 jours.

Les autorités sont bien sûr alertées sur ce que nous faisons, qu’il s’agisse du Parlement israélien, des ministères ou des ambassadeurs des pays concernés, comme ça a pu être le cas avec l’ambassadeur de France, par exemple.

Cette année encore, dans l’enquête « Risk in focus », les auditeurs internes et risk managers ont placé la cybersécurité en en tête des menaces à venir pour leurs entreprises. Selon vous, la situation s’est aggravée ou s’est améliorée en 2021 dans ce domaine ?

I.G. : Depuis un an, la situation s’est encore considérablement dégradée, notamment du fait de la situation sanitaire. Les moyens accordés à la cybersécurité ont diminué parce que les revenus eux-mêmes des entreprises ont diminué. Parallèlement, le télétravail s’est développé, y compris parmi les responsables des systèmes d’information, qui n’étaient pas sur place, au bureau, pour échanger et intervenir plus directement et rapidement.

Et d’un autre côté, obtenir un virus pour réaliser une attaque d’envergure du type ransomware ne coûte environ « que » 20 000 euros. Ce n’est finalement pas grand-chose quand vous savez qu’il peut entraîner des millions et des millions d’euros de dommages et pousser de grosses entreprises à préférer payer rapidement de très fortes sommes.

Mais l’an prochain, la situation pourrait être un peu différente.

Pour quelle raison ?

I.G. : D’abord parce que beaucoup de grandes entreprises ont déjà subi des attaques et sont donc mieux préparées. Elles dépensent plus d’argent dans leurs défenses. Les gouvernements ont également réalisé que les conséquences pouvaient être graves et qu’il pouvait dans bien des cas être question en fait d’attaques d’État à État.

« Les auditeurs internes et les risk managers ont la nécessité de faire ce qu’il faut pour protéger leur entreprise »

Vous êtes donc plus optimiste pour 2022 ?

I.G. : Vous savez, nous n’avons pas tendance à être trop optimistes quand il s’agit de la réaction des gouvernements. On attend les actes. Dans les organisations en revanche, les individus, comme les auditeurs internes et les risk managers notamment, ont la nécessité de prévoir et donc de faire ce qu’il faut pour protéger leur entreprise.

Justement, les entreprises hésitent souvent à prendre la décision – ou la repousse à plus tard – de mettre à jour leurs systèmes d’information, de peur de les bloquer pour une durée importante. Comment convaincre les gouvernances d’agir au contraire sans délai ?

I.G. :  C’est une bonne question. Il y a deux façons de faire. La nôtre d’abord, qui est d’« attaquer » les entreprises et de leur montrer ce qui pourrait arriver. C’est une bonne solution parce que ça peut être clairement effrayant. En général, avec la « Red team », nous ciblons particulièrement et individuellement les CE, CFO et autres membres des conseils d’administration. Et nous leur montrons le contenu de leurs emails et ce qui pourrait donc arriver, non pas seulement à leur entreprise, mais à eux-mêmes personnellement. C’est assez efficace en général.

L’autre possibilité, c’est de montrer à ces organisations qu’elles ont en fait, dans la plupart des cas, déjà tout ce qu’il faut en interne pour lutter contre des cyberattaques. Elles n’ont même pas besoin de dépenser plus d’argent, mais juste d’implémenter correctement les solutions qu’elles possèdent déjà. Il leur suffit juste de suivre très scrupuleusement leur check-list. Je leur dis souvent : « Donnez l’argent aux responsables de l’IT plutôt qu’à des spécialistes cyber extérieurs. Les logiciels que vous possédez sont déjà en général bien conçus pour vous défendre. Et vous pourrez améliorer votre protection de 40 à 50% sans dépenser plus d’argent ». 

« Il faut espérer que les candidats à l’élection présidentielle sont bien protégés »

Comme vous le savez, nous entrons en France dans une période d’élection présidentielle. Pensez-vous que nous devons nous attendre à de nombreuses cyberattaques visant certains candidats ? 

I.G. :  C’est déjà une réalité qui est intégrée en règle générale par les candidats. Il y a déjà et il y aura encore des cyberattaques. Lors de la précédente élection, l’équipe du président Macron répondait d’ailleurs extrêmement rapidement. Généralement, tout était réglé en moins de 4 heures. 

Cependant, la plupart des « attaques » viseront essentiellement les réseaux sociaux, pour en fait promouvoir des « fake news » et notamment des « deep fake », avec même des vidéos trafiquées. Il faut espérer que les candidats à l’élection présidentielle eux-mêmes sont bien protégés. Mais le vrai danger, c’est tout le staff autour d’eux, qui lui l’est en général beaucoup moins.

La cybercriminalité met en danger nos démocraties, nos entreprises… est-ce un phénomène irréversible ?

I.G. : Nous nous adapterons. Comme nous nous adapterons sans doute au changement climatique ou à la pandémie. Le problème tient plus au cycle de réaction de nos gouvernants et au temps nécessaire à prendre des mesures efficaces face à l’importance de la menace. Compte tenu de cette inertie, on peut espérer une amélioration de la situation vers 2025, mais sans doute pas avant.