Le 18 janvier dernier, le CICR a annoncé avoir découvert que certains de ses systèmes ont fait l’objet d’une cyberattaque impliquant une violation de la sécurité de plus de 500'000 données personnelles de bénéficiaires de l’aide de cette grande organisation humanitaire.
Quand bien même l’incident est encore en cours, je vous propose dans cet article de nous arrêter quelques instants sur deux questions qui font de cette cyberattaque un cas particulier.
Pourquoi les données du CICR sont-elles plus sensibles que les autres ? et
Comment le CICR gère cet incident de sécurité jusqu’ici ?
Pourquoi les données du CICR sont-elles plus sensibles que les autres ?
La multiplication des cyberattaques contre le secteur de la santé depuis le début de la pandémie avait déjà montré le peu de considération que certains hackers ont pour la vie humaine. En paralysant l’activité des hôpitaux au moyen de ransomware, ou en s’en prenant directement aux patients de cliniques ou cabinets de psychothérapie par des menaces de divulgation de données personnelles sensibles si la victime ne paie pas la rançon demandée, on s’avait que pour les cyber criminels l’appât du gain prime sur toute valeur humaine. Tout comme les criminels « traditionnels » en fait…
Cette attaque contre le CICR est particulièrement odieuse car elle touche les plus démunis et, de surcroit, en grand nombre : Des victimes de conflits, des personnes portées disparues et leurs familles, des enfants non accompagnés ou séparés de leurs proches, des détenus ou encore d’autres personnes impactées par une catastrophe naturelle. En résumé, des gens dans la précarité la plus totale à qui l’on vient rajouter la menace que les risques qu’ils cherchent à fuir peuvent se matérialiser d’une minute à l’autre si les données qu’ils ont confiées à cette organisation sont exploitées par les hackers ou leurs commanditaires.
Alors que le grand public a tendance à se lasser de cette suite incessante d’annonces de violations de sécurité, il ne faut pas s’y tromper : l’attaque sur le CICR marque une étape dans l’escalade de la cybercriminalité. Sur le terrain, les organisations humanitaires prennent des risques au quotidien pour mener leurs missions. Désormais on a la confirmation que dans le monde numérique également, il faut apprendre à vivre avec une menace qui n’a plus rien de virtuel.
Comment le CICR gère la crise ?
Bien, il faut le reconnaître. Contrairement à d’autres entreprises ou organisations empêtrées dans la gestion d’une cyberattaque impliquant des données personnelles, on voit que le CICR n’avait pas attendu que la violation survienne pour réfléchir à sa réponse. Heureusement me direz-vous au vu de la sensibilité des données traitées. Mais, comme le démontre une récente étude de la fondation ethos sur la maturité des entreprises en matière de numérique, ce n’est de loin pas une évidence de passer des jolies déclarations de principes à des mesures efficaces et opérationnelles.
Le fait que le CICR sache précisément quelles sont les catégories de données concernées et quels sont les systèmes impactés démontre sa maîtrise de son système d’information. Sauf nouvelle révélation, la bonne ségrégation des environnements semble avoir permis de contenir l’attaque. Le pire aurait été de ne pas détecter qu’une intrusion ait eu lieu, ou de le savoir sans pouvoir déterminer précisément les systèmes impactés ni quelles données s’y trouvaient. Présenté ainsi, cela semble être une évidence. Mais réfléchissez quelques instants sur la situation de votre propre entreprise: Savez-vous quels systèmes contiennent quelles catégories de données, en quelle quantité et qui est censé pouvoir y accéder ? Vu la maturité informatique de nos entreprises, il est permis d’en douter.
On sait aussi que des mots de passe de quelque 2000 employés et volontaires de la Croix-Rouge et du Croissant-Rouge ont également été piratés. Ça, cela semble moins bien… Mais sans connaître le contexte, ni savoir si ces identifiants étaient correctement chiffrés, il est difficile de se prononcer.
La communication de crise est très bien gérée. Ici nulle tentative de minimisation de l’importance de ce qui s’est passé ni des risques pour les personnes concernées. La transparence semble totale, dans la mesure évidente où il ne s’agit pas non plus de publier des informations qui profiteraient à l’adversaire.
We are appalled that this humanitarian information has been compromised.
— ICRC (@ICRC) January 20, 2022
Our most pressing concern now is the potential risks for people that the Red Cross and Red Crescent network seeks to protect and assist.@RMardiniICRC's response to the cyber attack 👇 pic.twitter.com/lBBGlnMf1p
un Plan de réponse eprouvé
La rapidité de l’annonce, l’implication du Top management, la mise à jour des publications relatives à l’évolution de la situation, les actions prises envers les partenaires et les victimes… tout cela démontre que le CICR avait anticipé ce genre de scénario et préparé en amont tout ce qui peut, respectivement doit l’être lorsque l’on traite des données aussi sensibles. Sans aller jusqu’à dire que le CICR peut en sortir grandi, la clarté et l’honnêteté affichées contribuent à minimiser l’impact de l’incident. Personne ne pourrait reprocher au CICR d’être victime d’une attaque ciblée et sophistiquée alors que les mesures organisationnelles et techniques semblent avoir été correctement implémentées.
A contrario, si rien n’avait été mis en œuvre et que la communication devait sentir l’improvisation, alors la confiance envers l’institution serait irrémédiablement entachée.
Update 10.02.2022
Deux mois avant de découvrir l’attaque, c’est long ?
Pas vraiment… On apprend dans un article du Temps que les investigations ont démontré que la première attaque datait du 9 novembre 2021. Il est évident que plus tôt une attaque est découverte, meilleures sont les chances de limiter son impact. Encore faut-il savoir de quelle type d’attaque on parle. Une attaque par ransomeware va être rapidement détectée puisque les systèmes ne sont plus disponibles et/ou les hackers prennent contact pour exiger le paiement d’une rançon. A l’inverse, un piratage très ciblé a un objectif différent et les attaquants ont tout intérêt à rester discret afin d’exploiter un maximum les avantages obtenus par leur intrusion. Ce type d’attaque est par conséquent très difficile à détecter. Seuls des contrôles réguliers et approfondis sont susceptibles d’alerter les équipes en charge de la sécurité, ce qui en l’occurence semble avoir été le cas.
Pour rappel en 2016, Ruag avis mis plus de 17 mois avant de constater que le virus Turla (connu depuis 2008….) était présent sur ses systèmes et avait permis l’exfiltration de 23 GB de données, sans que l’entreprise d’armement appartenant à la Confédération ne puisse de surcroit identifier le contenu des données volées !
Les mesures de sécurité tant organisationnelles que techniques an vigueur au CICR semblent donc bien meilleures.
En conclusion, on ne sait pas à ce jour qui se cache derrière cette attaque. Le fait que les données ne semblent pas avoir été publiées et qu’aucune demande de rançon n’ait été faite peut laisser songeur. Soit le hacker se retrouve avec un butin inexploitable, personne n’osant se risquer à monnayer de telles informations au vu de l’indignation que cet acte a suscité. Ou alors cette attaque a été commanditée par des gens dont les intentions ne sont aucunement financières… Ce qui serait encore plus terrifiant pour les personnes concernées.
S. Droxler