L’industrie de la cybercriminalité est largement organisée autour d’une motivation: amener la personne, l’entreprise ou l’organisation cible à débourser une somme d’argent importante. Mais ce n’est pas le seul. Depuis la création du premier logiciel malveillant, d’autres types d’intérêts sont allés de pair avec les violations de sécurité et, dans le contexte international actuel, prennent une nouvelle pertinence.
En ce qui concerne la cybercriminalité, les histoires sont souvent racontées en nombre. D’ici 2025, il devrait coûter 10,5 billions de dollars dans le monde. S’il s’agissait d’un pays, son économie le classerait troisième dans le monde, derrière les économies américaines et chinoises. L’argent collecté par la fraude en ligne – du phishing aux faux sites Web – a totalisé environ 1,03 billion de dollars. Avec la montée en puissance des ransomwares et des attaques financières contre de grandes organisations, on pourrait penser que la cybercriminalité ne concerne que l’argent.
Rien ne pourrait être plus éloigné de la vérité. Les motivations de ces crimes vont au-delà de la composante économique, bien que cela ait un poids important. Certaines études mettent le pourcentage d’attaques contre les gouvernements motivés principalement par des raisons financières à 95% de toutes les violations de sécurité, tandis que d’autres parlent de 55% des groupes agissant à la recherche de revenus. Le fait que la motivation ne soit pas financier ne signifie pas que l’effet n’est pas également dommageable, bien qu’en termes de coût de réputation, de stratégie ou de dommages aux infrastructures critiques. Patricia Alonso García, responsable de l’incibe, souligne qu ‘«il est de plus en plus courant de trouver d’autres types de motivations qui cherchent à provoquer le plus grand impact médiatique possible». Elle cite des raisons idéologiques ou politiques en premier lieu, «visant à déstabiliser une institution, un gouvernement ou une entreprise». Dans le contexte international actuel, leur impact se fait sentir: selon le dernier rapport du Forum économique mondial sur la cybersécurité, près de 60% des organisations affirment que les tensions géopolitiques ont affecté leur stratégie, tandis qu’un PDG sur trois a cité une perte d’informations sensibles et de cyberespionnage comme leur préoccupation majeure.
«Nous sommes très redondants lorsque nous parlons de cybercriminalité, car nous l’associons toujours à des motivations économiques», explique Hervé Lambert, directeur mondial des opérations de consommation chez Panda Security. « Mais ce ne sont pas les seules raisons. » Lambert fait également référence au cyber-espionnage politique et militaire, «les États ou les acteurs liés à différents gouvernements» qui cherchent à s’infiltrer pour obtenir des informations stratégiques. Il comprend également la cyber-guerre: «Les attaques conçues pour faire des dégâts, désactiver, rendre les systèmes importants inutiles. Il n’y a pas de but lucratif, mais pour améliorer ou gagner une guerre ou faciliter le sabotage.»
Depuis que le ver Stuxnex a attaqué l’infrastructure nucléaire iranienne en 2010, la cyberattaque pour des raisons stratégiques ou politiques a souvent été utilisée comme outil de déstabilisation, comme en témoignent récemment les cyberattaques lancées depuis le début de l’invasion de l’Ukraine par la Russie sur les cibles ukrainiennes par des agents russes. Selon le dernier rapport de menace de l’agence européenne Enisa, les acteurs liés à l’État sont généralement bien financés et affrontés et non seulement ciblent les agences de pouvoir d’autres nations, mais peuvent également diriger leurs menaces dans d’autres organisations pour extraire des informations sensibles ou obtenir un financement pour leur pays. Cela pourrait également inclure des campagnes de désinformation qui, selon Juan José Nombela, directrice de la maîtrise en cybersécurité à UNIE Universidad, sont axées sur «la démoralisation et la démotivation de la population ou de l’armée».
Le hacktivisme est lié à la motivation idéologique, «les cybercriminels qui ne recherchent pas une fin économique, mais poursuivent plutôt une cause», comme l’explique Nombela. Ce type d’acteur peut attaquer des entreprises, des organisations ou même des gouvernements pour des raisons politiques, sociales ou éthiques.
Au début des années 1970, un programme expérimental a été développé qui s’est répandu automatiquement en copie un message aux ordinateurs sur le réseau existant, puis à l’Arpanet. Le programme, Creeper, a été le premier ver informatique et ses créateurs, Bob Thomas et Ray Tomlinson, n’avaient aucune intention malveillante, mais expérimentaient simplement au cours de ces années où l’informatique était une discipline naissante. L’ensemble de l’industrie de la cybercriminalité vient de cette idée et, même aujourd’hui, il existe un type de pirate qui pourrait être considéré comme hériter de cette tradition: ils ne recherchent pas les extrémités économiques, ni les idéologiques ou pour faire du mal. C’est ce que Lambert appelle «les motivations psychologiques liées aux défis personnels» et Nombela attribue aux «jeunes ou à ceux qui commencent dans le monde de la cybersécurité» qui cherchent à «gagner des points ou un prestige au sein de leur communauté». Nombela clarifie: «Généralement, ceux-ci sont dirigés contre les PME, car ils sont les plus vulnérables et leur servent également à apprendre».
Alonso García distingue ces motivations, qui recherchent la réputation ou la notoriété par la reconnaissance d’une réalisation personnelle, des autres qui «surviennent comme vengeance personnelle d’un employé ou d’un client mécontent». Nombela donne des exemples d’incidents internes ou externes: de miner le CISO ou de changer un fournisseur pour se venger d’une entreprise pour le personnel déloyal ou ceux qui viennent d’être licenciés. Dans le secteur de l’éducation, où il travaille, il ajoute le vol d’informations ou de piratage de systèmes par les étudiants qui, bien que cela n’implique pas de dommages économiques directs, peut entraîner de graves problèmes de réputation. Également dans la vengeance ou les dommages personnels, Lambert fait allusion aux cas individuels liés à une relation émotionnelle et personnelle du type de cyberintimidation.
«Ces motivations très différentes ne s’excluent pas mutuellement, car elles recherchent des objectifs différents», ajoute Alonso García. «Nous pouvons les trouver comme la seule motivation ou ils se complètent, ce qui rend les cyberattaques plus élaborées et complexes à analyser.» En d’autres termes, une personne ou un groupe peut avoir des intérêts politiques mais demander une rançon pour couvrir ses actions ou demander un financement; ou dans un contexte de troubles entre les pays, profitez pour lancer des attaques qui cherchent à profiter.
Implications de la cyber-défense
Au niveau de l’entreprise, connaître les principales motivations qui peuvent conduire à une cyberattaque est intéressante pour établir une meilleure stratégie de défense et de réponse aux incidents. Ou, comme le dit Alonso García, «anticiper les risques et répondre de manière proactive à l’incident».
«Dans le cyberespace, les dégâts sont rarement juste le compte bancaire. Les solutions doivent prendre tout cela en compte», ajoute Lambert. «Cela change absolument tous les paradigmes et l’ensemble du système de réponse et de prévention.» Il donne un exemple: si la stratégie se concentre uniquement sur la partie technologique, tout ce qui concerne la cyberintimidation ou le hacktivisme peut être laissé de côté. Nombela convient que la connaissance des motivations peut impliquer différentes modalités de défense. «C’est très différent, de mon point de vue. Nous revenons à la question de l’analyse des risques: quels sont les risques pour mon organisation? En dehors du fait qu’il y a toujours la possibilité d’une attaque financière – qui viendra généralement par ransomware, donc la possibilité de l’utilisateur devra être renforcé.»
Mais la stratégie à suivre devra être réorientée ou renforcée si, par exemple, nous travaillons dans un secteur critique d’un point de vue géopolitique, dans lequel, entre autres, la désinformation devra être prise en compte. Ou s’il s’agit d’un environnement hautement compétitif, où la possibilité de sabotage d’entreprise doit être prise en compte. Ici, il peut être nécessaire de favoriser les outils de renseignement des menaces ou les systèmes de prévention des fuites d’informations. Essentiellement, il s’agit de «anticiper en fonction de ce qui se passe autour de vous et anticipé. Ne soyez pas réactif, mais proactif», résume Nombela.
