La menace des mauvais acteurs russes est réelle; Si le gouvernement américain interrompt les opérations offensives, il pourrait être dans le secteur privé pour reprendre la cause des perturbations, soutient Christopher Whyte.
L’ordre récent qui dirigeait le cyber commandement américain de stopper toute planification des cyber-opérations offensives contre la Russie est plus qu’un changement tactique – c’est une retraite pure et simple de dissuasion à un moment où la cyber-agression russe ne montre aucun signe de ralentissement.
À une époque où le cyber-conflit est constant et les adversaires repoussent les limites partout où ils ressentent la faiblesse, cette décision signale aux pirates russes, aux services de renseignement et aux groupes criminels affiliés que les États-Unis ne contestent plus activement leurs opérations.
La cyber dissuasion n’est pas théorique; C’est un résultat tangible de la menace, à la fois réelle et perçue, de la cyber-pouvoir américaine. C’est ce qui empêche les gangs de ransomware russes de paralyser les infrastructures américaines en toute impunité et ce qui empêche les pirates parrainés par l’État de violer les réseaux d’énergie ou les systèmes électoraux.
En reculant de la cyber planification active contre la Russie, les États-Unis risquent de donner aux adversaires exactement ce qu’ils veulent: moins d’obstacles, moins de pression et plus de liberté pour dégénérer leurs cyber-opérations. Et la perte des efforts fédéraux signifie en particulier quelque chose de nouveau pour l’industrie privée occidentale: l’espace respiratoire dans lequel la Russie peut évoluer plus pleinement sa boîte à outils d’interférence.
La cyber dissuasion joue un rôle pratique dans la défense
Pendant des années, le cyber commandement américain s’est appuyé sur l’engagement persistant pour maintenir les adversaires déséquilibrés. Cette stratégie n’attend pas simplement que les cyberattaques se produisent; Il s’efforce activement de dégrader les capacités contradictoires avant de pouvoir frapper. Depuis 2018, c’est à quoi ressemblait la dissuasion dans le cyberespace – pas une impasse de la guerre froide, mais un effort continu pour rendre les cyber-opérations contre les États-Unis plus durs, plus coûteux et moins efficaces.
L’histoire récente montre comment fonctionne cette approche. En 2018, les cyber-forces américaines ont pris des mesures directes contre l’agence de recherche sur Internet de la Russie, perturbant ses opérations de désinformation au cours des élections à mi-parcours. En 2020, les partenaires du cyber commandement et du secteur privé ont démantelé le Trickbot Botnet, un catalyseur clé des campagnes russes du ransomware et de l’espionnage.
De même, la campagne contre le groupe de ransomware russe Revil en 2021 a considérablement réduit la capacité du groupe à lancer des attaques perturbatrices contre les entreprises américaines. Chacune de ces actions a imposé des coûts réels aux cyber-acteurs russes, les forçant à reconstruire les infrastructures, à repenser les stratégies et à hésiter avant de lancer de nouvelles opérations. Les opérations en cours en Ukraine par les États-Unis et les équipes de chasse alignées étendent cet effet.
L’arrêt de la planification offensive supprime cette pression critique. Il donne aux cyber-unités russes et aux criminels affiliés une salle de respiration qu’ils n’ont pas eue depuis des années, leur permettant d’affiner les techniques, de développer de nouveaux vecteurs d’attaque et de préparer des campagnes plus agressives. Ce n’est pas une spéculation – c’est ainsi que les adversaires fonctionnent. Les cyber campagnes sont itératives et lorsque les défenses s’affaiblissent, les attaques augmentent.
Comment la Russie va nous exploiter l’inaction américaine
Moscou n’a jamais considéré le cyberespace comme un domaine de retenue dans la façon dont plusieurs administrations américaines ont. Il a systématiquement utilisé les cyber-opérations pour perturber les élections, paralyser les infrastructures, voler des données sensibles et influencer les salaires conçus pour déstabiliser les institutions occidentales pendant plus de quatre décennies. En ce moment, où les États-Unis montrent chaque signe de l’assouplissement de son cyber-recul contre de telles activités, nous devons nous attendre à une accélération de trois domaines de menace clés.
Premièrement, nous verrons presque certainement une augmentation du ciblage des infrastructures critiques. La Russie a démontré à plusieurs reprises une volonté de saboter les réseaux électriques, les systèmes industriels et les chaînes d’approvisionnement. Il y a dix ans, en Ukraine, des pirates russes ont fermé l’électricité pour des centaines de milliers de cyberattaques ciblées.
Les États-Unis ont jusqu’à présent évité une attaque à grande échelle similaire, mais si les cyber-agents russes croient qu’ils ne sont plus confrontés à des représailles offensives, ils peuvent être enhardis à dégénérer leur sondage sur les systèmes d’énergie, d’eau et de transport américains pour refléter les actions récentes liées à des acteurs comme le Typhon volt de la Chine.
Deuxièmement, nous devons nous attendre à des ransomwares russes d’escalade et à d’autres activités criminelles. Les groupes de ransomware russes ont toujours fonctionné comme des cyber-mercenaires de facto, générant des milliards de bénéfices illicites tout en sapant les entreprises occidentales et les services publics de manière à s’aligner sur les intérêts politiques de Moscou.
Des groupes comme Lockbit et Conti ont été temporairement affaiblis par les répressions des forces de l’ordre et les efforts de Cyber Command, mais avec les États-Unis, nous devons nous attendre à ce que ces acteurs réorganissent et intensifient les attaques. Les écoles, les hôpitaux et les sociétés pourraient une fois de plus se retrouver à la merci des opérateurs de ransomwares qui ne craignent plus les efforts de perturbation des États-Unis.
Enfin, il semble certain que les prochaines années seront caractérisées par l’expansion des opérations cyber-économiques et influencent les opérations de guerre. Si le cyber commandement américain ne planifie pas les contre-mesures contre les cyber campagnes parrainées par l’État russe, les agences de renseignement de la Russie en profiteront pleinement. L’augmentation des attaques de la chaîne d’approvisionnement, des campagnes de phishing contre les réseaux gouvernementaux et d’entreprise, et l’exfiltration secrète des données des secteurs de la technologie et de la défense semblent inévitables.
De même, l’appareil de désinformation en ligne qui a longtemps ciblé les élections américaines pourrait devenir plus agressif en l’absence de contre-opérations actives et l’ascendant de la politique narrative perturbatrice du président Trump.
En bref, les cyber-acteurs russes testent toujours les limites de ce qu’ils peuvent s’en tirer. Mais, en supprimant la cyber planture offensante de l’équation, les États-Unis perdent l’opportunité de comportement adversaire et invitent ainsi activement l’escalade et l’évolution des menaces.
Leadership du secteur privé: la dissuasion alternative est-elle possible?
Si le gouvernement américain actuel ne mènera pas à la cyber dissuasion, le secteur privé doit évidemment reprendre le manteau. Les dirigeants de la sécurité, les CISO et les chefs de file de l’industrie doivent supposer que les cyber-acteurs russes deviendront plus agressifs – sans parler de disposition à expérimenter – dans les prochains mois et se préparer en conséquence.
Bien que les entreprises privées n’aient pas le pouvoir de lancer des cyber-opérations offensives, elles peuvent toujours mettre en œuvre des mécanismes de dissuasion alternatifs qui augmentent le coût de la cyber-agression et réduire les récompenses pour les attaquants.
Dans l’extrémité supérieure, les grandes entreprises devraient étendre les stratégies de cyber-défense actives, y compris les technologies de tromperie, les outils d’engagement adverse et le partage de renseignement plus agressif. Déploiement des tactiques de cyber-tromperie – jetons aiguës, fichiers canariens, systèmes de leurre, etc. – oblige les adversaires à dépenser de plus grandes ressources en reconnaissance, augmentant leur risque d’exposition et d’échec. En intégrant des éléments trompeurs dans les réseaux, les entreprises peuvent ralentir les pirates russes, confondre leurs tactiques et créer de l’incertitude sur les objectifs réels.
Les joueurs du secteur privé devraient également hiérarchiser toute opportunité qui les mène au-delà des efforts de sécurité cloisonnés. Les alliances de partage de renseignement inter-industrielles devraient aller au-delà des indicateurs de compromis de signalement et coordonner plutôt la chasse aux menaces actifs et les efforts d’atténuation conjointe.
Le secteur privé a déjà montré qu’il peut fonctionner à ce niveau – Microsoft et Google ont décroché l’infrastructure cybercriminale soutenue par l’État dans le passé. Désormais, les équipes de sécurité doivent formaliser les cadres de réponse conjoints qui peuvent neutraliser les menaces avant de dégénérer en violations majeures.
Dans le même temps, alors que les acteurs du secteur privé ne peuvent pas légalement effectuer des cyber-opérations de représailles, ils peuvent travailler dans des cadres juridiques et techniques existants pour perturber les infrastructures adversaires.
Cela comprend:
- Démantèlement agressif des serveurs de commandement et de contrôle utilisés par des logiciels malveillants russes connus par des retraits légaux et des ordonnances judiciaires;
- Déploiement des environnements synthétiques pour attirer et épuiser les ressources adversaires, les obligeant à perdre du temps et des efforts sur les leurres; et
- Tirer parti de l’analyse des menaces axée sur l’IA pour les tactiques, techniques et procédures adverses connues de liste noire avant qu’elles ne soient utilisées dans les opérations en direct.
Enfin, si la dissuasion par des représailles est hors de la table, la seule alternative est la dissuasion par le déni – rendre les attaques réussies si difficiles et coûteuses que les adversaires sont découragés d’essayer. Cela réaffirme un besoin de plus que les bases des cyber-défense en tant que norme dans toute l’industrie pour, entre autres: (1) mettre en œuvre des modèles de sécurité zéro-frust pour compartimenter l’accès et prévenir les violations à grande échelle; (2) déployer des capacités de réponse automatisées qui peuvent isoler et neutraliser les intrusions en quelques minutes plutôt qu’en heures ou jours; et (3) gérer régulièrement des simulations de cyberattaques à tir en direct aux défenses de test de stress, en particulier contre les TTP russes.
La dissuasion doit se poursuivre, avec ou sans soutien du gouvernement
L’arrêt de la cyber-planification offensante contre la Russie ne désamorce pas les tensions – cela crée une ouverture pour les adversaires à exploiter. Les professionnels de la sécurité du gouvernement et de l’industrie doivent reconnaître que la Russie profitera de ce changement de politique pour accélérer les cyber opérations. Bien que la décision du gouvernement américain puisse supprimer ce que beaucoup considèrent comme le principal outil de dissuasion du pays, il ne supprime pas la nécessité de la dissuasion elle-même.
Si le leadership gouvernemental ne veut pas agir, l’industrie privée et les professionnels de la sécurité doivent développer leurs propres stratégies de dissuasion. La cyberdéfense active, la collaboration de renseignement, les perturbations préventives et la dissuasion axées sur la résilience ne sont pas seulement des réponses théoriques; Ce sont maintenant des stratégies de survie essentielles. La communauté de la cybersécurité ne doit pas attendre la prochaine vague de cyber-agression russe – car elle est déjà en route.
