Le risque systémique en cybersécurité est encore mal défini

Dans une étude récente, des experts en cybersécurité évaluent, à travers des scénarios concrets, les probabilités d’attaques généralisées de logiciels malveillants et l’ampleur des impacts qu’auraient des pannes d’infonuagiques. Les mesures de prévention et d’atténuation des cyberrisques, même combinées, ne permettent pas de protéger une organisation à 100 % de ces événements, analysent aussi ces experts. 

Avec la collaboration de la firme CyberCube, Munich Re a mené une enquête à laquelle ont participé 93 professionnels de la cybersécurité. Les résultats du sondage ont été publiés le 15 juillet dernier. Il s’agit de la troisième édition de cette enquête. Les deux sociétés en mèneront une autre en 2026.

L’objectif de l’enquête est de faire progresser la compréhension de l'industrie de l’assurance sur le sujet, notamment en ce qui concerne les stratégies d’atténuation des risques liés aux cyberévénements systémiques. 

« Un défi fondamental de la modélisation des cyberrisques est le manque d’événements concrets à risque extrême, tels que des logiciels malveillants systémiques ou des pannes de nuage [cloud en anglais] multirégionales. Cette étude constitue la meilleure tentative pour paramétrer les scénarios plausibles les plus pessimistes et établir un consensus d’experts », écrivent les auteurs. 

Scénario 1 : le logiciel malveillant 

Trois grands thèmes (ou scénarios) sont analysés dans le rapport qui émerge de cette enquête. Le premier est la distribution à grande échelle d’un logiciel malveillant susceptible de paralyser un grand nombre de systèmes dans plusieurs pays. 

Les virus devenus tristement célèbres, comme WannaCry et NotPetya en 2017, ont affecté moins de 0,5 % des systèmes, selon l’estimation la plus élevée rapportée par les spécialistes du domaine. D’autres événements du même genre sont donc prévisibles, indique le rapport. 

Cela dit, un virus qui réussirait à infecter 10 % des systèmes serait surprenant pour les experts consultés lors de l’enquête, et un taux d’infection de 25 % serait considéré comme étant bouleversant (« shocking » dans l’étude). Même une paralysie complète affectant 5 % des systèmes serait un scénario surprenant, d’après les répondants de l’enquête. 

La rapidité de l’infection provoquée par un logiciel malveillant est aussi un élément évalué par les professionnels sondés. D’après eux, atteindre un taux d’infection de 5 % à l’échelle mondiale en moins d’une semaine ne serait pas inattendu. Mais un tel taux en trois jours serait très surprenant, quoique toujours plausible. Un scénario où une telle infection se répandrait en 12 heures est quant à lui considéré comme « extrême », bien que les personnes sondées estiment encore que c'est dans le domaine du possible. 

« En ce qui concerne l’accès initial et la propagation, les facteurs les plus plausibles contribuant aux événements de grande ampleur liés à des logiciels malveillants ont été identifiés comme étant les vulnérabilités des logiciels, les mises à jour de la chaîne d’approvisionnement des logiciels et les vulnérabilités des systèmes d’exploitation », précisent les auteurs. 

L’importance d’une bonne hygiène numérique 

Des moyens permettant de prévenir la propagation d’un virus et d’atténuer ses impacts ont été suggérés.

La gestion des correctifs, la segmentation du réseau et la mise à jour des sauvegardes se sont révélées les stratégies les plus efficaces. Ces trois contrôles ont considérablement réduit la probabilité et l’impact des attaques de logiciels malveillants. 

Selon les experts sondés, les entreprises qui maintiennent une bonne hygiène numérique en appliquant ces trois stratégies réussiront à limiter de 50 à 80 % la probabilité d’une telle infection, et à réduire son impact dans la même proportion si leur système est malgré tout infecté. 

« Il est intéressant de noter qu’aucun expert n'a estimé que l’adoption de toutes ces méthodes d’atténuation pouvait protéger une organisation à 100 %, ce qui montre leur perception qu’un certain degré de risque persiste toujours. Ces informations sont particulièrement précieuses compte tenu du manque d’événements catastrophiques antérieurs dont on peut tirer des enseignements », indiquent les auteurs de l'étude. 

Scénario 2 : le nuage en panne 

Le risque d’une panne majeure d’infonuagique est le deuxième thème abordé dans l’enquête. Une proportion de plus en plus élevée des processus d’affaires repose désormais sur l’utilisation de fournisseurs de services d’infonuagique (ou CSP, pour cloud service providers). C’est particulièrement le cas dans les technologies de l’information (TI), les télécommunications, les services financiers, les soins de santé et le commerce de détail. 

L’analyse du risque devient plus complexe lorsque des systèmes internes sont étroitement entremêlés avec des services offerts dans le nuage par les grands fournisseurs comme Microsoft Azure, Amazon Web Services (AWS) ou Google Cloud.

La dépendance des entreprises à un CSP varie selon leur taille. Celles ayant des revenus entre 10 et 100 millions de dollars (M$), dites de petite taille ou de taille moyenne, sont considérées comme étant les plus dépendantes.

Certaines entreprises plus sophistiquées ont recours à plusieurs CSP, mais les experts estiment qu’il est improbable que l’organisation puisse transférer ses systèmes d’un fournisseur à l’autre si une panne majeure frappe l’un d’entre eux. 

Panne plus longue, pertes financières plus sévères 

La durée et l’ampleur de la panne sont aussi analysées par les professionnels sondés. « Les répondants ont indiqué qu’une panne d’une seule journée de leur CSP le plus critique entraînerait probablement une perte financière égale à 1 % de leur chiffre d’affaires annuel », note l’enquête. 

Si la panne dure jusqu’à cinq jours, plus de la moitié des répondants jugent que les pertes seront multipliées sept fois ou plus. 

Plus de la moitié des entreprises configurent leur environnement infonuagique à l'interne, rapportent les auteurs du rapport. « L’enquête révèle que cette configuration interne multiplie par près de deux le risque d’erreur de configuration par rapport aux configurations gérées par des experts externes. Cela met en évidence une vulnérabilité opérationnelle majeure que les évaluations de risques standard ne prennent pas toujours en compte. » 

Scénario 3 : les risques émergents et systémiques 

Enfin, les experts ont commenté les risques émergents et systémiques associés à la cybersécurité.

Ils ont par exemple été invités à évaluer la probabilité de divers cyberévénements à grande échelle, comme ceux compromettant la chaîne d'approvisionnement logicielle, les rançongiciels au niveau des appareils et diverses attaques. Les résultats montrent que plusieurs scénarios, bien que lointains, sont encore considérés comme plausibles et peuvent être sous-représentés dans les modèles de risque actuels. 

Les impacts variables des grands modèles de langage (LLM, pour Large Language Model), les objets connectés et l’intelligence artificielle générative sont aussi considérés. 

« Les grands modèles de langage se sont révélés être des outils d’amélioration de la productivité dans tous les secteurs, permettant aux utilisateurs d’apprendre et de mettre en œuvre rapidement des méthodologies de cybersécurité, tant en défense qu’en attaque », indiquent les auteurs du rapport.

Par exemple, les LLM permettent de déployer à grande échelle des campagnes d’hameçonnage sophistiquées, alors que celles-ci étaient auparavant laborieuses. « À l’inverse, les LLM permettent également aux praticiens d’analyser le sentiment, l’origine et les communications antérieures des messages afin de mieux détecter les tentatives d’hameçonnage », soulignent-ils.