Le jeu du blâme : l’UE critiquée pour son approche « fragmentée et lente » de l’attribution des cyberattaques

L’Union européenne manque de cohérence lorsqu’il s’agit de répondre aux cyberattaques en raison de problèmes d’attribution, met en garde un nouveau rapport.

Dans ‘Attribution : un défi majeur pour les cybersanctions de l’UE‘, Annegret Bendiek et Matthias Schulze de l’Institut allemand des affaires internationales et de sécurité analysent les réponses politiques aux incidents de cybersécurité WannaCry, NotPetya, Cloud Hopper, OPCW et Bundestag et concluent que le processus d’attribution a tendance à être fragmenté et lent.

« À l’heure actuelle, chaque État membre procède à sa propre attribution et évaluation politique et juridique des cyber-incidents », a déclaré Schulze. La gorgée quotidienne. « Étant donné que les capacités varient, il est possible que les États membres évaluent le même incident de manière très différente, ce qui conduit à une réponse fragmentée.

« Les cyber-sanctions sont un outil de puissance douce, et si elles veulent fonctionner, elles ont besoin d’un soutien fort et unanime des États membres de l’UE pour envoyer un message clair aux adversaires. »

Diagnostiquer le problème

Pour établir l’attribution, l’UE s’appuie trop sur les renseignements des partenaires de l’OTAN, suggère le rapport, et la pondération des critères pour établir ce qui constitue un crime n’est pas claire.

Pendant ce temps, les réalités techniques et les faits juridiques pour classer et poursuivre les cyberattaques ne correspondent pas toujours.

« À l’heure actuelle, il existe une liste de critères auxquels les cyber-incidents doivent répondre, mais la hiérarchisation de ces principes n’est pas claire », déclare Schulze.

« Qu’est-ce qui pèse le plus lourd : l’attaque contre les institutions démocratiques, les pertes en vies humaines – un rançongiciel contre les hôpitaux – ou des perturbations à grande échelle comme NotPetya avec des milliards de dommages ? »

Les auteurs concluent que l’UE devrait renforcer les critères juridiques et harmoniser les normes de preuve pour l’attribution.

Approche avec prudence

Bob McArdle, directeur de la recherche sur les menaces avancées chez Trend Micro, une société de cybersécurité, déclare qu’il est important d’être prudent lorsque l’on tente d’établir l’attribution – et parfois mieux de ne pas essayer du tout.

« L’attribution est difficile, prend du temps, est sujette à des conclusions trompeuses en raison du manque de toutes les données, et surtout peut avoir un impact élevé si elle n’est pas effectuée correctement », a-t-il déclaré. La gorgée quotidienne.

« Il est relativement trivial pour un groupe qualifié de planter de faux drapeaux, tels que le TTP d’un autre groupe, des chaînes de texte dans une certaine langue ou l’utilisation de l’outil préféré d’un autre groupe, dans le but spécifique de pousser l’industrie de la sécurité à mal diagnostiquer sa source. .

McArdle ajoute : « À une époque où une cyberattaque peut immédiatement entraîner des retombées politiques majeures, nous pensons que c’est tout simplement irresponsable.

TU POURRAIS AUSSI AIMER Le gouvernement du Kazakhstan ferme Internet à la suite de manifestations dans tout le pays

Et là où l’attribution est souhaitable et possible, déclare Jason Steer, stratège principal en matière de sécurité chez Recorded Future, cela prendra inévitablement du temps.

« L’attribution est très difficile à faire avec un degré élevé de confiance, ce qui nécessite beaucoup de temps », a-t-il déclaré. La gorgée quotidienne.

« Que ce soit dans le contexte de l’attribution d’une organisation privée ou de l’UE/mondial, cela prend trop de temps et peut souvent être impossible ou ne pas être une bonne utilisation des ressources. La capacité et les restrictions de partage d’informations sensibles rendent cela encore plus difficile.

« Petits ajustements tactiques »

Afin d’améliorer la coordination, le rapport propose l’introduction du vote à la majorité qualifiée comme condition préalable à l’adoption de cyber-sanctions.

Mais, prévient Schulze, « cela est politiquement contesté et difficile à réaliser. Il est donc probable qu’ils viseront des ajustements tactiques plus petits, tels que le renforcement des exigences légales ou l’accélération du processus d’échange d’informations pour l’attribution en procédant à des changements organisationnels.

En fait, l’UE n’a fait qu’une seule fois utilisé des sanctions – en 2020, à la suite d’une tentative de cyberattaque contre l’Organisation pour l’interdiction des armes chimiques, et en relation avec les groupes WannaCry, NotPetya et Operation Cloud Hopper.

Selon Jamie Collier, conseiller principal en renseignement sur les menaces chez Mandiant, cela constituait un pas dans la bonne direction. Cependant, dit-il, l’attribution et les sanctions ne fonctionnent pas toujours.

«Nous avons déjà vu certains groupes APT chinois se taire pendant une période prolongée après avoir été publiquement appelés, mais il est prouvé qu’ils sont devenus moins sensibles à cela au fil du temps et sont maintenant plus susceptibles de reprendre leurs activités peu de temps après l’attribution publique,  » il dit La gorgée quotidienne.

« Bien que l’attribution ne dissuade pas toujours les groupes de cyberespionnage établis qui mènent déjà des activités, elle peut faire réfléchir les acteurs étatiques émergents d’autres pays – ceux qui sont plus sensibles à la pression internationale pourraient donc être plus hésitants à franchir les lignes rouges établies par l’UE ».