August 8, 2022

LA TRIBUNE- As the former director of a federal agency devoted to cybersecurity, what is your analysis of the evolution of cyber attacks au cours des dernières années?

CHRIS KREBS- Aux États-Unis, les cybermenaces sont devenues une problematic majeure pour les entreprises depuis le debut des années 2010. Le piracy de Sony Pictures par des north korean hackers in 2014 there was a huge shock, which caused a general prize for conscience. It was already the same as the Iranian attacks of 2013 and 2014 against the American banks and the Sands casinos in Las Vegas…

Toute cette première vague a ensuite été suivie, from 2015, for them Russian cyberattacks against the Ukrainian energy gridwho ont constitute a new stage dans la mesure où elles ont pour la première fois mis en lumière le risk that hackers pouvaient constituter pour les infrastructures vitales d’un country.

In short, a troisième vague a été constituted by the tentatives d’interférence electorale de la Russie, in 2016 aux États-Unis et in 2017 in France. Nous avons donc assisté à des attaques de plus en plus nombreuses et sophistiquées de la part d’États comme la Russie, la Chine, la Corée du Nord et l’Iran. Also, in parallel, to an explosion of cybercriminality: if rançongiiels existent de longue date, ils sont au cours des cinq dernières années accru en volume, et surtout au level des sommes demandées. L’an passé, par exemple, nous avons vu des hackers sue des rançons de 20, 30, voire 40 million dollars.

Briefly, to measure that the numbers turn on a poids croissant dans notre existence, the opportunities for hackers multiply, qu’ils cherchent à destabiliser un pais or simply a faire de l’argent.

Assiste-t-on à des collusiones entre les cybercriminels motivés por l’apât du gain et les hackers professionnels, pilotés par des États, ou ces deux mondes rest-ils very distincts?

Ils tendent à voir chacun leurs objetifs propres, et les études conduites sur le sujet par des agences étatiques et des chercheurs en cybersécurité ont pour l’heure montré que les liens étaient assez limitedés. In return, on voit beaucoup de hackers que sont recrutés por un government en tant que contractants, voire même comme fonctionnaires à temps plein, et qui, en dehors de leurs heures de travail, lancent des attacks de rançongiciels pour leur propre compte. Cette pratique semble très present in Iran et in China, notamment.

In Russia, on voit également that the Kremlin favorably accuses the development of a vibrant ecosystem of cybercriminals. Whether you control it or not, the Russian government semble avoir an excellent connaissance of ce qui sein de cet écosystème, et in benefit of many manières. D’abord, cela offer a pool of recruitment to build a strategic cyberforce. Ensuite, cela permet de générer des canals de revenus parallèles pour l’économie russe. In short, cybercriminels tend to destabilize Western industries and economies, with the Kremlin’s strategic objectives.

You have once mentioned the Russian attacks on the Ukrainian energy grid from 2015 onwards. on the Colonial Pipeline oil pipeline. Faut-il s’inquiéter de nouvelles attaques sur les infrastructures strategiques dans un futur proche?

I thought in fact that certain États déploient des efforts croissants pour lancer ce type d’attaques paralysantes. Concerning the attack by Colonial Pipeline, the old agency, the CISA, and the FBI, they are attributed to des hackers proches du gouvernement chinois, que selon eux cherchaient ainsi à prouver qu’ils pouvaient causer à tout moment ce type de disruption. Plus récemment, at the beginning of the war in Ukraine, the Russie hacked Viasat pour interrupts them communications by satellite de l’Ukraine.

The question, desormais, est de savoir si ce type d’attaques peut aller plus loin en paralysant des capacités agricoles, industrielles ou technologiques. Je crains dans tous les cas qu’elles soient hélas amenées à se multiplicar.

J’imagine que vous avez suivi de près le volet cyberwar of conflict ukrainian. Avez-vous été surpris por ce que vous avez vu jusqu’à maintenant?

Of names experts s’attendaient à ce volet cyberguerre de l’invasion russe soit plus efficace ou en tout cas plus visible. Cela aurait inclus the disruption of communications technologies, the piracy of internet fournisseurs et des services de transport, briefly, de tous ces services critiques pour aveugler et paralyser l’Ukraine au moment de l’invasion. Cela ne s’est pas produit, sans que l’on sache vraiment pourquoi.

Il ya cependant bel et bien in a name of significant cyberattacks: outre Viasat, les russian hackers s’en sont notamment pris à des banques et entreprises industrielles. Et il est fort probable que nous en découvrions de nouvelles à mesure que le brouillard de guerre dissipe, que de nouvelles informations font surface et que des spécialistes analysent conflit en profondeur.

Il is également à craindre qu’à mesure that the war is prolonged, that the livraisons d’armes and western sanctions are poursuivent and that the economic and political conditions deteriorate in Russia, the Russian government soit tried to use new weapons à sa disposition, ce qui pourrait inclure des destructive cyberattaques directed against the western countries. Le processus d’entrée de la Finlande et la Suède dans l’nato is également à suivre de près dans la mesure où le Kremlin risque également de réagir par des cyberattaques contre ces deux pays.

Vous avez désormais launcé votre propre cabinet pour conseiller les entreprises en matière de cybersécurité. What are the trends that help businesses do they prepare for the années to come?

Il ya pour moi quatre grandes tendances à suivre de près. D’abord, I thought that the hackers vont cibler de plus en plus les points faibles dans la chaîne de valeur des entreprises, as well as the web service providers. Le Covid, in accélérant le travail à distance et la numérisation, a en effet conduit la plupart des entreprises à s’appuyer de plus en plus sur des services tiers pour des activités critiques, qu’il s’agisse du clouddu SaaS, ou de la gestion des ressources humaines.

Les acteurs malveillants sautent sur l’opportunité et ciblent de plus en plus ces prestataires de services. Le gouvernement américain, au côté de manyieurs gouvernements alliés, a récemment relayé une alerte à ce propos. The companies that are external to the management of a part of leurs données doivent donc s’assurer qu’elles le source auprès de fournisseurs de confiance.

Deuxièmement, et dans ce même contexte, les attacks de rançongiciels vont continue to multiply. Les cybercriminels ont en effet compris qu’ils pouvaient, avec ce type d’attaques, capitalize on les vulnérabités des entreprises à l’ère numerique, miser sur les mauvaises configurations dans le déploiement de services web, et se faire ainsi beaucoup d’argent , le tout en limitant les risques de se faire prendre grace aux cryptomonnaies.

Ce qui m’amène au troisième point : he web3, which bears a decentralized vision of the internet and which, if known at the time of a difficult period, is at the same time developing a new avenue of prochaines. Or, les technologies qui sous-tendent cette vision sont pour l’heure loin d’être au niveau en matière de sécurité, et les hackers en tirent profit: nous avons assisté à de nombreuses failles au cours des dernières années. In other, the decentralization fait that ce ne sont pas les entreprises les premières victims de ces operations de pirages, plus les utilisateurs finaux.

Enfin, je m’attends à ce les États misent largely sur la cyberguerre pour causer des dommages importants aux infrastructures des pays avec lesquels ils entreront en conflit, que ces conflits soient directs ou indirects.

Do you think that the strategy currently implemented by the States-Unis and the European Union for the risks of cyberattacks is relevant?

The plupart des gouvernements are currently in difficulty to find the regulations suitable to limit risks. The European Union s’est pour l’heure montrée plus determines that the États-Unis à mettre des règles in place et à les faire respecter, the future will tell if they are montrent effective or not. The NIS 2.0 directive aims to strengthen the EU’s arsenal in terms of cyber security, and the Royal-Union plan also applies to its own nature.

Aux États-Unis, nous avons davantage opté pour le laissez-faire, ce qui à mon avis bénéficie aux cybercriminels. Je suis cependant sceptique quanta aux capacités des autorités à mettre en place des régulations efficaces pour contrer les risques en matière de cybersécurité : cela quiert a level of sophistication et de maturité sur ces questions que n’est malheureusement pas là aujourd’hui. Cela ne concerne du reste pas que le gouvernement, mais aussi l’industrie de la cybersécurité elle-même. Nous luttons encore pour define an optimal cadre et des technologies likely to reduce the risks to a satisfactory level.