Sécurité : Après avoir été régulièrement ciblée par des campagnes de ransomware au cours des dernières semaines, l’Italie s’est en enfin décidé à passer à l’offensive dans ce dossier.
L’heure est à la contre-attaque dans la Grande Botte. Après avoir subi de multiples campagnes de cyberattaques ces dernières semaines, les autorités italiennes ont pris conscience de la nécessité d’améliorer les cyberdéfenses du pays, alors même que le ministre de l’innovation technologique, Vittorio Colao, avait déjà tiré la sonnette d’alarme en juin, en affirmant que « plus de 90% des serveurs de l’administration publique ne sont pas sécurisés ».
Une alerte qui n’a pas suffi. Le 1er août, le principal centre de données de la région du Latium a été frappé par une attaque de ransomware, qui a rendu inaccessibles nombre de ses services en ligne, dont la plateforme de réservation de vaccins COVID-19. Toutes les données ont été chiffrées et les attaquants ont demandé une rançon en bitcoins pour permettre aux autorités de les récupérer. Par chance, les techniciens ont pu restaurer les données volées à partir d’une copie de sauvegarde. Rebelote le 18 août lorsque l’agence de santé de la région de Toscane a également été la cible de criminels qui ont pu pénétrer ses défenses en ligne et détruire certaines données statistiques et épidémiologiques.
Auparavant, des campagnes de ransomware avaient touché de grandes entreprises comme le groupe énergétique Enel, Campari, Geox, Tiscali, Luxottica, et des hôpitaux comme le Spallanzani à Rome et le San Raffaele à Milan – mais avec des résultats limités. « Il y a un problème de dette technique avec les administrations publiques locales et centrales. Celles-ci travaillent avec de très vieux serveurs et n’ont pas de budgets assez solides pour mettre à jour leur infrastructure réseau », explique à ZDNet Luisa Franchina, la présidente de l’Association italienne pour les infrastructures critiques.
Un plan révolutionnaire ?
Le lancement du plan national de rétablissement et de résilience (PNRR) financé par l’UE, pourrait tout changer. Celui-ci est doté d’une enveloppe de 261 milliards d’euros (y compris certains financements nationaux), dont 11,15 milliards d’euros seront alloués à la « numérisation, l’innovation et la sécurité de l’administration publique ». L’achat de matériel et de logiciels plus récents et plus performants contribuera certainement à rendre la vie plus difficile aux attaquants ; l’Agenzia per la Cybersicurezza Nazionale (ACN), récemment créée et placée sous le contrôle direct du Premier ministre, devrait également jouer un rôle clé.
Au cours de la période 2021-2027, l’ACN supervisera un budget total de 529 millions d’euros et embauchera jusqu’à 1 000 professionnels de la cybersécurité, en commençant par 300 employés avant de s’étendre progressivement. En comparaison, seulement 50 experts en cybersécurité travaillaient auparavant sous l’égide du département de l’information pour la sécurité. L’agence centralisera des compétences qui étaient auparavant dispersées entre plusieurs organes gouvernementaux et les services de renseignement, et contribuera à définir et à coordonner la stratégie italienne en matière de cybersécurité.
L’un des éléments clés de cette stratégie consistera à sensibiliser aux problèmes en jeu et à s’assurer que les acteurs publics et privés exerçant des fonctions essentielles à la sécurité du « périmètre national de cybersécurité » prennent les mesures appropriées pour y faire face. « Le problème n’est pas l’outil, mais la façon dont il est utilisé », explique à ZDNet Corrado Giustozzi, un expert en cybersécurité bien connu en Italie. « Une excellente voiture est inutile, si elle est mal conduite. Nous devons nous concentrer sur l’amélioration des processus et de la culture. »
Respect des lignes directrices
Ce dernier sait de quoi il parle. De 2015 à 2020, il a fait partie de l’équipe d’intervention d’urgence informatique de l’Agence pour l’Italie numérique, l’un des organismes dont les compétences seront désormais en partie reprises par l’ACN. À ce titre, il a contribué à la conception des directives minimales en matière de cybersécurité que tous les organismes publics italiens, grands et petits, doivent suivre. Ces mesures ont contribué à améliorer une situation très préoccupante : un rapport de 2014 a révélé que seules trois autorités publiques centrales, sur des dizaines, prenaient la protection des données suffisamment au sérieux.
Malheureusement, les lignes directrices ne sont pas toujours appliquées. Dans l’attaque de la région du Latium, par exemple, la règle consistant à ne pas conserver les données de sauvegarde sur le même réseau que la source n’a apparemment pas été respectée.
Les pirates ont ainsi pu supprimer la sauvegarde, qui a été récupérée par la suite, bien qu’ils n’aient pas pu la chiffrer. « Nous agissons rapidement lorsqu’il y a une urgence, mais nous ne nous concentrons pas assez sur la prévention et la maintenance », déclare l’expert. Et de dénoncer un « problème politique ». « Les améliorations de la cybersécurité ne sont pas prioritaires car, contrairement à l’inauguration d’un pont, elles ne sont pas immédiatement visibles. »
Plusieurs écueils demeurent
Un problème d’autant plus grave que la main-d’oeuvre qualifiée manque à l’appel. Dans l’étude 2021 Healthcare Security réalisée par la société de cybersécurité Bitdefender, 74 % des personnes interrogées ont déclaré que le nombre de spécialistes de la cybersécurité dans le secteur italien de la santé était insuffisant. « Ces dernières années, les universités italiennes ont commencé à proposer des masters en cybersécurité. Cependant, les diplômés ont du mal à être embauchés, car il y a très peu de postes de débutants proposés », explique Tommaso De Zan, chercheur au sein de l’université d’Oxford.
Le fait qu’il y ait peu de données officielles disponibles n’aide pas non plus. « La première chose à faire est de produire un instantané de la pénurie actuelle de compétences en cybersécurité en Italie. Une fois cela fait, une stratégie d’amélioration doit être mise en place, et les résultats obtenus doivent faire l’objet d’un suivi permanent », ajoute-t-il. Ce travail relève du domaine de l’AED, qui est également chargé de promouvoir les partenariats public/privé pour former des professionnels et développer le savoir-faire et les innovations dans le secteur de la cybersécurité.
Bien que certaines améliorations aient déjà été apportées ces dernières années, l’afflux d’argent en provenance de l’UE, combiné à la sensibilisation accrue des responsables politiques et des acteurs du secteur, signifie que l’Italie est enfin prête à faire un saut qualitatif en termes de compétences et de défenses en matière de cybersécurité. Le défi consiste maintenant à profiter de cet élan sans tarder. Les cybercriminels intensifient également leurs attaques, et ils ont déjà montré qu’elles pouvaient être dévastatrices.
Source : ZDNet.com