Information et éducation par et pour la communauté SAP

Des indices accablants ne sont pas pour autant des preuves

En cas d'attaque informatique, les personnes extérieures se demandent en premier lieu qui est le coupable. On veut attribuer une attaque à un coupable, du moins en pensée.
Raimund Genes, Trend Micro
4 mai 2017
Sécurité
avatar
Ce texte a été automatiquement traduit en français de l'allemand

Mais dans de nombreux cas, il n'est pas si facile de répondre à cette question apparemment simple. Surtout si l'on s'appuie exclusivement sur les faits objectifs et que l'on fait abstraction de la formation d'opinion subjective par la perception locale/temporelle de la victime ou par la presse.

L'exemple actuel d'EyePyramid - un "voleur d'informations" qui a dérobé quelque 87 Go de données au cours des dernières semaines - illustre bien ce qui se passe lorsqu'il y a trop de subjectivité. Parmi elles, celles d'entreprises privées, mais aussi de bureaux gouvernementaux et d'autres organisations publiques.

EyePyramid a ciblé plus de 100 domaines de messagerie avec plus de 18 000 comptes de messagerie. Les victimes, parfois de haut niveau, venaient d'Italie et d'autres pays européens, mais aussi des États-Unis et du Japon.

Face à ces indices accablants, la conclusion était claire pour beaucoup : il s'agissait d'une attaque menée ou parrainée par l'État !

Cette conclusion a ensuite été reprise avec reconnaissance par les médias et le grand public. Malheureusement, il n'y avait qu'un seul problème : elle était fausse !

Il s'est avéré par la suite que les commanditaires d'EyePyramid étaient un frère et une sœur aux intérêts purement monétaires. Il ne s'agit pas d'une organisation financée par l'État qui se lance dans la prochaine cyber-guerre.

Cet incident montre clairement ce qui se passe lorsque les faits sont interprétés ou simplifiés à l'excès uniquement dans le contexte de sa propre "convenance". Les chercheurs en sécurité sérieux se limitent à des informations techniquement vérifiables lors de l'"attribution", c'est-à-dire l'attribution d'attaques à des acteurs.

Bien sûr, il y a aussi des "indices" qui pointent dans une certaine direction ou dont la combinaison se renforce. Mais on trouve rarement le métaphorique "colt fumant" dans la main de l'agresseur.

Pour rester dans le cadre d'EyePyramid : Dans les faits, des organisations (également) proches du gouvernement ont été compromises. Ce sont des faits objectifs. La simplification selon laquelle un acteur étatique doit donc être derrière tout cela est subjective et trop simpliste.

Malheureusement, le reportage factuel est bien moins spectaculaire que la simplification (incorrecte)...

Même si la simplification injustifiée des faits m'irrite en tant que personne intéressée par la technique, le sujet pourrait être clos à ce stade. Si de tout autres effets de bord n'apparaissaient pas :

Si, dans les reportages, chaque moustique devient un éléphant et chaque action cybercriminelle une cyberguerre menée par des acteurs étatiques, cela a également une influence sur la perception de la sécurité ou sur le comportement de chacun d'entre nous en matière de sécurité.

Lorsque l'on ne parle partout que de cyberguerre et d'acteurs étatiques, la résignation s'installe chez de nombreuses entreprises et personnes privées :

"Comment pourrais-je, en tant que personne/entreprise, me protéger contre un État ?"

Alternativement aussi :

"Pourquoi un État me prendrait-il pour cible ?"

Le "succès" de cette communication tapageuse est que beaucoup ne perçoivent pas le véritable danger - à savoir les cybercriminels ordinaires - et ne prennent donc pas les mesures de protection appropriées.

Soyons clairs : oui, il y a là-bas des acteurs étatiques qui agissent avec de gros budgets. Mais pour les entreprises et les particuliers ordinaires, ces acteurs sont négligeables du point de vue de l'évaluation des risques ! Le cybercriminel "normal", motivé par l'argent, représente un risque bien plus important !

D'où ma demande ici : ne vous laissez pas déstabiliser par les informations sensationnelles sur les cyberattaques d'acteurs étatiques ! Procédez à une évaluation des risques de vos processus commerciaux, vérifiez quels acteurs y représentent un risque réel et élaborez votre stratégie de sécurité en conséquence.

Enfin, j'ai aussi une demande à faire à la presse, aux blogueurs, etc : Certaines choses ne peuvent pas être simplifiées davantage ! Cela vaut également pour les indices dans les attaques informatiques. Même si l'omission/la simplification d'indices peut conduire à de merveilleuses "preuves" qui peuvent ensuite être placées comme un grand scoop.

https://e3mag.com/partners/trend-micro-deutschland-gmbh/

Raimund Genes est décédé de manière inattendue le vendredi 24 mars à son domicile des suites d'une crise cardiaque.

Le Chief Technology Officer de longue date de Trend Micro a eu 54 ans. Il a développé l'entreprise japonaise de sécurité informatique en Allemagne et en Europe et lui a donné une voix importante auprès du public.

À partir de 2014, Genes a enrichi le magazine E-3 de ses commentaires actuels et perspicaces dans le cadre de la chronique mensuelle sur la sécurité informatique. Là encore, il a fourni un précieux travail éducatif à la communauté SAP.

Nous publions son dernier commentaire sur cette page à titre posthume. Nous présentons nos condoléances à sa famille et à ses amis.

avatar
Raimund Genes, Trend Micro

Raimund Genes a été directeur de la technologie chez Trend Micro.


Écrire un commentaire

Le travail sur la base SAP est essentiel pour réussir la conversion S/4. 

Ce que l'on appelle le centre de compétences prend ainsi une importance stratégique chez les clients existants de SAP. Indépendamment du modèle d'exploitation d'un S/4 Hana, les thèmes tels que Automatisation, Suivi, Sécurité, Gestion du cycle de vie des applications et Gestion des données la base de l'exploitation opérationnelle de S/4.

Pour la deuxième fois déjà, le magazine E3 organise à Salzbourg un sommet pour la communauté SAP afin de s'informer en détail sur tous les aspects du travail de base de S/4-Hana.

Lieu de la manifestation

FourSide Hôtel Salzbourg,
Trademark Collection by Wyndham
Am Messezentrum 2, 5020 Salzbourg, Autriche
+43-66-24355460

Date de l'événement

mercredi 10 juin, et
Jeudi 11 juin 2026

Billet d'entrée anticipé

Billet régulier

EUR 390 hors TVA
disponible jusqu'au 1.10.2025
EUR 590 hors TVA

Lieu de la manifestation

Hôtel Hilton Heidelberg
Kurfürstenanlage 1
D-69115 Heidelberg

Date de l'événement

mercredi 22 avril et
Jeudi 23 avril 2026

Billets

Billet régulier
EUR 590 hors TVA
Abonnés au magazine E3
à prix réduit avec le Promocode STAbo26
EUR 390 hors TVA
Étudiants*
à prix réduit avec le Promocode STStud26.
Veuillez envoyer votre certificat d'études par e-mail à office@b4bmedia.net.
EUR 290 hors TVA
*Les 10 premiers billets sont gratuits pour les étudiants. Tentez votre chance ! 🍀
L'organisateur est le magazine E3 de la maison d'édition B4Bmedia.net AG. Les conférences seront accompagnées d'une exposition de partenaires SAP sélectionnés. Le prix du billet comprend la participation à toutes les conférences du Steampunk and BTP Summit 2026, la visite de l'espace d'exposition, la participation à la soirée et les repas pendant le programme officiel. Le programme des conférences et la liste des exposants et des sponsors (partenaires SAP) seront publiés en temps utile sur ce site.