L'Iran et d'autres pays mènent une cyberguerre furtive contre les États-Unis depuis au moins une décennie, ciblant largement non pas le gouvernement lui-même mais, plutôt, entreprises d'infrastructures critiques. Cette menace pour le secteur privé va s'aggraver avant de s'améliorer et les entreprises doivent être prêtes à y faire face.

Comme au temps des pirates et des corsaires, une grande partie de l'infrastructure critique de notre nation est contrôlée par des entreprises privées et des nations ennemies et leurs mandataires les ciblent de manière agressive.

Le cyberconflit américano-iranien couve depuis des années, mais la crise actuelle a débordé avec les attaques iraniennes contre les intérêts américains en Irak qui ont conduit à la frappe de drones américains le 3 janvier qui a tué un haut général iranien et chef terroriste. Le chef suprême de l'Iran a menacé de "sévère vengeance, " mais a déclaré que l'Iran limiterait ces efforts à des cibles militaires.

Mais avant même que les missiles iraniens ne frappent les bases militaires américaines en Irak le 7 janvier, des pirates informatiques pro-iraniens auraient attaqué au moins un site Web lié au gouvernement américain, ainsi qu'un certain nombre de sites d'entreprises privées. Plus préoccupant, un nouveau rapport détaille les efforts récents importants de l'Iran pour compromettre l'électricité américaine, services publics de pétrole et de gaz.

L'Iran, qui aurait attaqué la production d'énergie saoudienne, est également capable, selon les responsables américains, de mener « des attaques contre des milliers de réseaux électriques, plantes aquatiques, et les entreprises de santé et de technologie" aux États-Unis et en Europe occidentale. La perturbation de ces systèmes pourrait causer des dommages importants aux maisons et aux entreprises et, au pire des cas, blessures et la mort.

Une grande partie de notre infrastructure critique ciblée est sous le contrôle d'entreprises privées. Sans protection du gouvernement et en l'absence de règles convenues en matière de cyberguerre, les entreprises courent un risque élevé, et des lois pénales américaines strictes interdisent de nombreuses formes de cyberdéfense par des entreprises privées. Mais il existe des mesures simples que les entreprises peuvent prendre à la fois pour se protéger et pour améliorer notre cybersécurité nationale collective.

Que fera l'Iran ?

Bien qu'il soit impossible de prédire avec certitude le comportement du régime iranien et de ses nombreux mandataires, leurs cyberattaques continueront probablement d'aller bien au-delà des systèmes gouvernementaux, qui sont raisonnablement bien défendus. L'Iran et ses partisans se concentreront probablement sur des cibles plus faciles exploitées par des entreprises privées.

Une récente alerte du département américain de la Sécurité intérieure souligne la capacité et la volonté de l'Iran de se lancer dans plusieurs types de cyberattaques destructrices au cours de la dernière décennie. Selon les actes d'accusation déposés par le ministère américain de la Justice, comme cité dans l'alerte DHS :

• Depuis 2011, L'Iran a mené de nombreuses attaques par déni de service distribué (DDoS), envoyer des quantités massives de trafic Internet pour mettre des sites Web hors ligne. Les attaques DDoS de l'Iran ont ciblé, entre autres, institutions financières, pour qui les temps d'arrêt qui en résulteraient auraient coûté des millions de dollars.
• En 2013, un ou plusieurs Iraniens travaillant pour les Gardiens de la Révolution du pays ont accédé illégalement au système de contrôle d'un barrage de New York, bien qu'aucun dommage direct n'ait apparemment été causé.
• En 2014, L'Iran a mené une attaque contre la Sands Las Vegas Corporation, vol de carte de crédit client, Numéros de sécurité sociale et de permis de conduire et effacement de toutes les données des systèmes informatiques de Sands.
• Entre 2013 et 2017, des pirates informatiques travaillant pour le compte des Gardiens de la révolution iraniens ont mené une opération de cybervol « massive » ciblant des données universitaires et de propriété intellectuelle, ainsi que des informations par e-mail, de centaines d'universités, plus de 45 entreprises, au moins deux agences fédérales, au moins deux gouvernements d'État et les Nations Unies.

Il est possible que de nouveaux efforts dans ce sens soient planifiés et programmés pour affecter les prochaines élections américaines. En outre, d'autres pays pourraient lancer des attaques et essayer de les rejeter sur l'Iran, ou vice versa.

Pas de cyber-règles d'engagement claires

Pour la guerre conventionnelle et même nucléaire, les nations ont, à travers les siècles, accepté les règles des conflits armés. Ils ont développé des moyens de signaler leurs intentions d'intensifier ou de désamorcer un conflit. Les États-Unis et l'Iran ont, pour l'instant, désamorcer leur conflit militaire public, grâce à l'avertissement de l'Iran de son attaque de missile et de ne tuer ou blesser personne et les États-Unis de ne prendre aucune autre action militaire.

Mais le cyberespace reste le Far West, avec peu, si seulement, des règles d'engagement convenues ou des mécanismes de signalisation bien compris. Cela rend tout cyberconflit en cours entre l'Iran et ses ennemis d'autant plus dangereux, avec des entreprises d'infrastructures critiques risquant d'être prises entre deux feux.

Sans aide gouvernementale, ces entreprises sont en grande partie seules à se défendre contre les attaques iraniennes ou d'autres gouvernements étrangers. Des lois pénales strictes restreignent sévèrement les options défensives des entreprises, interdire, par exemple, technologies pour retracer et détruire les données volées.

Cyberdéfense collective

Tout cela dit, il y a des mesures que les entreprises peuvent prendre pour se protéger, non seulement contre les attaques iraniennes ou gouvernementales, mais contre le piratage par des voleurs de données, gangs de rançongiciels, concurrents de l'entreprise, employés mécontents ou toute autre personne.

La vigilance et la communication sont essentielles. Entreprises, en particulier dans les secteurs d'infrastructure critiques tels que l'énergie, financier, télécommunications et santé, doit rester en contact plus étroit que d'habitude avec les organismes gouvernementaux appropriés, y compris le ministère de la Sécurité intérieure, le FBI et les centres de partage et d'analyse d'informations informatiques appropriés. Les ISAC peuvent aider les entreprises à obtenir rapidement des renseignements sur les menaces de la part du gouvernement et à signaler les attaques qui peuvent avoir des implications au-delà d'une seule entreprise.

Les entreprises doivent également vérifier soigneusement leurs systèmes pour détecter les logiciels malveillants précédemment insérés de manière malveillante pour permettre de futures attaques. Ils devraient, bien sûr, analyser leurs systèmes en permanence à la recherche de virus et d'autres codes malveillants qui pourraient permettre aux pirates informatiques d'avoir un accès non autorisé aux systèmes ou aux données. Les entreprises doivent également sauvegarder leurs données en toute sécurité, surveiller de près le trafic de données sur leurs réseaux, obliger les travailleurs à utiliser l'authentification multifacteur lors de la connexion aux ressources informatiques, et offrir une formation et une sensibilisation à la cybersécurité aux employés.

La protection de notre sécurité nationale et économique contre les attaques est entre les mains de particuliers et d'entreprises d'une manière qui n'est peut-être plus vraie depuis que les propriétaires de bateaux britanniques ont sauvé l'armée de leur nation de l'anéantissement à Dunkerque en 1940. En prenant des mesures de cybersécurité raisonnables, entreprises, et chacun d'entre nous individuellement, peut non seulement aider à nous protéger et à protéger notre nation, mais, peut-être, même aider à empêcher une guerre.

Cet article est republié à partir de The Conversation sous une licence Creative Commons. Lire l'article original.