Couchage avec l'ennemi : la montée de la menace interne dans la cybercriminalité

Il n'est pas bien connu que l'Afrique du Sud dans son ensemble est très vulnérable en matière d'attaques de cybercriminalité et avec un score de cybersécurité (CSS) de 57,71 pour 2023, ce pays se classe 59 (à égalité avec le Costa Rica et le Bangladesh) dans l'ordre hiérarchique du plus sûr au moins sûr. En comparaison, Singapour se situe à 24 [CSS de 82,28], la Thaïlande à 39 tandis que la Namibie se situe à 91 extrêmement dangereux [CSS de 19,72].

Selon le rapport d'Interpol identifiant les principales cybermenaces en Afrique en 2016, la cybercriminalité a coûté 573 millions de dollars à l'économie sud-africaine, soit plus que les 500 millions de dollars qu'elle a coûtés à l'économie nigériane.

Ce qui est peut-être encore plus choquant, c'est que la soi-disant menace interne prend de l'ascendant et prend de l'ampleur par rapport aux menaces externes, un fait qui ne manquera pas de choquer la plupart des gens dans ce pays.

En conséquence, lorsqu'un ami précieux de la communauté de la cybersécurité m'a envoyé le lien vers une récente cyberattaque réussie chez Coca-Cola aux États-Unis, l'une des sociétés transnationales (TNC) les plus importantes et les plus riches au monde, j'ai immédiatement pensé qu'il valait la peine d'examiner le question d'éventuelles leçons à tirer.

Après tout, la criminologie comparée n'est rien sinon un exercice de gestion de l'apprentissage interculturel. Autrement dit, il serait presque certainement dans notre intérêt en tant que pays en développement à la périphérie du développement des connaissances et des compétences en matière de cybersécurité de tirer parti des échecs et des défauts d'entreprises comme Coke aux États-Unis.

Par conséquent, les faits de l'affaire sont instructifs. Bien que Shannon Yu, ingénieur chimiste principal chez Coke, n'ait été arrêtée par le FBI qu'en février 2019, en août 2017, elle était déjà engagée dans le vol de secrets à son employeur au siège social de Coca-Cola à Atlanta, aux États-Unis. Yu a été condamné à 14 ans d'emprisonnement dans un établissement fédéral après avoir été reconnu coupable de vol de propriété intellectuelle (essentiellement d'espionnage industriel) en mai 2022.

Apparemment, ce qui a conduit à ce scénario, c'est que Coke a commencé à réduire ses effectifs et à licencier son personnel au second semestre 2017 et Yu, une femme née en Chine, a été désignée comme l'une des personnes concernées.

L'Agence de sécurité de la cybersécurité et des infrastructures (CISA) définit la menace d'initié comme : "La menace qu'un initié utilise son accès autorisé, intentionnellement ou non, pour nuire à la mission, aux ressources, au personnel, aux installations, aux informations, à l'équipement, aux réseaux ou Les menaces internes se manifestent de diverses manières : violence, espionnage, sabotage, vol et cyberactes. »

Il est clair que l'augmentation des menaces internes est considérée comme un risque pour la sécurité nationale. Pourquoi n'est-ce pas le cas en Afrique du Sud ?

La même source définit un initié comme "toute personne qui a ou a eu un accès autorisé ou une connaissance des ressources d'une organisation, y compris le personnel, les installations, les informations, les équipements, les réseaux et les systèmes".

Dans le contexte de la guerre commerciale en cours entre la Chine et les États-Unis, le fait que Yu soit né en Chine n'est clairement pas hors de propos. Avec le profilage de scientifiques chinois aux États-Unis soupçonnés d'espionnage industriel ou de collusion avec le Parti communiste chinois et l'atmosphère générale de méfiance entre les deux pays, les temps sont mûrs pour le vol de secrets commerciaux, tels que les doublures convoitées à l'intérieur des canettes de boisson de Coke. .

La méfiance entre la Chine et les États-Unis est en partie motivée par la guerre en Ukraine et le prétendu ballon espion chinois abattu au-dessus du sol américain. Mais encore plus pertinente que son pays de naissance était la négligence de Coke, à savoir le fait de ne pas révoquer immédiatement l'accès de Yu à des informations sensibles et classifiées pour réduire la menace de vol de données par les employés qui partent.

Selon l'Agence américaine de cyberdéfense : "Les menaces internes présentent un risque complexe et dynamique affectant les domaines public et privé de tous les secteurs d'infrastructures critiques. La définition de ces menaces est une étape essentielle pour comprendre et établir un programme d'atténuation des menaces internes."

On pourrait plaider en faveur de la résiliation de l'accès au réseau de Yu et des employés comme elle, avant même que la connaissance de son licenciement ne lui soit communiquée. La Cyber ​​Defense Agency définit les "menaces intentionnelles", telles que celle posée et exécutée par Yu, un initié malveillant, comme :

actions prises pour nuire à une organisation à des fins personnelles ou pour donner suite à un grief personnel. Par exemple, de nombreux initiés sont motivés à « se venger » en raison d'un manque de reconnaissance perçu (par exemple, promotion, primes, voyages souhaitables) ou d'un licenciement. Leurs actions peuvent inclure la fuite d'informations sensibles, le harcèlement d'associés, le sabotage d'équipements, la perpétration de violences ou le vol de données exclusives ou de propriété intellectuelle dans le faux espoir de faire progresser leur carrière.

De toute évidence, Yu tombait carrément dans cette catégorie. Elle a commencé à télécharger des fichiers et à photographier du matériel relatif au secret le plus étroitement gardé de Coke : "un ensemble de recettes chimiques détaillées pour les doublures en plastique de 2 microns d'épaisseur à l'intérieur des canettes de boisson Coke remplies et vendues".

Sans l'avantage de cette doublure, la boisson dans le récipient interagirait avec le matériau incorporé dans la boîte réelle et déstabiliserait et modifierait le contenu de la boisson. Autrement dit, la doublure en plastique était essentielle pour maintenir l'intégrité de la boisson Coca-Cola.

Dans ce bref contexte de l'affaire, quelles leçons pouvons-nous tirer de l'étude de cas de Yu ? Il s'agit du fait que même les organisations dotées de piles de sécurité fortement renforcées, telles que Coke, sont vulnérables au vol de données par des initiés hostiles et qu'il est nécessaire de disposer de contrôles de sécurité internes plus robustes, y compris une formation de sensibilisation des employés et l'intégration d'une solide culture de sécurité.

Le coke était vulnérable à ce problème vexant dont la fréquence augmente à l'échelle mondiale. Combien plus serait-ce le cas pour les entreprises en Afrique du Sud qui ne prennent même pas la menace interne au sérieux en raison d'un manque de sensibilisation à cet angle du problème ?

Une autre leçon importante qui pourrait être tirée d'une étude de cas sur l'engagement de Yu avec Coke, est l'observation fondamentale qu'elle n'était pas une commis débutante mais faisait partie de la haute direction. En tant qu'ingénieur chimiste principal, son poste s'apparentait essentiellement à celui de directeur technique de l'entreprise. En tant que tel, son licenciement par Coke aurait entraîné un important plan de compression des effectifs.

Pourtant, cela ne l'a pas empêchée de fondre sur Coke et de voler tout ce qu'elle pouvait pour son futur avancement professionnel en tant que concurrent de Coke en Chine, un pays pratiquement en guerre avec les États-Unis. Imaginez un employé volant des secrets exclusifs à une entité publique telle que la Banque de réserve ou Eskom (comme si cette entreprise n'avait pas assez à gérer en termes de criminalité).

Même si les employés mécontents n'infectent presque jamais les réseaux avec ce type de malware, il convient également de faire référence à l'acte de terrorisme connu sous le nom de "ransomware" dans la littérature, où "les cybercriminels bloquent les systèmes informatiques des hôpitaux et des institutions publiques, puis exigent de l'argent pour restaurer la fonctionnalité".

Pensez à Eskom. Ces boursiers peuvent également vendre leur butin sur le Dark Web.

Une autre excellente suggestion est de créer un ministère de la cybersécurité — comme c'est le cas en Australie, au Canada, en Inde et au Royaume-Uni — pour protéger l'intégrité de l'économie et renforcer les infrastructures critiques du pays contre les cyberattaques.

Le cœur de mon argument est que la menace interne augmente et est souvent sous-estimée. C'est particulièrement le cas dans des pays comme l'Afrique du Sud, qui est un État défaillant à bien des égards, quoique peut-être pas au sens classique du terme. C'est la raison pour laquelle cette pièce est précédée du titre "coucher avec l'ennemi".

Il est illusoire d'imaginer que les cybercriminels se trouvent uniquement en Chine et en Russie. Les cybercriminels sont également intégrés à la haute direction.

Selon le rapport d'évaluation des cybermenaces en Afrique 2021 de la Direction de la cybercriminalité d'Interpol : "Plus de 90 % des entreprises africaines opèrent sans les protocoles de cybersécurité nécessaires en place."

Cela doit changer. À cette fin, le Guide d'atténuation des menaces internes est une ressource précieuse pour commencer à résoudre le problème.

L'Afrique du Sud, un pays en proie à la corruption et aux conflits, est sujette aux cyberattaques et est mûre pour être exploitée sur ce compte des plus sensibles. Internet a aboli les limites et les frontières.

Ne sous-estimons donc pas l'ennemi avec qui nous couchons, aussi confortable que soit cette relation pour le moment.

Le Dr Casper Lӧtter est un criminologue des conflits affilié à la faculté de philosophie de la North West University (Potchefstroom). Il a un intérêt particulier pour la cybercriminalité.

Les opinions exprimées sont celles de l'auteur et ne reflètent pas nécessairement la politique ou la position officielle de Mail & Guardian.