Lutte contre le Coronavirus et lutte contre les virus informatiques : Quelles similitudes ?
Quels rapprochements pourrait-on faire entre le Coronavirus et les virus informatiques ? Si on devait appliquer les méthodes de lutte contre les virus informatiques au Coronavirus, que ferait-on ? Des questions que nous avons posées à Karim Ganamé, expert en sécurité informatique.
Lutte contre les virus informatiques versus Coronavirus, des similarités ?
La cybersécurité est un domaine où il est courant de gérer des crises. Par exemple, une entreprise de 50000 employés dont les serveurs critiques sont infectés par un ransomware doit s’adapter rapidement et poursuivre la continuité de ses opérations, au risque de disparaitre. Certains cas de gestion de crise en cybersécurité prennent d’ailleurs plusieurs mois et les entreprises les moins préparées peuvent disparaitre. Il est donc important d’être bien préparé en amont a la gestion des crises de cybersécurité pour éviter de tâtonner ou de prendre des décisions approximatives lors d’un incident de sécurité, ce qui peut augmenter fortement les dégâts.
Dans le présent article, nous essayons de faire le parallèle entre la gestion de crise en cybersécurité et le Coronavirus afin de voir si certaines méthodes de la cybersécurité peuvent s’appliquer au Coronavirus. Évidemment la gestion d’une grise numérique n’a pas le même impact que le Coronavirus ou il est question de préserver des vies humaines. La crise du COVID-19 est donc sans commune mesure avec une crise en cybersécurité. L’objectif de l’article est donc de faire un parallèle et non d’affirmer que les méthodes de gestion de crises en cybersécurité sont les mêmes que celles du COVID-19.
Quels rapprochements pourrait-on faire entre le Coronavirus et les virus informatiques ?
Vous vous en souvenez surement, en 2017, il y a eu une infection massive d’ordinateurs à travers le monde par le ransomware Wannacry qui a fait plus de 200 000 victimes en 3 jours. C’était la première fois qu’un tel incident de sécurité se produisait et très peu de pays ou d’entreprises étaient préparés à y faire face, ce qui a amplifié les dégâts. D’un point de vue informatique, cet incident pourrait être qualifié de pandémie numérique au regard de sa propagation rapide à travers le monde.
Parallèles entre la gestion d’une crise de virus informatique et le Coronavirus
Certains outils malicieux informatiques (ransomwares, etc.) peuvent se propager tout seuls et d’autres pas. Dans cet article nous parlons des outils malicieux qui ont la capacité de se propager tout seul.
• Comment gère-t-on les cas d’outils malicieux ont forte capacité de propagation ?
1ère étape : identification des indicateurs de compromission de l’outil malicieux.
Lorsqu’un événement lié à la propagation massive d’un outil malicieux survient, la première étape consiste à identifier ses indicateurs de compromissions, c’est à dire les éléments et comportements qui le caractérisent de façon unique. A titre d’exemple : le ransomware supprime un fichier nommé ABC, lance un processus Y, communique ensuite avec un site web www.abcde.com, etc.
Pour cela, il faut identifier un ordinateur infecté, y rechercher et extraire une copie de l’outil malicieux en question, puis l’analyser pour trouver ses indicateurs de compromission. Cette étape permet aussi d’identifier les vulnérabilités et failles de sécurité que l’outil malicieux utilise pour se propager.
La même chose se passe pour le Coronavirus ; ce qui aboutit à l’identification de ses symptômes (fièvre, toux, etc.).
2ème étape : trouver les ordinateurs infectés et procéder au confinement de l’incident
Dès que les indicateurs de compromission d’un outil malicieux sont identifiés ainsi que les vulnérabilités et failles qu’il exploite pour se propager, chaque entreprise doit analyser son parc informatique (via une technologie de cybersécurité) afin d’identifier tous les ordinateurs sur lesquels ses indicateurs de compromission sont trouvés. Si des ordinateurs infectés sont trouvés dans le réseau, ils seront isolés ou déconnectés.
L’on va ensuite mettre en place des règles dans le firewall pour interdire à tout ordinateur extérieur d’essayer de communiquer avec votre réseau (pour trouver les vulnérabilités dont l’outil malicieux a besoin d’exploiter pour se propager). L’on s’assure aussi que si d’aventure le ransomware est déjà dans le réseau sur des ordinateurs que l’on n’a pas identifiés, il ne puisse pas se propager à l’interne ou à l’externe.
L’on identifie aussi les systèmes sur lesquels les vulnérabilités exploitées par l’outil malicieux existent (même s’ils n’ont pas été infectés) et on les corrige.
C’est ce qu’on appelle le confinement en cybersécurité. Une fois que ces mesures de confinement sont mises en place, l’on considère que la situation est sous contrôle et que l’incident ne peut plus se propager.
Pour que le confinement d’un outil malicieux soit efficace, il faut de la rigueur dans l’application des mesures de confinement recommandés.
Si l’on appliquait les mesures de confinement strictes de la gestion des incidents de sécurité au cas du Coronavirus, voici ce que cela donnerait par exemple (liste non exhaustive) :
faire des tests et identifier les personnes infectées et les confiner. Identifier les personnes qui les ont côtoyées et les confiner.
appliquer et faire respecter de manière rigoureuse les recommandations de confinement exigées (sans aucune exception)
éliminer les facteurs de propagation massive : regroupement de foules, etc.
isoler complétement les zones non touchées pour éviter les propagations
fermer toutes ses frontières terrestres et aériennes temporairement sans aucune exception
limiter les déplacements entre les différentes régions et n’autoriser que les déplacements strictement nécessaires
Etc.
Mais l’on est dans deux cas de figure totalement différents et des règles applicables aux crises de cybersécurité peuvent ne pas être applicables dans le contexte du Coronavirus. Il appartient donc à chaque pays de prendre les meilleures décisions pour protéger sa population.
3ème étape : création de l’antidote de l’outil malicieux
Les compagnies de cybersécurité, à partir des indicateurs de compromissions identifiés, créent un antidote qui permet de détecter et éliminer le ransomware.
Dans le cadre du Coronavirius, ceci consiste à faire des recherches afin de trouver un vaccin ou un traitement efficace.
4eme étape : éradication de l’outil malicieux
A cette étape, l’on reconstruit les ordinateurs infectés, l’on installe un antivirus et l’on rehausse le niveau de sécurité des ordinateurs.
Pour terminer, je présente mes condoléances à toutes les familles endeuillées du fait du COVID-19. A tous les malades je souhaite un prompt rétablissement. Je fais confiance à la science et à l’intelligence de l’humain qui a toujours su trouver des solutions aux grands défis auxquels l’humanité fait face. La recherche de remède/vaccin s’est accélérée et il y’a des pistes prometteuses. Il y a de l’espoir. L’humanité traverse des moments difficiles mais on s’en sortira.
Parlant de recherche de remède/vaccin, on attend d’ailleurs à ce que l’Afrique prenne plus de leadership dans la résolution des problèmes qui sont internes ou mondiaux (santé, sciences, technologie, innovation, etc.). Il faut qu’on arrête de toujours attendre que d’autres trouvent la solution à des enjeux qui nous concernent aussi. Nous n’avons aucune excuse.
Lefaso.net