Parler de menaces cyber revient à ouvrir une boîte de Pandore de laquelle, en premier lieu, s’envolent une multitude de termes relatifs aux risques et menaces. Ces deux termes semblent pour certains tellement proches qu’ils seraient deux jumeaux qu’un importun sort aurait séparé.

Source

Pourtant, les définitions sont claires. Selon le dictionnaire Larousse une menace se définit comme suit :

• Action de menacer ; parole, comportement par lesquels on indique à quelqu’un qu’on a l’intention de lui nuire, de lui faire du mal, de le contraindre à agir contre son gré : Des gestes de menace. Écrire sous la menace.
• Signe, indice qui laisse prévoir quelque chose de dangereux, de nuisible : Il y a une menace d’épidémie dans la région.
• Délit qui consiste à faire connaître à quelqu’un son intention, notamment verbalement ou par écrit, image ou tout autre moyen de porter atteinte à sa personne. (La menace de commettre une destruction ou une dégradation dangereuses pour les personnes est également un délit.)

Quant au risque, c’est toujours selon le même Larousse

• Possibilité, probabilité d’un fait, d’un événement considéré comme un mal ou un dommage : Les risques de guerre augmentent.
• Danger, inconvénient plus ou moins probable auquel on est exposé : Courir le risque d’un échec. Un pilote qui prend trop de risques.
• Fait de s’engager dans une action qui pourrait apporter un avantage, mais qui comporte l’éventualité d’un danger : Avoir le goût du risque.
• Préjudice, sinistre éventuel que les compagnies d’assurance garantissent moyennant le paiement d’une prime.

Pour savoir si ces deux termes sont deux jumeaux malheureusement séparés, il suffit de les échanger dans les exemples des définitions supra pour s’apercevoir que prendre l’un pour l’autre revient à prendre des vessies pour des lanternes. Ainsi, un pilote ne prend pas trop de menaces, et on n’écrit pas sous le risque.

Serait-il vrai que, dans ce domaine également, le cyber nous brouille l’écoute ?

Furetons tout d’abord sur le site Logpoint : nous y trouverons que quelques types de menaces de cybersécurité restent omniprésents : l’ingénierie sociale, les dénis de service, les logiciels malveillants, les abus de privilège, les attaques des applications web, le cyber-espionnage, les erreurs humaines, les APT et les ransomwares. N’y manquent plus que

Une pierre
deux maisons
trois ruines
quatre fossoyeurs
un jardin
des fleurs
un raton laveur (source)

Nous voici confrontés à un méli-mélo de termes qui montre que la différence entre une menace et une technique d’attaque n’est pas bien maîtrisée. Mais reconnaissons qu’en termes de marketing, c’est plus vendeur.

Poursuivons sur un site étatique, juge de paix de toute controverse nationale. Le site internet du gouvernement nous apprend (titre risques cyber) que Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle cible différents dispositifs informatiques : des ordinateurs ou des serveurs, isolés ou en réseaux, reliés ou non à Internet, des équipements périphériques tels que les imprimantes, ou encore des appareils communicants comme les téléphones mobiles, les smartphones ou les tablettes. Il existe 4 types de risques cyber aux conséquences diverses, affectant directement ou indirectement les particuliers, les administrations et les entreprises : la cybercriminalité, l’atteinte à l’image, l’espionnage, le sabotage. Soit.

Le site de l’ANSSI pour sa part, à son onglet principales menaces nous expose que La déstabilisation, l’espionnage, le sabotage et dans certaines conditions la cybercriminalité constituent les principales menaces traitées par le Centre de cyberdéfense.

L’État discordant, voilà qui est intéressant. Le gouvernement mentionne espionnage, sabotage, atteinte à l’image et cybercriminalité, et l’ANSSI (qui dépend du gouvernement, si j’ai bien compris) mentionne espionnage, sabotage, déstabilisation et cybercriminalité dans certaines conditions. L’un les range en risques, l’autre en menaces.

Est-il possible de résoudre le problème qui ne manquera pas d’apparaître un jour ? Ah, au passage, précisons que ces inventaires sont tirés de la consultation des sites sus mentionnés le 27/06/2020, fête de saint Κύριλλος Ἀλεξανδρείας. Patronage intéressant puisqu’il a lutté contre les hérésies. Et si nous plagions sa formule « Une est la nature incarnée de Dieu le Verbe » (« μία φύσις τοῦ θεοῦ λόγου σεσαρκωμένη »), par laquelle il s’opposait à la dualité des natures défendue par les Antiochiens, il nous semble pertinent que la taxonomie des menaces soit une, car l’absence de définition commune nuit à un travail commun efficace.

Pour cela, le plus simple serait de décomposer les menaces en une série unique, de même qu’en mathématiques il est possible de décomposer un nombre en un produit de facteurs premiers, conformément à l’illustration de ce billet. Cette décomposition est unique et donc univoque. Le fait de proposer deux décompositions différentes pour un même nombre montre soit que l’auteur n’a rien compris à ce qu’est la décomposition en facteurs premiers, soit une erreur grossière. Chacun peut cependant demeurer romantique et prolonger leur cri « le laid, c’est le beau ! » mais cela ne fera pas avancer les choses.

Il semble aussi utile de préciser ce qu’est la cybercriminalité. C’est l’ensemble des infractions pénales commises par le biais de l’informatique ou d’Internet si l’on en croît justice-ooreka l’ensemble des infractions pénales commises sur les réseaux de télécommunication, en particulier Internet selon le dictionnaire Larousse, maître Haddad la définit comme la branche pénale de l’informatique, la cybercriminalité ou quelles infractions peuvent être commises via les réseaux informatiques ou de communication (télécommunication, radiodiffusion, smartphones….), pendant que Kaspersky ne la définit pas et préfère expliquer comment lutter contre. Quant à l’ANSSI, son onglet cybercriminalité du même site internet explique que la cybercriminalité est un vaste sujet qui concerne en premier lieu les ministères de l’Intérieur et de la Justice, en étroite collaboration avec l’ANSSI.

Il ressort que mêler la cybercriminalité aux risques et menaces revient à rendre égales les carottes et les navets, au motif que ces deux légumes poussent sous la terre. La cybercriminalité étant un ensemble d’infractions pénales, elle ne peut donc être mise sur un pied d’égalité avec des risques et des menaces. Par conséquent, il faut l’exclure des taxonomies proposées.

Reste à trancher entre espionnage, sabotage, atteinte à l’image et déstabilisation (ou subversion). La subversion étant, selon wikipedia, un processus d’action sur l’opinion, par lequel les valeurs d’un ordre établi sont contredites ou renversées. C’est une technique d’affaiblissement du pouvoir et de démoralisation des citoyens fondée sur la connaissance des lois et de la psychologie dont l’aboutissement est l’effondrement de l’État sur lui-même. Il semble alors davantage pertinent de retenir espionnage, sabotage et subversion, plutôt qu’atteinte à l’image, cette dernière pouvant en effet être considérée comme une forme de subversion, alors que la réciproque est fausse.

Nous retiendrons alors seulement trois types de menaces : l’espionnage, le sabotage et la subversion. Cette solution n’exclut pas l’hybridation des menaces, la cybercriminalité en comprenant un certain nombre.