« Les rançongiciels ont été une bénédiction, d'une certaine manière, car ils ont forcé des améliorations en matière de cybersécurité » : analyse d'un dirigeant d'Amazon

Une nouvelle étude a alerté cette semaine sur le fait que le secteur financier latino-américain souffre toujours d'un type spécifique de cyberattaque : les rançongiciels . Il s'agit d'un programme malveillant ( malware ) qui crypte les informations afin de les rendre inaccessibles à leurs propriétaires, puis exige une rançon en échange. Depuis cinq ans, ce type de programme est un véritable casse-tête pour les entreprises, les États et les entités du monde entier.

Les rançongiciels ont une histoire. Bien que leurs origines remontent à la fin des années 1980, ils ne sont devenus une activité cybercriminelle qu'au cours de la dernière décennie. Leur prolifération est telle que ces groupes de rançongiciels comptent des membres dédiés au chiffrement des informations, des finances et même à ce qu'ils appellent le « support technique » : un chat permettant de négocier pour, dans le meilleur des cas pour la victime, réduire le montant demandé. Ils ont même créé des marques avec des noms bien connus du secteur.

Bien que plusieurs perturbations opérationnelles majeures aient eu lieu en 2024, comme celles des groupes LockBit et BlackCat (ALPHV) , la menace demeure active. Bien qu'elle ait disparu des médias, 2025 a déjà été marquée par plusieurs cas, certains circulant sur les réseaux sociaux et d'autres faisant la une des journaux.

Mais, comme toute crise, le ransomware a aussi été une opportunité : « D’une certaine manière, le ransomware a été une bénédiction , car il a obligé les utilisateurs à adopter une meilleure hygiène informatique . »

Voici Mark Ryland , responsable d'une équipe d'experts en sécurité cloud chez Amazon Web Services (AWS), la division cloud computing d' Amazon . Il est adjoint au RSSI, un poste que les grandes entreprises et les gouvernements commencent à envisager pour leurs opérations : celui de directeur de la sécurité des systèmes d'information (DSI), c'est-à-dire la personne qui intervient en cas d'incident de cybersécurité, mais qui est également responsable de la conception de la politique d'accès, de la gestion des comptes et des pratiques qui contribuent in fine à la sécurité de l'entreprise.

Et c'est précisément cette carte qui fait la différence lorsqu'il s'agit de subir une attaque ou de devoir y répondre : comprendre quelles mesures doivent être prises pour prévenir les ransomwares, être clair sur le fait que vous devez être préparé au moment où cela se produit et avoir une politique de « sécurité par conception », comme s'assurer qu'un système ne permet pas de choisir « 1234 » comme mot de passe.

Ryland a parlé de tout cela avec Clarín lors de re:Inforce , l'événement d'AWS axé sur la cybersécurité à Philadelphie, aux États-Unis, pour expliquer ce qui se passe avec les tendances actuelles en matière de cyberattaques.

─Comment faites-vous pour suivre les avancées technologiques, la vitesse à laquelle elles se produisent ?

─Je pense que la curiosité naturelle pousse à essayer de mieux comprendre ce qui se passe. Une grande partie de mon travail consiste à parler de technologie à un public non spécialisé. Je dois donc me tenir au courant des nouveaux outils utilisés pour me sentir à l'aise pour résumer ou simplifier des idées. Et je dis cela parce qu'il y a des simplifications trompeuses et d'autres qui sont judicieuses. C'est aussi un peu un art.

─Les tendances actuelles, comme l’intelligence artificielle, ne sont-elles pas elles aussi surfaites ?

─Le battage médiatique de Gartner est toujours un facteur à prendre en compte lorsqu'une nouvelle technologie fait son apparition. J'ai tendance à être assez sceptique à l'égard de toute technologie présentée comme la solution à tous nos problèmes. En fait, je m'égare un peu, mais j'étais sceptique à propos de la blockchain . Je n'aurais jamais pensé qu'elle résoudrait tout ce qu'ils disaient, comme le suivi des expéditions de marchandises d'un bout à l'autre du pays.

─En fait, oui, car nous disposions déjà de bases de données très performantes. La blockchain n'était pas du tout ce qu'elle promettait . Elle est utile aux cryptomonnaies, aux monnaies numériques, mais pas plus. Presque toutes les utilisations au-delà étaient absurdes, et je me souviens qu'IBM, Accenture et Gartner parlaient tous de la blockchain et vendaient des projets de conseil aux entreprises pour utiliser la blockchain afin de réaliser des choses qu'elles auraient pu faire avec une base de données classique.

─Ces dernières années, les rançongiciels sont devenus le sujet numéro un du secteur de la cybersécurité. Quel est l'état actuel des choses ?

─Les rapports indiquent que cette tendance a cessé de croître, mais le problème est loin d'être résolu . Le sentiment général – et les chiffres – sont qu'au moins, il n'augmente pas.

─Que diriez-vous que les ransomwares ont appris à l’industrie ?

─Je vais dire quelque chose d'un peu controversé. D'une certaine manière, les rançongiciels ont été une bénédiction, car ils ont obligé les utilisateurs à adopter une meilleure cyberhygiène . Le problème sous-jacent est qu'en réalité, pendant de nombreuses années, nous avons travaillé avec des systèmes faciles à pirater ; la différence, c'est qu'avant, il n'existait pas d'industrie de la cybercriminalité pour les monétiser. Un attaquant pouvait s'infiltrer, mais pourquoi le ferait-il s'il n'y avait aucun moyen de le monétiser ?

─Mais pensez-vous que quelque chose a changé depuis le ransomware ?

─Eh bien, je pense que ce fut un terrible rite de passage, un tribut que l'industrie a dû payer . Ce fut une épreuve douloureuse, mais je pense que, de manière générale, les entreprises ont gagné en force en améliorant les fondamentaux, en travaillant sur la sensibilisation aux tests d'hameçonnage internes, en renforçant leurs périmètres et leurs pare-feu , et en améliorant les sauvegardes. De plus en plus d'entreprises et d'agences gouvernementales ont pris conscience du problème et, par exemple, ont commencé à restreindre l'accès des utilisateurs afin qu'ils n'aient pas le droit de supprimer une sauvegarde, même les administrateurs les plus privilégiés.

─Paradoxalement, cela a eu un effet positif sur l’industrie.

─Et je pense qu'il y a une plus grande prise de conscience. Les dirigeants d'entreprise ont également commencé à comprendre que la cybersécurité n'était pas une option. Les PDG et les cadres supérieurs ont commencé à se demander : « Que faire des rançongiciels ? » Les entreprises n'ont jamais été très douées pour mettre à jour leurs systèmes et former leurs utilisateurs. Et après les cas de rançongiciels, la situation a commencé à s'améliorer. J'avoue que c'était étrange, mais les crises générées par les rançongiciels ont également créé des opportunités d'amélioration des pratiques et des systèmes.

─ Il y a deux ans, nous avons discuté de la manière dont les attaquants utilisent l'infrastructure AWS pour héberger des campagnes de phishing. Comment ce problème a-t-il évolué et avez-vous pu le résoudre ?

─Eh bien, c'est toujours un problème, mais nous avons amélioré notre capacité à détecter et à bloquer ces comptes. C'est là qu'interviennent l'IA et le machine learning , qui nous aident à mieux distinguer les campagnes légitimes des campagnes malveillantes. Le danger est toujours présent : je peux être propriétaire d'un magasin de vélos et vouloir informer mes clients des dernières actualités par e-mail, mais il existe toujours un risque que mon compte soit compromis et que ma plateforme soit utilisée abusivement pour envoyer du spam.

─L'industrie prône une philosophie de « conception sûre ». Qu'est-ce que cela signifie ?

─Dans le contexte actuel, utiliser une technologie déjà dotée de normes de sécurité intégrées est, idéalement, la meilleure option. Imaginez : si je suis une start-up qui développe, par exemple, un grille-pain intelligent, je ne souhaite probablement pas – ou ne peux pas – investir massivement dans la cybersécurité. Mais si un fournisseur me propose une solution déjà sécurisée par conception, je l'utiliserai. Je peux même la promouvoir : « mises à jour automatiques », « mots de passe forts », etc. Cela renforce la sécurité globale ; c'est ce que signifie la sécurité par conception. Adopter cet état d'esprit vous permettra de toujours garder une longueur d'avance dans un écosystème en constante évolution.

─Vous avez dit précédemment être sceptique quant aux utilisations et à la portée de la blockchain. Avez-vous vécu la même chose avec l'IA ?

─Au début, oui, il me semble qu'il y a eu beaucoup de « rebranding » de quelque chose que nous connaissions déjà. C'est assurément une technologie qui apporte quelque chose de nouveau, et nous commençons seulement à en voir les applications ; ce n'est pas le cas de la blockchain dont je vous parlais. Mais je dois faire la distinction entre ce qui est utile et ce qui ne l'est pas. Cette semaine, j'ai rencontré des régulateurs gouvernementaux à Washington, et je leur recommande toujours de revoir leurs attentes à la baisse concernant l'IA. Cela aura certainement un impact important sur nos emplois , mais je pense que chacun doit faire preuve de discernement pour décider si un résultat est utile ou non.

─ Prenons un exemple. Si je demande à une IA de me rédiger une proposition marketing, mais que je n'ai jamais travaillé dans ce domaine, il est peu probable que je trouve une utilité à ce que l'IA peut me donner. Si je ne peux pas juger de son utilité, nous risquons de manquer d'experts capables de décider si une chose est utile ou non. Son utilisation comporte un risque.

─Stephen Schmidt, directeur de la sécurité d'Amazon, a déclaré la semaine dernière lors d'une autre conférence que les cybercriminels utilisaient l'IA pour améliorer leurs attaques. « Il n'y a pas de robots qui s'attaquent entre eux », a-t-il affirmé . Est-ce exact ?

─C'est un bon résumé de la situation, oui. J'ajouterais que ceux qui défendent les systèmes en profitent également pour programmer, réviser leur code, effectuer des tests d'intrusion et améliorer les temps de réponse. L'IA est également très utile pour trier les informations dont vous disposez déjà, ce qui vous aide à détecter des schémas ou des formes d'attaque que vous n'auriez peut-être pas détectés. L'IA est efficace pour capturer la sémantique , ce qui explique pourquoi elle est très utile non seulement aux attaquants, mais aussi à ceux qui défendent les systèmes. Bien utilisée, c'est un outil très puissant.

─L’IA est-elle utile pour l’analyse des logiciels malveillants (virus) ?

─Si c'est utilisé par un expert , oui . C'est la réponse. Nos équipes l'utilisent pour analyser des familles de malwares similaires ; cela permet de comprendre les similitudes et les différences. Et honnêtement, ils obtiennent de bons résultats.

─La tendance actuelle est de parler d’« agents » dans l’industrie, c’est-à-dire d’IA qui, en plus d’analyser, « prend des décisions ». Quelle est la place de la cybersécurité dans ce débat ?

─ C'est la prochaine étape de l'utilisation de l'IA dans l'analyse des menaces : agir. Si je programme une IA pour analyser, je peux ensuite lui demander de corriger un bug (une erreur dans le système).

─C'est en cours. Un exemple concret est un concours organisé par la DARPA, l'Agence américaine pour les projets de recherche avancée en défense. Elle promeut un concours qui sera officiellement annoncé lors du Black Hat , avec des prix importants (le premier lauréat, par exemple, remportera un demi-million de dollars). L'objectif est de développer un système capable d'analyser les projets open source, de détecter les vulnérabilités et de les corriger automatiquement. Ce qui est intéressant, c'est qu'une fois que les équipes ont soumis leur système, la DARPA le teste avec d'autres projets que ceux utilisés lors de la formation afin d'évaluer ses capacités.

─C'est donc idéal pour les charges de travail lourdes.

─Certainement, par exemple, pour planifier des tâches fastidieuses, mettre à jour automatiquement, etc. Cela permet de gagner du temps.

─Quel côté négatif ou problématique voyez-vous dans ces développements de l’intelligence artificielle ?

─Il y a un côté sombre, c'est certain. Par exemple, les escroqueries par hameçonnage (phishing) deviennent de plus en plus sophistiquées . L'un des phénomènes qui retient le plus mon attention est ce qu'on appelle le « dépeçage de porc » : des escroqueries prolongées où les attaquants se font passer pour une personne de confiance afin d'accéder à de l'argent ou à des informations. Ce type de tromperie se développe à un rythme alarmant et, bien sûr, il est alimenté par des outils d'IA. Nombre de ces acteurs opèrent depuis des pays comme la Malaisie ou les Philippines, dans des conditions proches de l'esclavage, et grâce à l'IA, ils peuvent communiquer parfaitement en anglais, allant jusqu'à simuler et reproduire de fausses voix.

─Le clonage vocal et les deepfakes sont des problèmes qui ne semblent pas avoir de solution.

─Oui, sans aucun doute, il est déjà possible aujourd'hui de recevoir un message vocal ressemblant exactement à celui de votre patron, vous demandant de transférer de l'argent ou d'accéder à certains systèmes. Et si vous n'êtes pas préparé à vous en douter , vous pourriez facilement tomber dans le piège. C'est pourquoi il est essentiel que les utilisateurs reçoivent une formation beaucoup plus poussée.

─Je pense qu'il ne suffit pas de dire « Ne cliquez pas sur les liens suspects ». Nous avons besoin de formations par simulation , même en réalité virtuelle si nécessaire, afin que les utilisateurs sachent qu'ils doivent toujours confirmer par un autre canal toute demande impliquant un changement d'état d'un système ou un transfert d'argent.

─Quels conseils donneriez-vous à l’utilisateur moyen pour maintenir une hygiène de base en matière de cybersécurité ?

─Même si vous recevez un message de quelqu'un qui ressemble exactement à quelqu'un que vous connaissez — que ce soit un collègue, votre patron ou votre mère — réfléchissez-y toujours à deux fois et vérifiez ailleurs avant d'agir : avant de cliquer sur « accepter », avant d'ouvrir un lien, ou même avant d'ajouter un nouveau destinataire à votre carnet d'adresses et de cliquer sur « transférer ». Hésitez toujours.