Après que la **Cybersecurity and Infrastructure Security Agency (CISA)** a émis un avis concernant des cyberacteurs liés à l'Iran cherchant à semer la discorde aux États-Unis, les inquiétudes concernant des attaques sur les infrastructures critiques ont augmenté. Cependant, les responsables et les experts en cybersécurité suggèrent une menace différente et plus subtile : des intrusions opportunistes conçues pour paraître plus importantes qu'elles ne le sont. ## La Nature de la Menace S'exprimant lors de l'Asness Summit on Modern Conflict and Emerging Threats à Nashville, l'ancien directeur de la **NSA**, **Tim Haugh**, et **Kevin Mandia**, fondateur d'une nouvelle entreprise de cybersécurité basée sur l'IA, ont souligné que les opérations cybernétiques iraniennes exploitent souvent des failles de sécurité basiques et amplifient les résultats, plutôt que d'utiliser des capacités nouvelles. « Je ferais probablement une analogie en ce moment, disant que l'Iran et la capacité cybernétique de l'Iran sont plus proches d'un acteur criminel », a déclaré Haugh. « Ils vont mener des [attaques] opportunistes ciblées, puis essayer de les lier à une opération d'information pour les amplifier. » Cette approche se concentre d'abord sur l'obtention de l'accès, puis sur la mise en forme du récit, ce qui a été un schéma récurrent. ## L'Incident Stryker : Une Étude de Cas L'incident récent impliquant la société de dispositifs médicaux **Stryker** en est un exemple. Des pirates auraient désactivé des milliers d'appareils. Cependant, selon Haugh et Mandia, cette opération ne reposait pas sur des malwares sophistiqués ou des vulnérabilités inconnues. Au lieu de cela, elle a commencé par de l'ingénierie sociale. « Ils ont fait de l'ingénierie sociale sur quelqu'un et ont utilisé des identifiants légitimes pour provoquer un effet », a expliqué Haugh. Ils ont utilisé une « capacité légitime associée à cet accès pour simplement supprimer des choses qu'ils avaient la permission de supprimer. » Bien que décrit comme une cyberattaque destructrice, l'incident a mis en évidence un problème plus courant : des attaquants utilisant des identifiants valides pour causer des dommages de l'intérieur. ## Stratégies de Défense : Se Concentrer sur les Fondamentaux Mandia a souligné que les organisations devraient s'attendre à ce schéma d'attaques plutôt qu'à des exploits hautement personnalisés. « Ils ont acheté des identifiants valides sur le dark web », a-t-il dit. « Donc, si je suis un CISO en ce moment, je cherche un service qui… essaie de se connecter à chaque page de connexion, à chaque API… [et] m'assure d'avoir l'authentification multifacteur partout. C'est comme ça qu'ils vont s'introduire. C'est lent et discret », a-t-il ajouté. « Je dirais que c'est comme un élément criminel. » Les attaquants revendiquent souvent publiquement une cible qu'ils ont déjà compromise pour créer l'illusion de vitesse et de précision, surtout dans les situations de conflit. Mandia a établi un parallèle : « Le cyberespace est un mauvais quartier et, pour citer « <a rel="noopener noreferrer" href="https://www.youtube.com/watch?v=4xgx4k83zzc">Spinal Tap</a> », ils montent simplement le volume à 11 maintenant parce qu'il y a une guerre en cours et que tous les gants sont retirés. » ## Cibles Probables et Perspectives Futures Au lieu d'attaques à grande échelle sur les infrastructures critiques, l'Iran ciblera plus probablement des organisations spécifiques ayant des liens avec Israël ou les États-Unis, combinant des intrusions avec des campagnes d'information. « Je doute que vous verrez des attaques personnalisées sur des applications web », a déclaré Mandia. « Je pense que ce sera de la connexion. Vraiment. Ce sera un problème de sécurité d'identité. » Même avec l'apaisement des tensions, cette base ne devrait pas changer. « Mon opinion est que les hackers piratent, fin de l'histoire », a déclaré Mandia. « Ils se présentent tous les jours. Ils le font pendant huit à dix heures. » Pour les défenseurs, la leçon principale est claire : la prochaine phase du conflit cybernétique dépendra peut-être moins des nouveaux outils et tactiques, et davantage de la fermeture des failles de sécurité basiques que les attaquants exploitent depuis longtemps.