Cyber-guerre et cyberespionnage : une nouvelle frontière du conflit

(Pour Nicola Cristadoro)
07/11/24

Les États contemporains sont désormais fortement dépendants du réseau informatique. Cela est vrai aussi bien pour la vie des citoyens individuels que pour les institutions d’un pays. Elle est désormais devenue indispensable à leur fonctionnement et, si d'une part elle constitue un énorme facilitateur permettant une disponibilité et une capacité d'échange d'informations quasi immédiates, d'autre part elle présente une fragilité intrinsèque du système.

Malgré toutes les précautions mises en place pour le protéger, il peut être violé à tout moment et endommagé même dans les points les plus vitaux, générant des dégâts supérieurs à ceux des attaques physico-cinétiques menées avec des armes et techniques conventionnelles, avec des coûts et des risques nettement inférieurs. . En effet, tous les systèmes physiques et infrastructures dites critiques, comme les centrales électriques, les hôpitaux, les systèmes de contrôle du trafic ferroviaire ou aérien, sont connectés et contrôlés via des systèmes informatiques interconnectés.

Cette méthodologie de guerre, définie la cyberguerre, a modifié le spectre des conflits, au point d’inciter l’OTAN à élever le cyberespace (le cyberespace) à "cinquième domaine" après la terre, la mer, le ciel et l'espace1 et, à son tour, est défini :

"Ensemble d'infrastructures informatiques interconnectées, comprenant le matériel, les logiciels, les données et les utilisateurs ainsi que les relations logiques, quelle que soit la manière dont elles sont établies, entre eux. »2

Il existe de nombreuses méthodologies d’attaque dans la cyberguerre, parmi lesquelles les plus importantes sont :

  • attaque contre des infrastructures critiques: attaque visant les services essentiels d'un pays, notamment l'énergie, l'eau, le carburant, les communications, les services commerciaux, de transport et militaires ;

  • vandalisme web: attaques visant à modifier des pages web sans avoir l'autorisation, appelé en jargon défigurer, ou pour me faire serveur (attaques déni de service);

  • désarticulation de l'équipement (perturbation de l'équipement) : attaques contre des unités militaires qui utilisent des ordinateurs et des satellites pour se coordonner afin d'intercepter, modifier ou remplacer les ordres et les communications afin de compromettre les opérations ;

  • collecte de données: actions visant à intercepter ou à modifier des informations classifiées qui ne sont pas suffisamment protégées. Dans ce contexte, deux techniques assez sophistiquées méritent d'être mentionnées : reniflement et spoofing.

Lo reniflement è «… une surveillance et une interception essentiellement passives de données en transit sur un réseau informatique, de cette manière il est possible de s'approprier des données, éventuellement cryptées, qui pourront être décryptées ultérieurement, afin d'obtenir les informations qu'elles contiennent. Concrètement, ces activités d'interception sont menées au moyen d'analyseurs de réseaux (appelés sniffers), tant sous forme physique que sous forme de programme d'information, et qui sont souvent dotés à la fois de capacités de filtrage des données (afin d'intercepter uniquement les données jugées intéressantes) et la capacité de stocker les données interceptées.3

Lo spoofing est: «…l'usurpation d'identité par un utilisateur malveillant d'un appareil ou d'un autre utilisateur, afin de voler des données, de diffuser des logiciels malveillants ou, en tout cas, de contourner les contrôles d'accès au système. La nature multiforme de cette technique est inhérente au fait que la falsification peut avoir pour objet une grande variété de composants d'une communication. Par exemple, il est possible d'usurper le début d'un train d'impulsions afin que le réseau le reconnaisse comme étant autorisé à y accéder (usurpation d'adresse IP). Mais il est également possible de détourner la communication vers un attaquant, qui se fait passer pour le véritable expéditeur ou destinataire (usurpation d'identité DNS). Il est toujours possible de combiner cette technique avec du phishing pour simuler que l’e-mail appât provient d’une adresse que l’utilisateur peut reconnaître comme réelle.4

  • la propagande: messages envoyés ou mis en ligne dans le but d'influencer l'opinion publique (guerre psychologique et fausses nouvelles).

Parmi les armes utilisées par eux cyber-guerriers le plus courant c'est moi malware ou software qui compromettent ou endommagent le fonctionnement normal d’un système ou les informations qu’il gère ou traite. Au sein de cette famille on retrouve les virus informatiques (malware qui, en exploitant les vulnérabilités d'un système d'exploitation, causent des dommages au système lui-même, le ralentissant ou le rendant inutilisable) et troyen (malware cachés dans d'autres programmes qui, une fois activés, souvent par le même opérateur légitime mais trompé, permettent le contrôle à distance de l'ordinateur par des tiers).

De telles attaques sont généralement perpétrées par ce qu'on appelle pirate informaticiens, mais lorsque la menace devient plus complexe tant en termes de méthodologies et de technologies utilisées que d'objectifs contre lesquels elle est exécutée, on parle de Menaces persistantes avancées (APTE),5 définition inventée par l'US Air Force en 2006.

En analysant cet acronyme on comprend que :

  • Avancé: l'adversaire est doté à la fois de compétences techniques élevées et de ressources technologiques et économiques considérables. Cela signifie qu'il est capable d'utiliser bien plus que de simples attaques. software accessible au public, mais également créé ad hoc, plus polyvalent et complexe à détecter. Par ailleurs, pour collecter des informations sur ses objectifs, le groupe pourrait utiliser des outils extrêmement sophistiqués et, potentiellement, s'appuyer également sur les services de intelligence du pays d'origine;

  • Persistant: l’adversaire n’est pas animé par une mentalité prédatrice et opportuniste visant à atteindre des objectifs immédiats. L'approche est persistante et maintenir l'accès aux systèmes le plus longtemps possible est un facteur clé de chaque APT. Plus le temps passé à l’intérieur de l’infrastructure cible sans être identifié, plus les informations collectées sont importantes, plus le gain pour l’attaquant est important et plus les dommages pour la victime sont importants ;

  • Menace: c'est une menace organisée, avec des objectifs, une volonté bien précise et une vision stratégique qui ne mène pas d'attaques "au chalut" dans l'espoir d'obtenir quelque chose.

Une telle structure implique une énorme utilisation de ressources technologiques et financières, ainsi que des délais de préparation et d'exécution de l'attaque très longs ; c’est pour ces raisons que la portée des objectifs de l’APT est normalement d’une grande importance.

Il existe actuellement plus de 300 APT en activité dans le le cyberespace. Nous souhaitons concentrer notre attention sur APT28, en tant que menace particulièrement emblématique de la diversité des objectifs de ce type de renseignement extrêmement agressif et omniprésent.

Personne n’est en sécurité : quelques exemples d’attaques APT 28

Au cours des dix dernières années, les experts ont attribué de nombreuses attaques à l’APT 10, qui ont souvent entraîné la perte d’informations sensibles et leur utilisation pour discréditer ou délégitimer des acteurs étatiques ou des organisations internationales.

Suite à l’évolution politique des années 28, qui a vu la chute du mur de Berlin qui a contribué de manière significative à la désintégration ultérieure de l’Union soviétique, de nombreuses anciennes républiques soviétiques nouvellement établies ont par la suite uni leurs forces à l’Union européenne ou à l’OTAN, malgré le fait que le gouvernement russe a démontré à plusieurs reprises qu’il avait toujours des intérêts économiques, politiques et militaires dans les zones définies comme satellites. Ce sont précisément ces gouvernements qui font souvent l’objet des attaques de l’APT XNUMX.

Un exemple surtout est celui représenté par les attentats, avec au moins deux tentatives spécifiques, contre la Géorgie, un pays où de nombreux citoyens expriment un fort sentiment pro-européen. La première attaque de 2013 s'est déroulée comme l'objectif le ministère de l’Intérieur : à l’aide d’un Courriel jugé légitime par le destinataire, l'APT 28 a incité la victime à ouvrir un fichier Excel avec une liste de permis de conduire, à travers laquelle un soi-disant détourné pour l’exfiltration de données et la compromission des systèmes informatiques du gouvernement local. La même année, une deuxième attaque a eu lieu avec un appât constitué d'un document apparemment imputable au système d'exploitation. Windows di Microsoft, mais avec un intérieur spécial malware visant à porter atteinte à la sécurité du réseau informatique et à permettre sa pénétration. En outre, au cours de la même période, des tentatives d'attaque contre le réseau du ministère de la Défense ont été détectées, avec une attention particulière à toutes les données concernant la formation menée par entrepreneurs Américains aux forces armées du pays du Caucase.

Dans un contexte similaire, les enregistrements de domaines d'APT 28 doivent également être pris en compte web similaires à ceux des sites d'information et des gouvernements légitimes d'Europe de l'Est, tels que standartnevvs(.)avec très similaire au site d'information bulgare en ligne dont la véritable adresse est standartnews.comou qov(.)hu(.)com similaire à l'extension de domaine du gouvernement hongrois gov.hu et encore une fausse domination courrier(.)q0v(.)pl, ce qui ramène de manière trompeuse et délibérée à la vérité serveur de courrier Polacco mail.gov.pl. Ces enregistrements, ainsi que d'autres enregistrements de domaines utilisés pour mener des attaques, suggèrent non seulement qu'APT 28 s'intéresse aux affaires politiques de l'Europe de l'Est, mais également que le groupe cible directement les gouvernements de cette partie du continent. De plus, APT 28 a enregistré un domaine similaire à celui utilisé pour la planification et la conduite des sessions (baltichost [.] Organisation) après les exercices militaires conjoints de planification logistique entre les États baltes à tour de rôle et les les partenaires de l'OTAN, menées depuis 2009.

Cet événement suggère que l'APT 28 a tenté de voler aux cibles des informations sensibles de nature militaire, tant au niveau tactique que stratégique. En outre, du côté de l'OTAN, des événements similaires se sont produits lorsque d'autres faux domaines, également imputables à l'APT 28, ont été créés pour tromper les utilisateurs. Plus précisément, lorsque le domaine a été découvert né.nshq(.)dans, extraordinairement similaire au site réel web du quartier général des opérations spéciales de l'OTAN nshq.nato.in, ou comme dans le cas de tromperie envers les utilisateurs de l'Organisation de coopération et de développement économiques (OCDE) au détriment de laquelle le faux domaine a été créé connexion-osce(.)org, parallèle au réel osce.org. Par la suite, à partir de 2014, afin de voler des informations sur les nouvelles plateformes et systèmes d'armes destinés à un usage militaire développés par les pays européens, APT 28 a pu créer de faux domaines destinés à tromper les soldats qui participaient à divers événements, expositions comme, par exemple, leSalon de l'air de Farnborough (Grande-Bretagne) en 2014 et au-delà. Un autre exemple de capacité raffinée à obtenir des informations s'est produit lors de la création et de l'enregistrement du faux domaine. smigroup-online.co(.)uk, attribuable au groupe Groupe SMi, une société de planification d'événements pour les secteurs de la défense, de la sécurité, de l'énergie, des services publics, de la finance et de l'industrie pharmaceutique.

À ce jour, parmi les attaques menées par l'APT 28, l'une de celles qui a reçu le plus grand impact médiatique est le cas de violation et de compromission du base de données par l'AMA (Agence mondiale antidopage), l'agence internationale antidopage, à l’occasion des Jeux olympiques de Rio 2016, cette attaque est un exemple paradigmatique de l’efficacité de l’approche hybride. cyber guerre, si l’on compare la facilité et les ressources utilisées pour mener l’attaque et les effets de délégitimation morale et professionnelle dont ont souffert les athlètes, les fédérations et par conséquent les États concernés. Ces événements sont survenus à la suite de l'exclusion de nombreux athlètes russes des Jeux Olympiques, après la publication d'un rapport sérieux d'une commission de l'AMA et du scandale qui en a résulté. dopage. En août 2016, l'APT 28 a réussi à accéder au base de données du système d’administration et de gestion antidopage de l’AMA (Système d'administration et de gestion antidopage de l'AMA-ADAMS) par une action de hameçonnage et vol des accréditations de l'athlète russe Yuliya Stepanova. Grâce à ces informations d'identification, APT 28 a réussi à entrer dans les bases de données et à prendre possession des données médicales de tous les athlètes participant aux Jeux olympiques, y compris les exemptions pour usage thérapeutique de certaines substances considérées comme dopantes, accordées par les fédérations sportives internationales et les organisations nationales. antidopage. APT 28 a ensuite divulgué une liste d'athlètes, pour la plupart américains, allemands et britanniques (dont les joueuses de tennis Serena et Venus Williams et la gymnaste Simone Biles) qui, bien qu'ils aient été contrôlés positifs aux contrôles antidopage, n'ont pas été sanctionnés en raison des exemptions accordées. pour eux. Ces documents, affirment-ils pirate, constituerait la preuve que certains athlètes, en raison de leur nationalité, bénéficient d'un traitement préférentiel et contrecarrerait l'infondée et l'illégitimité des sanctions contre les athlètes russes. APT 28 a donc exploité la combinaison entre la simplicité des systèmes technologiques modernes, la sous-estimation des mesures de sécurité numérique et les capacités de son personnel spécialisé pour mener à bien une nouvelle forme d'opérations d'information à un niveau stratégique, en utilisant également des domaines inhabituels tels que le en arborant un ouantidopage.

Personne n'est à l'abri : le "dossier" de l'entreprise de sécurité privée Égaliser

Les événements « cyber » qui ont secoué notre pays à l’automne 2024 ne se prêtent pas moins à un traitement dans un article comme celui-ci. La référence est au cas du "dossiership" mis en œuvre au niveau national par l'agence de renseignement privée. Égaliser, avec toutes les implications que cela a eu au niveau international. Certes, le phénomène du "dossierage" comme outil de poursuite d'objectifs privés dans un contexte institutionnel n'est pas en soi nouveau, ni une prérogative nationale exquise : il suffirait de lire l'un des nombreux romans de James Ellroy, dans avec lequel ils sont racontés. Les procédures du FBI et d'autres agences gouvernementales et privées américaines pendant les années de "chasse aux sorcières", officiellement conçues pour identifier et réprimer l'infiltration du communisme sur le territoire américain, sont détaillées en détail. Pour donner une image imaginative de ce qui s'est passé en Italie au cours du long automne 1924, un extrait du monologue intérieur d'un personnage de fiction, Maurizio Ferri, un agent du SISDE qui travaille sous couverture, créé sous la plume de Mauro Marcialis, auteur, semble efficace. . Un homme du pays qui peut se targuer d'une longue carrière de sous-officier dans la Guardia di Finanza :

« Quarante-trois ans, vingt-quatre ans de service. J'ai tout vu ! J'ai vu des empreintes évidentes devenir des brûlures inexplicables, j'ai vu des brûlures inexplicables devenir des empreintes évidentes. J'ai vu des listes de canailles se transformer en listes électorales, j'ai vu des parlementaires potentiels se transformer en chair à canon. J’ai vu des classeurs entiers pulvérisés, j’ai vu des poussières se recomposer pour créer des archives officielles.6

L'inspiration du monologue prononcé sur son lit de mort par le réplicant Roy Batty dans le film de science-fiction est évidente Blade Runner, mais l'activité de Cyberespionnage fabriqué en Italie par Égaliser transpose la dimension dystopique du film de Ridley Scott dans une réalité aux tonalités certainement moins épiques.

Entre 2022 et 2024, environ huit cent mille personnes et entreprises ont fait l’objet d’une collecte d’informations réalisée selon des méthodes illégitimes, à travers l’intrusion dans ordinateur personnel et les téléphones portables, afin de créer des dieux dossier à utiliser à des fins privées à la disposition de l'entreprise de gardiennage Égaliser:

« Certes, les espions étaient souvent les mainteneurs et responsables de la sécurité informatique des systèmes informatiques des sujets ou des entreprises, souvent institutionnels, espionnés. Autour de la société de sécurité Equalize s'est déplacé un monde au-dessus de tout soupçon de managers et de policiers, des personnes dotées d'un tissu relationnel et d'une richesse de contacts qui ont permis à l'entreprise et à ses mandataires d'évoluer avec aisance, confiance et agilité. … Certes, seuls les seize mis en examen pour association de malfaiteurs visant l'accès non autorisé à des bases de données, corruption, extorsion et bien d'autres délits sont aujourd'hui en mesure d'expliquer pourquoi ils ont collecté des millions de données privées et confidentielles sur les plus hauts fonctionnaires de l'Etat, sur des entreprises. , politiques et particuliers et quel usage ils voulaient en faire.»7

L'enquête a révélé des personnalités marquantes qui ont immédiatement fait référence à un climat tel que celui décrit par Marcialis : Enrico Pazzali, président de la Fondation Fiera Milano et membre principal de la Égaliser; l'ancien « superflic » antimafia Carmine Gallo, PDG de l'entreprise ; les ingénieurs Samuele Calamucci et Gabriele Pegoraro, experts pirate; Giuliano Schiano, maréchal de la police financière de la direction des enquêtes antimafia de Lecce. Le système prévoyait que l'entreprise Equalize srl, ainsi que des sociétés fictives telles que Développer et devenir Srls (Jour) propriété de Giulio Cornelli et basée à Reggio Emilia et au Conseiller Mercure - qui, avec une société d'enquête de Reggio Emilia, constituent les deux seules sociétés auxquelles Dag Srls a officiellement proposé ses services -8 ont mis leurs ressources en hommes, moyens, compétences et contacts à disposition pour des enquêtes commandées par des particuliers à des fins commerciales, privées et politiques.

Les bases de données violées sont les plus importantes et stratégiques du système du pays : le Système d'Echange (Sdi) et le Serpico de l'Agence des Revenus, utilisés respectivement pour la gestion des factures électroniques et pour le contrôle des déclarations fiscales ; le système d'information monétaire (Siva), par lequel transitent toutes les déclarations de transactions suspectes ; les bases de données de l'INPS et du registre national (Anpr). Avec ces données disponibles, vous pouvez procéder aux activités ingénierie sociale avec lequel reconstruire la vie des gens, en violant leurs confidentialité et les parcours de vie. L'organisation mise en cause dispose d'une "structure de cluster", dans laquelle chaque membre et collaborateur a à son tour des contacts au sein de la police et dans les différentes branches de l'administration publique, avec lesquels collecter illégalement des données.

Dans une interception, Calamucci déclare :

"Nous avons la chance d'avoir des clients importants en Italie... nos clients importants... nous avons des contacts entre les services déviants et les services secrets sérieux, on peut un peu moins faire confiance à ceux-là, cependant, on les sent, ils discutent , c'est toute une série d'informations mais cela doit devenir une preuve, car quand on grandit, on crée surtout de l'envie"9.

Mais ce n'est pas suffisant. Selon les magistrats chargés de l'enquête, le PDG Gallo (photo) avait des relations avec le crime organisé et, comme preuve des dangers du groupe, il y a eu également 128 accès non autorisés aux archives d'Aisi (les services secrets internes). Le groupe se vante d'être "au sein du ministère de l'Intérieur" et d'avoir "cloné un compte email de la présidence de la République".

Toutefois, en ce qui concerne les activités rapportées par l'actualité, il semblerait que le comportement ait été moins sophistiqué qu'on pourrait l'imaginer, car dans la plupart des cas, il s'agissait de simples ingénierie sociale, avec vol d'identifiants d'accès à distance : dans un cas par vol de la carte électronique et utilisation de Mot de passe écrit sous le clavier; dans un deuxième cas la personne qui s'authentifiait a été filmée de dos et la scène a ainsi été reconstituée Mot de passe; dans un autre cas encore, ils ont agi par l'intermédiaire du phishing sur Courriel Le personnel de la victime a obtenu un accès auquel il a ensuite reconstitué l'intégralité du fichier journal.

Mais parmi les victimes du "dossier", il n'y a pas que des personnalités italiennes. Parmi les intéressés, on trouve également deux oligarques russo-kazakhs très proches de Poutine et ayant des affaires en Italie. Il s'agit d'Andrey Toporov, actif en Italie dans le secteur du tourisme, propriétaire d'hôtels de luxe entre Cortina d'Ampezzo et la côte de Jesolo et de Victor Kharitonin, magnat du secteur pharmaceutique, ami et partenaire de Roman Abramovich et déjà inclus dans le magazine Forbes parmi les les hommes les plus riches du monde :

"Le gang d'espions milanais aurait mené des recherches sur les investisseurs étrangers, notamment russes. Et il aurait tenté de construire un réseau de serveurs à l'étranger pour contourner les contrôles, peut-être même pour fournir des informations aux « agences étrangères ». C'est également le cas de l'enquête du DDA de Milan, coordonnée par le procureur Francesco De Tommasi, qui a également conduit à la saisie en Lituanie de serveurs utilisés pour pénétrer dans les bases de données Viminale. C'est Nunzio Samuele Calamucci, le hacker du groupe, qui a révélé que la "plateforme Beyond", le logiciel d'agrégation d'informations créé par le gang, "est connectée à deux serveurs centraux, l'un situé à Londres et l'autre en Lituanie". Une société miroir de la société milanaise, Equalize Ltd, aurait été créée à Londres, dans laquelle aurait opéré un groupe de "garçons" qui se seraient occupés d'un "accès direct" aux archives Sdi de la police. C'est pour cette raison que les enquêteurs évaluent également la possibilité d'une commission rogatoire auprès des autorités anglaises. Dans ce contexte, des contacts avec des « services secrets, y compris étrangers », et des informations sur certains entrepreneurs russes ont été révélés. »10

Et justement cette dernière partie du « dossier » ouvre des perspectives complexes et très intéressantes sur des scénarios dignes des meilleures intrigues des romans de John Le Carrè, avec de sombres intrigues qui impliqueraient le Mossad et le Vatican. Que ce soit vrai ou non, on ne peut nier un certain charme à toute l’histoire :

"La rencontre avec le 007 israélien a lieu le 8 février 2023. Le crochet est un ancien carabinier du ROS ayant des postes dans le Sismi appelé Vincenzo De Marzio. Deux hommes non identifiés « qui représentent une branche des renseignements de l'État d'Israël » l'accompagnent. Ils réclament une surveillance des attaques de hackers russes et l'interception des mouvements bancaires du groupe Wagner. Parce qu'ils veulent empêcher le financement du gang de Prigojine par les oligarques. En échange, ils promettent des informations sur le trafic illicite de gaz iranien en Italie. Et un million d'euros de dédommagement.

Ensuite, il y a le rapport demandé par le Vatican. «J'ai besoin de données pour lutter contre l'oligarque, le bras droit de Poutine. Est-ce qu'on aide l'Église contre la Russie ou pas ?", dit Calamucci. «S'ils nous paient…», répond Gallo. «Pro ​​bono pour le Pape ?», disent-ils en plaisantant. »11

Il faut dire que le cas deÉgaliser, bien que le plus sensationnel, n’était que le dernier d’une série d’événements similaires :

"L'enquête sur le dossier qui a éclaté à Milan et qui implique des noms du monde de la finance n'est pas seulement un cas isolé mais seulement le dernier d'une série d'épisodes similaires survenus depuis le début de l'année. …

Nous commençons par ce qui a été défini comme "l'Affaire Striano", du nom du lieutenant de la police financière qui s'est retrouvé dans la maxi enquête du parquet de Pérouse capable de mettre en lumière une véritable activité illicite liée à des milliers et des milliers. d'accès illicites à diverses bases de données pour créer de véritables "dossiers" sur des VIP et des hommes politiques. L'enquête a été lancée par la plainte du ministre de la défense, Guido Crosetto, l'une des principales cibles de l'activité de Pasquale Striano, mais pas seulement. …

La seconde est beaucoup plus récente. Il y a quelques semaines, la justice romaine a arrêté un jeune homme, Carmelo Miano, qui était au-dessus de tout soupçon et n'avait aucun casier judiciaire. Des écoutes environnementales et de nombreuses activités d'enquête et techniques ont mis en lumière l'intrusion du jeune homme de 50 ans dans les bases de données du ministère de la Justice et de divers tribunaux du pays. On a découvert que Miano disposait des courriels de centaines de juges et magistrats disséminés dans toute l'Italie ainsi que des mots de passe d'accès aux ordinateurs de près de XNUMX magistrats instructeurs. …

Quelques jours plus tard, à Bari, l'activité illicite d'un employé d'une succursale d'Intesa Sanpaolo, Vincenzo Coviello, a été découverte. Le banquier a vérifié, pour ce qu'il a lui-même défini devant les magistrats comme une "simple curiosité personnelle", les mouvements des comptes courants de divers hommes politiques, en premier lieu ceux du président de la République, Mattarella, et du Premier ministre, Giorgia Meloni. Mais les sportifs, les VIP du monde de la télévision et du divertissement ne manquent pas. 3500 XNUMX comptes au total vérifiés. »12

À ce stade, voyons quelle organisation de sécurité nationale a été créée pour contrer ce type de menace subtile et de grande envergure.

L’évolution du système national de cybersécurité

Avant de continuer, il convient de donner une définition de ce que l'on définit comme «cyber-crise nationale», selon les diktats de l'organisation nationale de sécurité :

"Situation dans laquelle un cyberincident prend des dimensions, une intensité ou une nature telles qu'il affecte la sécurité nationale ou ne peut être traité par les différentes administrations compétentes de manière ordinaire, mais par la prise de décisions coordonnées au niveau interministériel. En cas de cyber-crise nationale, le Noyau de cybersécurité (NSC). »13

L'État italien, pour faire face efficacement aux menaces cyber, a engagé depuis longtemps une réforme du système de cyberdéfense, dans le cadre d'un système intégré au niveau européen.

À cette fin, le Parlement a mis en œuvre en mai 2018 la directive européenne NIS (Sécurité des réseaux et de l'information),14 l'introduire dans le droit italien. Cette directive aborde pour la première fois au niveau européen, de manière organique et transversale, la question de la cybersécurité, contribuant à accroître le niveau commun de sécurité dans les pays membres.

Comme l'exige cette disposition, les autorités italiennes compétentes ont identifié les opérateurs de services essentiels (OSE) et les fournisseurs de services numériques (FSD) pour chacun des secteurs couverts par la directive : énergie, transports, banque, infrastructures des marchés financiers, santé, approvisionnement. et distribution d'eau potable et infrastructures numériques, pour un total de 465 entités publiques et privées. La loi a contraint ces opérateurs à adopter meilleures pratiques pour la gestion des risques. De plus, la réglementation a identifié les modalités d'évaluation du respect effectif de celles-ci : un aspect, celui du respect de la réglementation, qui fait vraiment faire un saut qualitatif à la culture de la cybersécurité.

Suite à la publication au Journal Officiel en novembre 2019, par arrêté du Président du Conseil des Ministres, le Équipe de réponse aux incidents de sécurité informatique (CSIRT)15 Italien, c'est-à-dire une équipe prête à intervenir en cas de cyberattaque. Tel équipe est placé directement sous la Direction de la Sécurité de l'Information (DIS) avec pour mission de prévenir et de gérer les incidents ou cyberattaques en communiquant en temps réel avec les États membres de l'Union européenne éventuellement impliqués dans la situation critique, obtenant ainsi une plus grande efficacité dans l'action défensive .

Les travaux réalisés jusqu'à présent par l'Unité de Cybersécurité (NSC) seront mis en œuvre au CSIRT et l'activation du périmètre national de cybersécurité approuvée en septembre 2019 par le Gouvernement sera mise en œuvre. Par la suite, le DIS, le ministère du Développement économique et l'Agence pour l'Italie numérique (AGID) signeront des accords pour assurer le transfert des fonctions du Équipe d'intervention d'urgence informatique (CERT) national et de Équipe d'intervention d'urgence informatique de l'Administration Publique (CERT-PA) au CSIRT italien qui, pour accomplir ses tâches, exploitera l'AGID comme le prévoit le décret législatif NIS. Le décret portant création du CSIRT nécessitera 180 jours pour que ses dispositions entrent en vigueur ; par conséquent, ce nouvel organisme dédié à la défense du cyberespace italien ne sera opérationnel qu'à partir de mai 2020.

En attendant cette évolution structurelle et réglementaire, le CERT-PA a récemment démarré les tests opérationnels de la plateforme nationale de lutte contre les cyberattaques.16 Cette plateforme aura pour objectif de transmettre des indicateurs de compromission, de notifier et de représenter les événements de cyber-risque dans différents scénarios.

Les administrations publiques et les utilisateurs qui utilisent le service pourront s'appuyer sur la plateforme pour la reconnaissance automatique d'éventuelles cybermenaces. Grâce à lui les données de cyber-attaques, collectés et signalés automatiquement, seront immédiatement analysés pour activer rapidement une réponse défensive intégrée.

La plateforme, qui avait déjà été activée au début de l'année 2019 en phase expérimentale et est composée de différents éléments, dont le Témoignage Les indicateurs nationaux de compromission du transport (CNTI) sont donc entrés dans leur phase pilote, après quoi le projet sera amélioré en élargissant également l'audience des utilisateurs. Une plus grande facilité d'utilisation du service sera également garantie, qui pourra être incluse dans les processus technologiques dédiés à la gestion de la sécurité de l'entreprise.

Grâce à ce système, l'Italie pourra également réagir rapidement aux cyberattaques, qu'elles proviennent d'individus, d'organisations locales ou nationales, de menaces conventionnelles ou non linéaires.

2Glossaire du renseignement. Le langage des organismes d’information, P 40.

3 La Piscopìa S., Setti S., Cyberespionnage : profils du droit international, Presses universitaires Eurilink, Rome, 2021, p. 210.

4 Ibid.

5Menace APT : ce que sont les menaces persistantes avancées, comment elles fonctionnent et comment se défendre contre elles, Cybersécurité360, https://www.cybersecurity360.it

6 Marcialis M., Les rues de la violence, Colorado Noir, Mondadori, 2006, p. 51.

7 Fusani C., Égalisez, huit cent mille espionnés, les serveurs en Lituanie et la piste qui mène à la Russie, Actualités Tiscali, 2910/2024. https://notizie.tiscali.it/politica/articoli/equalize-ottocentomila-spia....

8Aujourd'hui, l'entreprise de Cornelli a réalisé un chiffre d'affaires de 224 mille euros en un an et demi, Reggio Soir, 27/10/2024. https://www.reggiosera.it/2024/10/dag-la-societa-di-cornelli-ha-fatturat...

9 La Venia G., Dossierage, les papiers de l'enquête milanaise : le compte de Sergio Mattarella également piraté, Rai Nouvelles, 27/10/2024.https://www.rainews.it/video/2024/10/dossieraggio-le-carte-dell-inchiest....

10Des dossiers sur les oligarques russes émergent : il y a aussi l'homme qui a racheté les actifs de Fusillo, La Gazzetta du Mezzogiorno,

29 / 10 / 2024.  https://www.lagazzettadelmezzogiorno.it/news/primo-piano/1571949/spuntan....

11 D'Amato A., Le Mossad, le Vatican, de l'argent pour espionner les salariés : les accords d'Equalize avec les entreprises et les services secrets, Ouvert, 30/10/2024. https://www.open.online/2024/10/30/equalize-eni-mossad-vaticano-soldi-az....

12 Soglio A., De Striano à l'enquête de Milan : 2024 est l'année des dossiers, Affaires italiennes, 28/10/2024. https://www.affaritaliani.it/cronache/dossier-inchiesta-milano-dati-stri....

13 Glossaire du renseignement. Le langage des organismes d’information, PCM-SISR, 2019, p. A.7

14 Avec le décret législatif du 18 mai 2018, n.65, publié au Journal officiel n. 132 du 9 juin 2018, l'Italie a mis en œuvre, en la transposant dans le droit national, la directive (UE) 2016/1148, dite. Directive SRI.