La cause de ces problèmes reste inconnue, et les autorités sud-coréennes « essaient actuellement de déterminer la cause de la paralysie du réseau ». Bien qu’aucun réseau informatique lié au gouvernement n’ait été affecté, les autorités ont indiqué que l’implication de la Corée du Nord n’avait pas encore été établie. Cependant, le porte-parole du Ministère de la Défense sud-coréen Kim Min-seok a déclaré : « Nous n’excluons pas la possibilité que la Corée du Nord soit impliquée ».

Jean-Pierre Carlin, Directeur régional pour l’Europe du Sud et Benelux chez LogRhythm, commente cette information :
« La Corée du Sud est l’un des pays les plus développés au niveau technologique et il est souvent décrit comme le territoire « le plus branché du monde ». En tant que tel, les organisations doivent absolument avoir une connaissance approfondie de leurs propres systèmes IT, pour s’assurer que leurs réseaux sont non seulement protégés de manière adéquate, mais que s’ils devaient être attaqués (ce qui semble inévitable vu le contexte actuel en matière de cybercriminalité), les éventuels dommages seraient efficacement limités en temps réel et les traces de cette attaque pourraient être clairement démontrées.

La cause des problèmes de réseau survenus hier est encore floue et les systèmes ont été infiltrés au point d’en être « paralysés », ce qui indique que les organisations cibles ne disposaient pas la visibilité nécessaire pour contrôler efficacement leurs systèmes IT et pour identifier et corriger en temps réel tout comportement anormal sur leur réseau informatique.
Les organisations doivent pouvoir surveiller en temps réel toutes les données de registre générées par l’ensemble de leurs appareils informatiques, lesquelles renferment toutes les traces d’activité sur le réseau informatique, afin de détecter et de réagir à tout comportement suspect ou non autorisé à l’instant même où il a lieu. Ces messages d’activité aident non seulement les entreprises à identifier un piratage avant que celui-ci ne puisse causer des dommages durables, mais fournissent également des preuves indiscutables permettant de comprendre comment et pourquoi ces attaques ont pu avoir lieu.

L’autre grave problème est qu’il reste énormément d’incertitudes quant à la provenance de cette attaque. Lorsque la source d’une cyber-attaque n’est pas confirmée, l’imputation peut souvent être erronée, et compte tenu des tensions diplomatiques actuelles entre le Sud et le Nord de la Corée, toute erreur de jugement pourrait avoir des conséquences militaires indésirables.
Une analyse plus approfondie de la faille s’avère donc nécessaire, mais celle-ci ne pourra être réalisée à l’aide de solutions de sécurité traditionnelles comme des anti-virus ou des pare-feux. Une stratégie de sécurité IT globale, se concentrant sur la surveillance continue des réseaux informatiques, offrira la visibilité réseau et le discernement de mise pour une telle analyse. Ce niveau élevé de visibilité réseau est primordial pour permettre aux organisations de contrecarrer efficacement les cyber-attaques et de retrouver leurs véritables auteurs. »