L’Autorité nationale de la sécurité des systèmes d’information
tirait dernièrement la sonnette d’alarme : les cyberattaques auraient été
multipliées par 4 en
2020. Ces actes malveillants aux conséquences multiples sont bien souvent
sous-estimés et peu anticipés. Pourtant, aucune entreprise n’est à l’abri.
Avocate counsel au cabinet Altana, Laetitia Daage nous éclaire sur les visages
de ce phénomène et les bons réflexes à adopter, tout en appelant à une « véritable prise de conscience et une forte
mobilisation ».
Avant toute chose, pouvez-vous nous expliquer pourquoi les entreprises
(et autres) se font hacker ? Que recherchent généralement les
hackers ? « Qui » sont ces derniers ?
Le but du
jeu pour les hackers est principalement de dérober des informations
confidentielles, des données personnelles ou d’obtenir de l’argent. Pour cela,
ils vont le plus souvent viser de grandes entreprises ou des états. Mais on voit que désormais, les
PME et entreprises de petite taille, sont elles aussi la cible des attaques.
Les hackers les utilisent comme des chevaux de Troie afin de contourner les
systèmes de sécurité informatiques mis en place par les entreprises et entrer
dans les systèmes d’information. Les hackers vont ainsi exploiter les failles
des prestataires, des partenaires ou des fournisseurs, souvent de plus petite
taille et moins sécurisés, pour entrer.
S’agissant du
profil des hackers, tout d’abord, près de la moitié des groupes d’attaquants
(49 %) sont parrainés par des États sanctuaires qui leur octroient des
moyens importants. Les hackers veulent
le plus souvent voler des
données sensibles pour s’en servir afin de faire du
cyberespionnage, de la déstabilisation politique ou du sabotage. On trouve plus
particulièrement des cyberactivistes (26 %) qui ont, quant à eux, des
motivations idéologiques et souhaitent porter atteinte à l’image de leurs
cibles. Enfin, on trouve les cybercriminels (20 %), qui cherchent à
s’enrichir et visent pour cela principalement le secteur de la finance et du
commerce. Ce sont le plus souvent eux qui vont attaquer les entreprises.
Comment expliquez-vous l’explosion des cyberattaques dernièrement ?
Je pense que
cette explosion des cyberattaques est une conjonction de plusieurs facteurs. En
effet, le manque de sensibilisation aux risques cyber, l’absence de maîtrise
des systèmes d’information, le non-respect des mesures d’hygiène informatique
et, dans une certaine mesure, l’augmentation de la surface d’attaque du fait de
la généralisation du télétravail, sont autant de faiblesses qui sont largement
exploitées par les cybercriminels.
Quels sont les facteurs de risques principaux ?
En premier
lieu, le principal facteur de risque en matière de cyberattaques reste la
faille humaine. Car le comportement des salariés/collaborateurs/employés est la
faille de sécurité informatique la plus simple à exploiter par les
cyberattaquants. En effet, par méconnaissance ou manque de vigilance, ils ne
sont souvent pas réellement conscients des cyber-risques auxquels ils exposent
l’entreprise. D’où l’importance de les sensibiliser et de les accompagner par
la formation.
Le système
de protection informatique mis en place dans l’entreprise est également
primordial, car toute faille dans ce système peut être fatale. Rappelez-vous
par exemple le ransomware WannaCry qui, en mai 2017, a exploité une
faille du système Microsoft Windows, ce qui a touché 150 pays et fait plus de 200 000 victimes en entreprise.
Les réseaux,
les postes de travail et les serveurs doivent donc être sécurisés et les mises
à jour et les correctifs émis par les éditeurs de logiciels doivent être faits.
Il faut
également évoquer les accessoires et les applications externes, tels que les
clés USB, disques durs externes, lecteurs de musique, qui sont souvent la
source d’intrusion non contrôlée. En effet, tout appareil externe introduit
dans l’entreprise et connecté aux équipements informatiques représente une
porte d’entrée idéale.
Enfin, le
Wi-Fi et les objets connectés sont aussi des modes d’infiltration. Si la
plupart du temps, le réseau Wi-Fi des entreprises est bien sécurisé, ce n’est
pas forcément le cas de celui de leurs salariés ou des bornes publiques, qu’ils
vont utiliser quand ils seront en déplacement. Il en est de même pour les
objets connectés (montres, enceintes…) qui représentent des risques potentiels.
Quelles formes prennent ces attaques, et comment les hackers s’y
prennent-ils ? Par ailleurs, quelles sont les structures les plus
visées ?
En plus de
la délinquance classique type escroquerie, fraude au président, usurpation
d’identité, les entreprises sont actuellement massivement visées par des
cyberattaques par ransomwares (rançongiciels). Cela consiste à chiffrer
les données de l’entreprise tant sur les postes de travail que sur les serveurs
en réclamant un paiement, une rançon, en échange de la clé de déchiffrement censée
permettre de les récupérer.
À titre
d’illustration, on peut notamment citer l’attaque survenue en mai 2019, par
laquelle des hackers ont bloqué le système informatique de la ville de
Baltimore avec un ransomware, et ont exigé une rançon de 100 000 dollars (89 410 euros) en Bitcoin pour débloquer
l’intégralité des fichiers concernés. Ou encore, en 2020, l’attaque par le
rançongiciel Maze, qui a sévi dans le monde entier et a touché aussi bien des
sociétés françaises qu’américaines ou belges.
La technique
du phishing (hameçonnage) est aussi très utilisée auprès des
entreprises. Aujourd’hui, ce type d’attaque s’est sophistiqué, avec des mails
qui désormais ciblent précisément certaines personnes, ce qui permet d’éviter
que cela tombe en spam.
Il ne faut
pas oublier aussi la fraude en ligne pour voler des données personnelles,
l’espionnage informatique pour les secteurs d’importance vitale et les OIV,
mais également les attaques en déni de service, qui visent à saturer un réseau
ou un service en ligne rendant celui-ci indisponible.
En septembre
2020, Wikipédia avait été visée par une attaque massive en déni de service qui
avait touché l’Europe, l’Afrique et le Moyen-Orient avant de s’étendre
partiellement aux États-Unis et à l’Asie. Cette attaque a altéré le bon
fonctionnement du service pendant au moins neuf heures. En octobre 2020, Google
a quant à elle été touchée par la plus importante attaque en déni de service
jamais vue.
On trouve
aussi des attaques par cryptojacking, qui permettent l’utilisation de
manière clandestine d’un ordinateur préalablement infecté par un virus, afin
d’y installer un logiciel créateur de crypto monnaie.
Il faut
également citer le hacking de logiciel, qui permet de rentrer dans le
système d’information de l’entreprise sans être repéré, via la mise à jour du
logiciel qui s’est vu implanter le malware dans son code source. La
cyberattaque Solarwinds, l’une des attaques les plus sophistiquées à ce jour,
en est une parfaite illustration.
« Désormais, les PME et entreprises de petite taille,
sont elles aussi la cible des attaques. »
Quelles conséquences cela engendre-t-il ?
Les
conséquences pour une entreprise sont multiples, à savoir : financières,
réputationnelles, d’image, sans oublier les sanctions éventuelles. Le coût
moyen mondial d’une attaque informatique pour une entreprise a été estimé à
3,92 millions en 2019.
Ce chiffre
tient compte non seulement des coûts liés aux éventuels dommages infligés aux
appareils et systèmes touchés par l’attaque, mais également de tous les coûts
indirects tels que l’impact sur l’image de l’entreprise, la perte de chiffre
d’affaires, ainsi que les frais des éventuelles procédures judiciaires, qu’il s’agisse
du montant des dommages et intérêts alloués aux victimes, des amendes, ou des
honoraires des conseils. Saint-Gobain a ainsi évalué à 220 millions
d’euros le coût de l’attaque subie en 2020.
Une
cyberattaque peut également induire une perte de confiance des partenaires,
actionnaires et clients de l’entreprise, en renvoyant une image de fragilité ou
un manque de fiabilité.
Cette
atteinte à l’image et à la réputation peut également avoir un impact non
négligeable sur les salariés de l’entreprise et sur sa capacité à attirer des
talents.
Elle n’est
pas non plus exempte de risque de sanction tant administrative que judiciaire
pour l’entreprise victime de l’attaque dans le cas d’usurpation et/ou
divulgation de données personnelles de clients, de fournisseurs ou de salariés.
Comment doit-on agir lorsqu’on a été victime d’une attaque ? Quels sont les « bons réflexes » à adopter ?
Quand une
entreprise est victime d’une cyberattaque, cela peut paralyser tout le système
d’information de l’entreprise et empêcher l’accès aux données.
Il faut donc réagir très vite et s’organiser. Il faut ainsi contacter les
personnes compétentes, monter une cellule de crise réunissant des membres du
comité de direction et des membres de l’équipe informatique et répartir les
tâches de manière rigoureuse.
Il faut agir
concomitamment sur trois plans :
• Technique : pour éviter la propagation
de l’attaque, il faut absolument immédiatement déconnecter les machines du
réseau sans toutefois les éteindre et vérifier que votre système de sauvegarde
n’a subi aucun dommage.
Il faut par
ailleurs faire appel à l’Agence nationale de la sécurité des systèmes
d’information (ANSSI) et à une société Forensic pour essayer au plus vite de
récupérer les informations sur les systèmes compromis. Ils tenteront aussi de
comprendre par où sont entrés les cyberattaquants et quel type de malware a été
utilisé. Il faut enfin documenter au maximum l’attaque pour fournir les
informations nécessaires aux services spécialisés.
• Pénal : nous avons environ 15 jours pour recueillir les traces de
connexion qui permettent de remonter la piste des attaquants. Il est donc
INDISPENSABLE de déposer plainte le plus rapidement possible, car sans plainte,
les services spécialisés ne seront pas saisis et ne pourront pas agir ni
remonter les filières criminelles.
• Réglementaire : le RGPD oblige les
entreprises à prévenir la CNIL et leurs clients si des données ont été
compromises. Une première notification doit intervenir dans les 72 heures.
Il ne faut
pas non plus négliger la communication de crise.
Enfin, si
une assurance cyber a été souscrite, il faudra contacter la compagnie qui
pourra fournir des moyens divers à l’entreprise.
Comment ces attaques sont-elles réprimées par la loi ? Quel est le traitement judiciaire d’une cyberattaque ?
En France,
la cybercriminalité est appréhendée juridiquement depuis la loi relative à
l’informatique, aux fichiers et aux libertés du 6 janvier 1978. Ces
dispositions ont été étendues par la loi Godfrain de 1988, qui a introduit dans
le Code pénal des sanctions contre toutes les atteintes aux systèmes
automatisés de données (STAD). En 2004, 2016, 2019, l’arsenal répressif s’est
renforcé, ce qui témoigne de la volonté du législateur d’adapter en permanence
la réponse pénale à l’évolution constante des cybermenaces.
L’institution
judiciaire s’est quant à elle progressivement spécialisée au travers de la
Juridiction nationale chargée de la lutte contre la criminalité organisée
(Junalco) et de la réorganisation du parquet avec la section J3 spécialisée en cybercriminalité. Cependant,
pour que cette réponse pénale soit parfaitement adaptée aux actes de
cybercriminalité, du chemin reste à parcourir, car les individus et les
organisations qui perpétuent ces actes sophistiquent leurs méthodes en permanence.
Parlons maintenant de l’amont. Quelles sont les actions mises en place
par le gouvernement pour tenter d’enrayer le phénomène ?
Le plan
Macron a été annoncé il y a peu de temps. C’est une bonne stratégie. Il s’agit
d’une enveloppe d’un milliard d’euros, prévue pour financer à la fois la
recherche en matière cyber, mais également renforcer le niveau de sécurité des
acteurs publics, et enfin permettre la création du Campus Cyber. Cette synergie
espérée entre les grands groupes, les PME, les start-up et l’administration
autour de projets en matière de cybersécurité, a pour but de créer une
véritable « dream team » en cyber sécurité.
Il y a
également, depuis quelques temps, un renforcement de la coopération européenne
et internationale en matière de lutte contre le risque cyber. Ce qui change
tout et décuple les moyens dont disposent les services d’enquêtes de chaque
pays, leur donnant accès notamment à des informations et à des filières qu’ils
n’auraient pas pu atteindre seuls.
Europol a, à
titre d’exemple, créé en 2013 le Centre européen de la lutte contre la cybercriminalité, puis, en
2019, la stratégie dite 2020, ce qui a notamment permis le démantèlement
de Safe-Inet, un réseau virtuel privé très apprécié des cybercriminels. Tout
ceci est le fruit d’une coopération réussie à laquelle ont notamment participé
Europol et la police allemande.
La plupart des entreprises ne semblent pas vraiment prendre la mesure
des risques encourus… Comment l’expliquez-vous ?
En étant en
contact permanent avec les entreprises, nous nous sommes rendu compte qu’il y
avait un vrai problème d’absence de conscience du risque. Dans la majorité des
cas, il n’y a pas d’anticipation ni les outils adaptés, ni assez de formation
en interne.
Certains
chefs d’entreprise continuent de négliger le risque cyber, persuadés que leur
entreprise ne peut pas intéresser des cyberattaquants.
Or, on sait
que l’industrie de la cybercriminalité est en perpétuelle évolution. Ainsi les
délinquants s’adaptent et évoluent très rapidement. Ils se sont notamment
adaptés pour profiter des circonstances exceptionnelles liées à la crise
sanitaire actuelle. Il faut donc une véritable prise de conscience et une forte
mobilisation.
Le risque
numérique doit en effet aujourd’hui impérativement être intégré dans la gestion
globale des risques de l’entreprise, en utilisant à la fois le levier de la
réglementation, mais aussi en accroissant les investissements dans la
cybersécurité et dans la formation interne.
Un rapport rendu le 28 avril émet plusieurs recommandations. Quelles sont les pistes
principales évoquées pour se prémunir efficacement ?
Avant tout,
le rapport rappelle qu’une collaboration entre le secteur public et le secteur
privé est primordiale. En effet, les différents accords passés entre États et
les politiques nationales ne peuvent s’en passer, pour être encore plus
efficaces de l’expertise des acteurs privés qui sont confrontés tous les jours
à ces cyberattaques.
Le rapport
préconise par ailleurs d’étoffer les services de la justice en matière de lutte
contre la cybercriminalité, notamment en créant une filière de cyber
magistrats, une chambre correctionnelle spécialisée en cybercriminalité et un
département numérique et cyber au niveau de la cour d’appel de Paris, mais
également en renforçant les moyens d’enquête (simplification de l’enquête sous
pseudonyme) afin d’accélérer le démantèlement des filières.
À l’échelle
internationale, il faudrait harmoniser le régime européen de conservation des
données afin de faciliter les enquêtes menées par les services des différents
pays de l’UE et renforcer la coopération entre les autorités de contrôle des
différents États. Plus largement, il faut inciter les États sanctuaires de la
criminalité, non-parties à la Convention de Budapest – signée le 23 novembre 2001, qui a pour finalité de mettre
un terme à la facilité d’installation de cyberdélinquants –, de mettre fin à
l’impunité des cyberattaquants.
Certaines écoles proposent des formations en « hacking
éthique » pour acquérir une expertise dans la sécurité informatique…
En effet,
de plus en plus d’entreprises, d’organisations et d’institutions recherchent
des experts confirmés en matière de cybersécurité, capables de mettre
leur propre système de sécurité informatique à l’épreuve et d’agir pratiquement
comme de « vrais » pirates informatiques.
Le hacking
étant, par définition, illégal, le hacking éthique (les hackers blancs) a mis
quelques années avant de trouver un cadre juridique. Mais à la suite de
plusieurs cas qui ont fait jurisprudence, « les citoyens détecteurs de
faille informatique » sont désormais protégés en France par la loi
n° 2016-1321 du 7 octobre 2016 pour une République numérique.
Propos recueillis par Bérengère Margaritelli