ACTUALITÉ

« L’industrie de la cybercriminalité est en perpétuelle évolution » - Entretien avec Laetitia Daage, avocate counsel

« L’industrie de la cybercriminalité est en perpétuelle évolution » - Entretien avec Laetitia Daage, avocate counsel
Publié le 20/07/2021 à 16:02

L’Autorité nationale de la sécurité des systèmes d’information tirait dernièrement la sonnette d’alarme : les cyberattaques auraient été multipliées par 4 en 2020. Ces actes malveillants aux conséquences multiples sont bien souvent sous-estimés et peu anticipés. Pourtant, aucune entreprise n’est à l’abri. Avocate counsel au cabinet Altana, Laetitia Daage nous éclaire sur les visages de ce phénomène et les bons réflexes à adopter, tout en appelant à une « véritable prise de conscience et une forte mobilisation ».

 

 

Avant toute chose, pouvez-vous nous expliquer pourquoi les entreprises (et autres) se font hacker ? Que recherchent généralement les hackers ? « Qui » sont ces derniers ?

Le but du jeu pour les hackers est principalement de dérober des informations confidentielles, des données personnelles ou d’obtenir de l’argent. Pour cela, ils vont le plus souvent viser de grandes entreprises ou des états. Mais on voit que désormais, les PME et entreprises de petite taille, sont elles aussi la cible des attaques. Les hackers les utilisent comme des chevaux de Troie afin de contourner les systèmes de sécurité informatiques mis en place par les entreprises et entrer dans les systèmes d’information. Les hackers vont ainsi exploiter les failles des prestataires, des partenaires ou des fournisseurs, souvent de plus petite taille et moins sécurisés, pour entrer.

S’agissant du profil des hackers, tout d’abord, près de la moitié des groupes d’attaquants (49 %) sont parrainés par des États sanctuaires qui leur octroient des moyens importants. Les hackers veulent le plus souvent voler des données sensibles pour s’en servir afin de faire du cyberespionnage, de la déstabilisation politique ou du sabotage. On trouve plus particulièrement des cyberactivistes (26 %) qui ont, quant à eux, des motivations idéologiques et souhaitent porter atteinte à l’image de leurs cibles. Enfin, on trouve les cybercriminels (20 %), qui cherchent à s’enrichir et visent pour cela principalement le secteur de la finance et du commerce. Ce sont le plus souvent eux qui vont attaquer les entreprises.

 

 

Comment expliquez-vous l’explosion des cyberattaques dernièrement ?

Je pense que cette explosion des cyberattaques est une conjonction de plusieurs facteurs. En effet, le manque de sensibilisation aux risques cyber, l’absence de maîtrise des systèmes d’information, le non-respect des mesures d’hygiène informatique et, dans une certaine mesure, l’augmentation de la surface d’attaque du fait de la généralisation du télétravail, sont autant de faiblesses qui sont largement exploitées par les cybercriminels.

 

 

Quels sont les facteurs de risques principaux ?

En premier lieu, le principal facteur de risque en matière de cyberattaques reste la faille humaine. Car le comportement des salariés/collaborateurs/employés est la faille de sécurité informatique la plus simple à exploiter par les cyberattaquants. En effet, par méconnaissance ou manque de vigilance, ils ne sont souvent pas réellement conscients des cyber-risques auxquels ils exposent l’entreprise. D’où l’importance de les sensibiliser et de les accompagner par la formation.

Le système de protection informatique mis en place dans l’entreprise est également primordial, car toute faille dans ce système peut être fatale. Rappelez-vous par exemple le ransomware WannaCry qui, en mai 2017, a exploité une faille du système Microsoft Windows, ce qui a touché 150 pays et fait plus de 200 000 victimes en entreprise.

Les réseaux, les postes de travail et les serveurs doivent donc être sécurisés et les mises à jour et les correctifs émis par les éditeurs de logiciels doivent être faits.

Il faut également évoquer les accessoires et les applications externes, tels que les clés USB, disques durs externes, lecteurs de musique, qui sont souvent la source d’intrusion non contrôlée. En effet, tout appareil externe introduit dans l’entreprise et connecté aux équipements informatiques représente une porte d’entrée idéale.

Enfin, le Wi-Fi et les objets connectés sont aussi des modes d’infiltration. Si la plupart du temps, le réseau Wi-Fi des entreprises est bien sécurisé, ce n’est pas forcément le cas de celui de leurs salariés ou des bornes publiques, qu’ils vont utiliser quand ils seront en déplacement. Il en est de même pour les objets connectés (montres, enceintes…) qui représentent des risques potentiels.

 

 

Quelles formes prennent ces attaques, et comment les hackers s’y prennent-ils ? Par ailleurs, quelles sont les structures les plus visées ?

En plus de la délinquance classique type escroquerie, fraude au président, usurpation d’identité, les entreprises sont actuellement massivement visées par des cyberattaques par ransomwares (rançongiciels). Cela consiste à chiffrer les données de l’entreprise tant sur les postes de travail que sur les serveurs en réclamant un paiement, une rançon, en échange de la clé de déchiffrement censée permettre de les récupérer.

À titre d’illustration, on peut notamment citer l’attaque survenue en mai 2019, par laquelle des hackers ont bloqué le système informatique de la ville de Baltimore avec un ransomware, et ont exigé une rançon de 100 000 dollars (89 410 euros) en Bitcoin pour débloquer l’intégralité des fichiers concernés. Ou encore, en 2020, l’attaque par le rançongiciel Maze, qui a sévi dans le monde entier et a touché aussi bien des sociétés françaises qu’américaines ou belges.

La technique du phishing (hameçonnage) est aussi très utilisée auprès des entreprises. Aujourd’hui, ce type d’attaque s’est sophistiqué, avec des mails qui désormais ciblent précisément certaines personnes, ce qui permet d’éviter que cela tombe en spam.

Il ne faut pas oublier aussi la fraude en ligne pour voler des données personnelles, l’espionnage informatique pour les secteurs d’importance vitale et les OIV, mais également les attaques en déni de service, qui visent à saturer un réseau ou un service en ligne rendant celui-ci indisponible.

En septembre 2020, Wikipédia avait été visée par une attaque massive en déni de service qui avait touché l’Europe, l’Afrique et le Moyen-Orient avant de s’étendre partiellement aux États-Unis et à l’Asie. Cette attaque a altéré le bon fonctionnement du service pendant au moins neuf heures. En octobre 2020, Google a quant à elle été touchée par la plus importante attaque en déni de service jamais vue.

On trouve aussi des attaques par cryptojacking, qui permettent l’utilisation de manière clandestine d’un ordinateur préalablement infecté par un virus, afin d’y installer un logiciel créateur de crypto monnaie.

Il faut également citer le hacking de logiciel, qui permet de rentrer dans le système d’information de l’entreprise sans être repéré, via la mise à jour du logiciel qui s’est vu implanter le malware dans son code source. La cyberattaque Solarwinds, l’une des attaques les plus sophistiquées à ce jour, en est une parfaite illustration.

 

 

 

«  Désormais, les PME et entreprises de petite taille,

sont elles aussi la cible des attaques. »


 

 

 

Quelles conséquences cela engendre-t-il ?

Les conséquences pour une entreprise sont multiples, à savoir : financières, réputationnelles, d’image, sans oublier les sanctions éventuelles. Le coût moyen mondial d’une attaque informatique pour une entreprise a été estimé à 3,92 millions en 2019.

Ce chiffre tient compte non seulement des coûts liés aux éventuels dommages infligés aux appareils et systèmes touchés par l’attaque, mais également de tous les coûts indirects tels que l’impact sur l’image de l’entreprise, la perte de chiffre d’affaires, ainsi que les frais des éventuelles procédures judiciaires, qu’il s’agisse du montant des dommages et intérêts alloués aux victimes, des amendes, ou des honoraires des conseils. Saint-Gobain a ainsi évalué à 220 millions d’euros le coût de l’attaque subie en 2020.

Une cyberattaque peut également induire une perte de confiance des partenaires, actionnaires et clients de l’entreprise, en renvoyant une image de fragilité ou un manque de fiabilité.

Cette atteinte à l’image et à la réputation peut également avoir un impact non négligeable sur les salariés de l’entreprise et sur sa capacité à attirer des talents.

Elle n’est pas non plus exempte de risque de sanction tant administrative que judiciaire pour l’entreprise victime de l’attaque dans le cas d’usurpation et/ou divulgation de données personnelles de clients, de fournisseurs ou de salariés.

 


Comment doit-on agir lorsqu’on a été victime d’une attaque ? Quels sont les « bons réflexes » à adopter ?

Quand une entreprise est victime d’une cyberattaque, cela peut paralyser tout le système d’information de l’entreprise et empêcher l’accès aux données.
Il faut donc réagir très vite et s’organiser. Il faut ainsi contacter les personnes compétentes, monter une cellule de crise réunissant des membres du comité de direction et des membres de l’équipe informatique et répartir les tâches de manière rigoureuse.

Il faut agir concomitamment sur trois plans :

Technique : pour éviter la propagation de l’attaque, il faut absolument immédiatement déconnecter les machines du réseau sans toutefois les éteindre et vérifier que votre système de sauvegarde n’a subi aucun dommage.

Il faut par ailleurs faire appel à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et à une société Forensic pour essayer au plus vite de récupérer les informations sur les systèmes compromis. Ils tenteront aussi de comprendre par où sont entrés les cyberattaquants et quel type de malware a été utilisé. Il faut enfin documenter au maximum l’attaque pour fournir les informations nécessaires aux services spécialisés.

Pénal : nous avons environ 15 jours pour recueillir les traces de connexion qui permettent de remonter la piste des attaquants. Il est donc INDISPENSABLE de déposer plainte le plus rapidement possible, car sans plainte, les services spécialisés ne seront pas saisis et ne pourront pas agir ni remonter les filières criminelles.

Réglementaire : le RGPD oblige les entreprises à prévenir la CNIL et leurs clients si des données ont été compromises. Une première notification doit intervenir dans les 72 heures.

Il ne faut pas non plus négliger la communication de crise.

Enfin, si une assurance cyber a été souscrite, il faudra contacter la compagnie qui pourra fournir des moyens divers à l’entreprise.

 

 

Comment ces attaques sont-elles réprimées par la loi ? Quel est le traitement judiciaire d’une cyberattaque ?

En France, la cybercriminalité est appréhendée juridiquement depuis la loi relative à l’informatique, aux fichiers et aux libertés du 6 janvier 1978. Ces dispositions ont été étendues par la loi Godfrain de 1988, qui a introduit dans le Code pénal des sanctions contre toutes les atteintes aux systèmes automatisés de données (STAD). En 2004, 2016, 2019, l’arsenal répressif s’est renforcé, ce qui témoigne de la volonté du législateur d’adapter en permanence la réponse pénale à l’évolution constante des cybermenaces.

L’institution judiciaire s’est quant à elle progressivement spécialisée au travers de la Juridiction nationale chargée de la lutte contre la criminalité organisée (Junalco) et de la réorganisation du parquet avec la section J3 spécialisée en cybercriminalité. Cependant, pour que cette réponse pénale soit parfaitement adaptée aux actes de cybercriminalité, du chemin reste à parcourir, car les individus et les organisations qui perpétuent ces actes sophistiquent leurs méthodes en permanence.

 

 

Parlons maintenant de l’amont. Quelles sont les actions mises en place par le gouvernement pour tenter d’enrayer le phénomène ?

Le plan Macron a été annoncé il y a peu de temps. C’est une bonne stratégie. Il s’agit d’une enveloppe d’un milliard d’euros, prévue pour financer à la fois la recherche en matière cyber, mais également renforcer le niveau de sécurité des acteurs publics, et enfin permettre la création du Campus Cyber. Cette synergie espérée entre les grands groupes, les PME, les start-up et l’administration autour de projets en matière de cybersécurité, a pour but de créer une véritable « dream team » en cyber sécurité.

Il y a également, depuis quelques temps, un renforcement de la coopération européenne et internationale en matière de lutte contre le risque cyber. Ce qui change tout et décuple les moyens dont disposent les services d’enquêtes de chaque pays, leur donnant accès notamment à des informations et à des filières qu’ils n’auraient pas pu atteindre seuls.

Europol a, à titre d’exemple, créé en 2013 le Centre européen de la lutte contre la cybercriminalité, puis, en 2019, la stratégie dite 2020, ce qui a notamment permis le démantèlement de Safe-Inet, un réseau virtuel privé très apprécié des cybercriminels. Tout ceci est le fruit d’une coopération réussie à laquelle ont notamment participé Europol et la police allemande.

 

 

La plupart des entreprises ne semblent pas vraiment prendre la mesure des risques encourus… Comment l’expliquez-vous ?

En étant en contact permanent avec les entreprises, nous nous sommes rendu compte qu’il y avait un vrai problème d’absence de conscience du risque. Dans la majorité des cas, il n’y a pas d’anticipation ni les outils adaptés, ni assez de formation en interne.

Certains chefs d’entreprise continuent de négliger le risque cyber, persuadés que leur entreprise ne peut pas intéresser des cyberattaquants.

Or, on sait que l’industrie de la cybercriminalité est en perpétuelle évolution. Ainsi les délinquants s’adaptent et évoluent très rapidement. Ils se sont notamment adaptés pour profiter des circonstances exceptionnelles liées à la crise sanitaire actuelle. Il faut donc une véritable prise de conscience et une forte mobilisation.

Le risque numérique doit en effet aujourd’hui impérativement être intégré dans la gestion globale des risques de l’entreprise, en utilisant à la fois le levier de la réglementation, mais aussi en accroissant les investissements dans la cybersécurité et dans la formation interne.

 

 

Un rapport rendu le 28 avril émet plusieurs recommandations. Quelles sont les pistes principales évoquées pour se prémunir efficacement ?

Avant tout, le rapport rappelle qu’une collaboration entre le secteur public et le secteur privé est primordiale. En effet, les différents accords passés entre États et les politiques nationales ne peuvent s’en passer, pour être encore plus efficaces de l’expertise des acteurs privés qui sont confrontés tous les jours à ces cyberattaques.

Le rapport préconise par ailleurs d’étoffer les services de la justice en matière de lutte contre la cybercriminalité, notamment en créant une filière de cyber magistrats, une chambre correctionnelle spécialisée en cybercriminalité et un département numérique et cyber au niveau de la cour d’appel de Paris, mais également en renforçant les moyens d’enquête (simplification de l’enquête sous pseudonyme) afin d’accélérer le démantèlement des filières.

À l’échelle internationale, il faudrait harmoniser le régime européen de conservation des données afin de faciliter les enquêtes menées par les services des différents pays de l’UE et renforcer la coopération entre les autorités de contrôle des différents États. Plus largement, il faut inciter les États sanctuaires de la criminalité, non-parties à la Convention de Budapest – signée le 23 novembre 2001, qui a pour finalité de mettre un terme à la facilité d’installation de cyberdélinquants –, de mettre fin à l’impunité des cyberattaquants.

 

 

Certaines écoles proposent des formations en « hacking éthique » pour acquérir une expertise dans la sécurité informatique…

En effet, de plus en plus d’entreprises, d’organisations et d’institutions recherchent des experts confirmés en matière de cybersécurité, capables de mettre leur propre système de sécurité informatique à l’épreuve et d’agir pratiquement comme de « vrais » pirates informatiques.

Le hacking étant, par définition, illégal, le hacking éthique (les hackers blancs) a mis quelques années avant de trouver un cadre juridique. Mais à la suite de plusieurs cas qui ont fait jurisprudence, « les citoyens détecteurs de faille informatique » sont désormais protégés en France par la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique.

 

Propos recueillis par Bérengère Margaritelli

0 commentaire
Poster

Nos derniers articles