Cybersécurité : « Chacun doit faire attention à ses comportements connectés »

Les cyber-attaques visent de plus en plus la sécurité du SI des entreprises et la protection des données personnelles qu’elles recueillent, mais également les particuliers, au travers des objets connectés. La prévention passe par le développement d’un marché assurantiel encore timide en Europe, de nouvelles réglementations et l'adoption de comportements appropriés.

L'auteur

Revue de l'article

Cet article est extrait de
Revue Banque n°803

Numéro double 803-804 : Prospective 2017 - Rétrospective 2016

Quel état des lieux peut-on faire de la cybercriminalité aujourd’hui ?

François Nogaret (F. N.) : La cybercriminalité n’est jamais que la numérisation d’un phénomène criminel de droit commun : le cambrioleur, qui utilisait auparavant un pied de biche, trouve plus confortable et moins risqué de rester derrière son ordinateur ! Mais elle peut prendre des formes très diverses. Ainsi nous avons pu constater le cas d’une société qui s’est fait détourner plusieurs centaines de milliers d’euros par une fraude au président : le fraudeur a commencé par s’introduire dans le SI pour capter des agendas et des e-mails, et se faire une idée très précise de qui était où et à quel moment, avant de contacter par téléphone une personne soigneusement ciblée… Sans le phénomène invasif cyber dont la société a été la victime, la fraude ne serait peut-être pas arrivée, ou pas de la même manière. Autre exemple, montrant la variété des situations : un hacker a eu accès aux sondes de température d’une grande maison de production de vins et spiritueux, avec la capacité de les modifier, et donc le risque de gâcher la production. Citons enfin le cas de la banque du Bangladesh, qui s’est vu dérober 85 milliards de dollars.

David Luponis (D. L.) : La cybercriminalité correspond en effet à l’industrialisation des braquages à l’ancienne. Le piratage dont la Banque de Bangladesh a été la victime pourrait probablement survenir dans d’autres banques, sur les mêmes critères et avec la même facilité. Les entreprises cherchent à se défendre mais les faiblesses des SI restent tout de même identiques depuis une dizaine d’années. En outre, un hacker peut lancer simultanément 10 000 à 15 000 attaques en série.

F. N. : Dans l’immense majorité des cas, les tests d’intrusion que nous menons parviennent à contourner les mesures de sécurité des SI. Nous mettons quelques heures ou quelques jours pour pénétrer les systèmes de nos clients, mais nous y parvenons pratiquement toujours. Il ne s’agit pas de savoir si le hacker parviendra à ses fins, mais en combien de temps.

Les entreprises sont-elles conscientes de ces cyber-risques ?

F. N. : Les entreprises communiquent très peu sur les piratages dont elles sont les victimes, mais nous constatons tout de même que si nous étions initialement sollicités par les grandes entreprises du CAC40 compte tenu de leur surface d’exposition, nous le sommes aujourd’hui par des groupes de taille beaucoup plus petite, voire des PME, qui n’hésitent plus à mettre sur la table un montant équivalent à leurs honoraires de commissariat aux comptes pour réaliser des tests d’intrusion. Ce n’est donc pas un effet de mode : la prise de conscience du danger encouru est réelle.

Mais les entreprises doivent comprendre qu’en matière de risque cyber, dans la plupart des cas, l’intrusion est due à des comportements humains inadaptés : par exemple, un mot de passe trop simple, voire absent, ou le fait de cliquer imprudemment sur n’importe quel e-mail piégé. Il faut adapter ses comportements à une structure des entreprises désormais très ouverte, avec des portails pour les clients, un accès direct pour les fournisseurs et les banques, les filiales à l’étranger. Souvent, le mid management est sensibilisé à la cyber-sécurité et accepte les effets contraignants induits, mais, plus on monte dans la hiérarchie, plus cela devient difficile, presque un enjeu de pouvoir ; or c’est logiquement sur les postes de la direction générale que se trouvent les informations les plus sensibles ! Les dirigeants veulent moins de contraintes, car ils ont d’autres sujets de préoccupation.

D. L. : Les entreprises doivent aussi comprendre que pour entrer sur le SI d’une grande banque ou société française, anglaise ou américaine, une organisation mafieuse ira rechercher les entités les moins sécurisées, avec moins de contrôles, situées dans des pays parfois très éloignés. Or le poste d’un conseiller de clientèle bancaire installé à l’autre bout du monde accède à peu près aux mêmes données que celui situé dans une agence au centre de Paris. Les mafias profitent du maillon le plus faible d’un réseau.

Face à la montée en puissance de la cybercriminalité, quelles sont aujourd’hui les solutions assurantielles existantes ?

F. N. : Les assurances responsabilité civile et dommage couvrent un certain nombre d’éléments, mais il n’existe pas de produit véritablement adapté. Le problème qui se pose aux assureurs porte sur l’évaluation du risque : quand des données sont dérobées ou rendues publiques, il est difficile de quantifier les dommages subis, en termes d’image, de concurrence, d'activité, et partant de déterminer le montant de la prime. La définition d’un dommage en matière informatique reste encore floue. Donc il existe un problème de cotation pour les assureurs, et donc une grande prudence de leur part avant de mettre le doigt dans un engrenage qu’ils ne maîtrisent pas.

D. L. : Certains produits assurantiels existent aux États-Unis, mais ils sont assez restrictifs. Et il faut souligner que l’appétence aux risques est plus importante aux États-Unis qu’en Europe du Sud. En outre, cela fait longtemps que des réglementations sur ces aspects cyber existent outre Atlantique et que les entreprises essaient de se couvrir tant bien que mal avec des assurances.

En France, la demande assurantielle est stimulée par la loi de programmation militaire, qui identifie les OIV [1], dont certaines banques et assurances, et les oblige à organiser leur SI selon certains critères de sécurité. Les entreprises concernées vont chercher à souscrire des assurances car les pénalités en cas de non-conformité ont vocation à être élevées et dissuasives.

Les cyber-risques créent des enjeux particuliers concernant les données personnelles et leur divulgation potentielle : où en est-on sur ce point ?

D. L. : Ces enjeux ne sont pas toujours bien pris en compte par les entreprises, beaucoup étant plus polarisées sur l’amélioration de leurs capacités opérationnelles que sensibilisées à la confidentialité des données détenues. Mais le règlement européen (GDPR [2]) sur les données personnelles adopté en avril 2016, va sans doute imposer de nouvelles priorités. Il vise à organiser et harmoniser la protection de ces dernières au sein de l’Union européenne. Sa mise en œuvre interviendra au plus tard en avril 2018. Il concernera toutes les entreprises européennes ou pas qui ont des données traitées en Europe. Il prévoit, outre diverses dispositions organisationnelles comme la nomination d’un DPO [3], le concept de Privacy by Design, qui impose l’intégration de mesures de protection des données très en amont dans la conception des produits. Les entreprises devront identifier leurs gisements de données, les qualifier selon leur degré de confidentialité, et enfin les protéger.

Et celles qui se feront épingler pour non-conformité de leur dispositif vont payer très cher puisque l’amende peut aller jusqu’à 4 % de leur chiffre d’affaires mondial, plafonnée à 20 millions d'euros. D’autant que les contrôleurs vont bénéficier de moyens de contrôle renforcés.

Le risque concernant les données personnelles n’est-il pas également amplifié par la prolifération des objets connectés, du côté cette fois des particuliers ?

D. L. : Les objets connectés sont destinés à transmettre et recevoir de l’information numérique par un protocole standard de transmission de données, tel que Wifi ou bluetooth par exemple. Cela va du réfrigérateur qui signale les mauvaises odeurs jusqu’au bracelet qui indique votre activité physique, en passant par un contrôleur de tension, une balance, etc.

F. N. : Nous allons vers une numérisation publique de tout ce que nous sommes. Il y a 4 à 5 ans, cela se limitait aux données financières, bancaires, patrimoniales, ou à nos habitudes d’achat. Aujourd’hui, les objets connectés recueillent des données physiologiques, de santé, voire médicales, dont la divulgation potentielle peut être beaucoup plus gênante pour la vie privée de chacun. Par exemple, un questionnaire médical rempli à l’occasion d’un emprunt comprend un certain nombre d’informations vérifiables (taux de cholestérol ou autres attestés par des analyses médicales…) et d’autres plus déclaratives : poids, taille, activité physique. À cet égard, les données recueillies par des objets connectés créent de nouveaux enjeux sur ce que vous déclarez être que l’on pourrait opposer à ce que vous êtes.

En outre, beaucoup de personnes n’hésitent pas à publier sur les réseaux sociaux, leurs exploits sportifs ou d’endurance enregistrés par leur téléphone ou bracelet de santé. Ils donnent ainsi accès à des renseignements que les compagnies d’assurance pourraient sans difficulté exploiter, par exemple pour proposer des tarifs avec des promesses de réduction si l’assuré réalise certains objectifs. Aux États-Unis déjà, certaines compagnies d’assurance vous promettent un discount si vous faites 15 000 pas par jour, ou 27 km par semaine… Les particuliers aussi doivent faire attention à leurs comportements connectés.

 

[1] La loi de programmation militaire de décembre 2013 identifie les opérateurs d’importance vitale (OIV), privés et publics, qui exploitent ou utilisent des installations jugées indispensables pour la survie de la nation. Face aux nouvelles menaces cyber, elle leur impose le renforcement de la sécurité de leurs systèmes d’information critiques.

[2] En anglais, General Data Protection Regulation.

 

Sur le même sujet