Comment s’explique la montée en puissance de la cybercriminalité ?
Les cyber-risques, qui comprennent à la fois les conséquences des atteintes aux données et/ou des atteintes aux systèmes d’information, existent depuis des années. Mais le nombre et l’ampleur des attaques informatiques augmentent, depuis que la grande criminalité, initialement centrée sur les trafics de drogue ou d’armes, s’est déplacée sur cette activité beaucoup plus « rentable » : un seul hacker peut faire tomber un SI, alors que les autres trafics nécessitent de nombreux intermédiaires. Et les services d’un hacker peuvent se louer sur le darkweb, réseau internet caché, accessible via un logiciel, appelé TOR, qui assure l’anonymat des personnes qui y naviguent. C’est aussi là que se revendent les données volées, il existe même des enchères dont le prix dépendra du nombre de données et de leur qualité : adresses email, numéros de sécurité sociale, coordonnées bancaires, avec ou sans cryptogramme, avec ou sans pin code, cartes d’identité, cartes de mutuelle… C’est une Place de marché très organisée !
La cybercriminalité concerne-t-elle plus spécifiquement certains secteurs économiques ou certains types d’entreprises ?
Le phénomène touche toutes les entreprises sans aucune distinction. En revanche, les motivations des pirates informatiques peuvent être de diverses natures :
l’appât du gain : l’objectif est alors d’attaquer les entreprises pour récupérer des données et les revendre, ou capter un savoir-faire développé dans un département R&D, un brevet…
les raisons idéologiques : c’est le cas de l’attaque récente du site de rencontres extraconjugales Ashley Madison, uniquement diligentée en raison de la nature de l’activité du site et dans le but d’en obtenir la fermeture. Le site n’ayant pas fermé, les pirates ont dévoilé les données des clients !
le terrorisme, comme l’attaque de TV5 Monde en avril dernier, revendiquée par Daech.
Existe-t-il des modes opératoires particuliers ?
Pas forcément, mais ces derniers temps, un mode opératoire souvent utilisé est le ransomware : le hacker s’introduit dans le SI, non pour voler mais pour chiffrer des données qu’il sait sensibles pour l’entreprise et sans lesquelles elle ne pourra pas fonctionner. Il demande ensuite le paiement d’une rançon en échange de la clé permettant de décrypter les données et ainsi retrouver un accès normal aux fichiers.
Autre pratique de plus en plus fréquente : pour s’introduire dans le système d’information d’une entreprise, le pirate instrumentalise, à leurs dépens, les employés ; il lance une campagne de phishing (hameçonnage en français) dans l’entreprise, sous forme d’envois de faux e-mails, en mentionnant le nom d’un autre collaborateur pour donner confiance et inciter ainsi l’employé à ouvrir le mail et à double cliquer sur le fichier attaché. Il peut s’agir de fichier « .exe » mais aussi d’un très classique « .doc », dont l’ouverture permettra d’activer le virus qui y est caché. Ces e-mails sont de mieux en mieux rédigés, sans faute d’orthographe, usurpant des adresses mail de personnes avec lesquelles les collaborateurs ont l’habitude de travailler, ce qui permet de ne pas éveiller l’attention. Les hackers sont extrêmement ingénieux ; ils ont souvent plusieurs longueurs d’avance et dès qu’une parade apparaît, ils modifient très rapidement leur modus operandi. C’est l’une des grandes difficultés de la sécurité informatique.
En dehors de cela, il reste toujours les attaques par déni de service (DoS) ou déni de service distribué (DDoS), visant littéralement à noyer le SI sous une avalanche de requêtes, ou bien encore les APT (Advanced Persistent Threats), qui consistent à placer au sein du SI d’une entreprise un code malveillant pour effectuer des tâches spécifiques tout en restant inaperçu aussi longtemps que possible.
Enfin, sans même attaquer un système, le vol d’un smartphone, d’une clé USB ou d’un CD, livre déjà beaucoup d’informations. Sans oublier les clés USB distribuées sous forme de goodies, qui peuvent contenir un virus…
Quelles sont les bonnes pratiques de prévention face à la cybercriminalité ?
Il existe de bonnes pratiques de base pour contrer au moins les attaques les plus simples : une bonne sensibilisation au sein de l’entreprise, rester vigilant sur l’ouverture des e-mails, ne pas dévoiler son mot de passe… Sur les attaques de grande ampleur en revanche, il paraît difficile de trouver une martingale. En tout état de cause, la gestion des cyber-risques ne se limite pas à un sujet informatique : c’est un sujet de Corporate Gouvernance, dont la direction générale doit prendre conscience et dont elle est responsable.
Beaucoup d’entreprises font réaliser des tests de pénétration ou d’étanchéité dans les systèmes de leur propre entreprise et font remonter les résultats au Board. Et souvent la démonstration est probante : il suffit de laisser traîner quelques clés USB dans le parking de l’entreprise ou à l’accueil, contenant un fichier corrompu nommé « salaires » et tout le monde l’ouvre ! Le virus s’installe automatiquement. L’humain est l’un des premiers facteurs de vulnérabilité.
Pour se protéger, l’entreprise peut s’équiper d’un SOC (Security Operation Center), un service très sophistiqué proposé par des sociétés spécialisées dans la sécurité informatique qui alerte les entreprises sur les attaques. Certaines entreprises ont également mis en place en interne un CERT (Computer Emergency Response Team) ; c’est notamment le cas de certaines grandes banques qui ont des équipes très fournies pour travailler sur la sécurité.
Enfin, il existe un CERT
Comment organiser une veille sur l’évolution de ces pratiques délictueuses ?
Gras Savoye Willis par exemple est membre de plusieurs groupes : le
Quelles sont les principales règles de droit utiles à connaître ?
Tout d’abord, l’ordonnance d’août 2011, qui transpose l’ensemble des directives et le règlement européens qui forment le « Paquet Télécom » et vise les fournisseurs d’accès internet (FAI) ou de services de télécommunication fixes ou mobiles. Cette ordonnance leur impose, s’ils sont victimes d’une attaque informatique avec vol de données, d’en informer la CNIL. Si celle-ci constate que les données ne sont pas protégées (chiffrées) et que les mesures de protection du SI ne sont pas appropriées, elle peut imposer au FAI d’informer individuellement chaque personne dont les données ont été volées. Cela peut porter sur des millions de notifications. Depuis l’entrée en vigueur de cette ordonnance, la CNIL a reçu une quarantaine de déclarations, mais la notification individuelle aux personnes concernées n’a été requise que dans deux cas.
Le deuxième texte législatif important est la loi de programmation militaire, votée en décembre 2013, mais dont les décrets d’application n’ont été publiés qu’en 2015. Elle ne concerne que les entreprises qui ont le statut d’Opérateurs d’importance vitale (OIV), c’est-à-dire les organisations identifiées par l’État comme ayant des activités d'importance vitale, c’est-à-dire indispensables pour la survie de la nation. Dans le cas d’événements majeurs comme l’acte de malveillance (cyberattaque), le sabotage ou le terrorisme, ces entreprises ont l’obligation de continuer à fonctionner coûte que coûte. Un arrêté du Premier ministre désigne 12 secteurs d’importance vitale, parmi lesquels l’eau, l’énergie, le transport, la santé, les communications, la défense, l’alimentation, le secteur bancaire (mais pas l’assurance)… Ces entreprises vont devoir s’organiser pour que les systèmes de sécurité de leurs infrastructures informatiques critiques respectent des standards de sécurité déterminés par l’État. Celui-ci va contrôler cette mise à niveau et, en cas de manquement, tant les personnes physiques que morales peuvent être sanctionnées par des amendes.
Enfin, reste à venir en 2016 un Règlement européen relatif à la protection des données, en discussion depuis plusieurs années. Les révélations d’Edward Snowden, ainsi que le changement de la présidence européenne ont quelque peu ralenti le processus de vote de ce texte. Il vise à harmoniser au niveau européen les législations sur la protection des données : en particulier, les obligations qui touchent aujourd’hui les FAI (voir supra), seront étendues à toutes les entreprises, quels que soient leur secteur d’activité et leur chiffre d’affaires.
Signalons également que la Banque de France, à l’instar d’autres pays comme la Grande-Bretagne ou la Suisse, a lancé un stress-test cyber en 2013. Enfin, l’EBA, dans le cadre du rapport bi-annuel sur les risques et vulnérabilités du secteur financier européen sorti en août 2014, a réalisé un focus spécifique sur les risques informatiques et recommande aux banques de s’assurer contre le risque d’atteinte au système.
Enfin, autre décision qui aura des conséquences importantes dans le domaine de la protection des données personnelles : l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015 qui invalide l’accord Safe Harbor entre l’Union européenne et les États-Unis, et marque donc le constat que les États-Unis n’offrent pas un niveau de protection suffisant pour permettre le transfert des données au départ de l’Union européenne
Comment sont évalués et assurés ces risques ?
Le marché de l’assurance contre les conséquences de la cybercriminalité est né en France en 2010. À ce jour, 13 assureurs sont actifs sur ce marché en France, sans compter le marché de Londres (les Lloyd’s) et les assureurs d’outre Atlantique. La capacité (montants des garanties cumulés de l’ensemble des assureurs) proposée par les seuls assureurs français se situe entre 350 et 500 millions d’euros.
Ce montant est aujourd’hui suffisant, car il existe encore peu d’entreprises assurées. Mais la situation évolue vite, même si pour des raisons de confidentialité, nous ne dévoilons jamais ni le montant des primes, ni les capacités négociées par entreprise. En effet, les contrats cyber comprennent une garantie dénommée « cyber-extorsion » qui couvre les ransomwares. Les contrats d’assurance comprennent une clause qui spécifie que si l’existence d’une telle garantie est dévoilée, celle-ci ne sera plus valable. Les contrats sont donc généralement tenus secrets et peu de collaborateurs en ont connaissance au sein même des entreprises.
Concernant l’évaluation des risques, Gras Savoye Willis, qui est un des rares courtiers à intervenir dans ce domaine, a développé un questionnaire de souscription qui permet d’avoir une vue complète de l’organisation de l’entreprise, son historique d’attaques informatiques, son système de sécurité, l’existence d’un CIL, d’un responsable de la sécurité des SI, les résultats des tests d’étanchéité et de pénétration, la présence d’un PRA (plan de reprise d’activité) ou d’un PCA (plan de continuité d’activité) incluant le volet informatique… Pour valider la tarification établie, la plupart des assureurs se sont associés à des consultants informatiques, qui rencontrent le RSSI (responsable de la sécurité des SI) ou le DSI (directeur des SI) de l’entreprise et l’interrogent sur les mesures de sécurité informatique mises en place dans l’entreprise.
Les contrats d’assurance du marché contiennent généralement trois volets :
- un volet assistance et gestion de crise, qui permet d’assurer une réponse rapide à l’incident : il couvre les frais d’expertise informatique (Forensics), de notification aux clients, de restauration des données, d’avocat, et de relations publiques, car le mieux est de communiquer avant le pirate lui-même, ainsi que les frais relatifs aux services proposés aux clients : par exemple, l’assureur va rembourser les frais d’une entreprise spécialisée qui, afin de prévenir l’usurpation d’identité, va traquer sur Internet pendant un an l’utilisation des données personnelles des clients ;
- un volet responsabilité civile, qui couvre les conséquences pécuniaires des réclamations des tiers, qui ont subi un dommage issu de l’attaque informatique dans l’entreprise elle-même, ou chez un de ses prestataires et dont celle-ci est responsable ;
- un volet dommage, qui porte sur la perte d’exploitation, les frais supplémentaires d’exploitation c’est-à-dire toutes les dépenses engagées pour remettre l’entreprise et ses systèmes d’information en état de marche. C’est dans ce volet que se situe la garantie cyber-extorsion.
Les Pouvoirs publics et régulateurs semblent mobilisés sur la cybercriminalité. Qu’en est-il des banques et des entreprises ?
Le secteur bancaire est en pointe sur ce plan par rapport à d’autres secteurs, car les banques sont nativement concernées par les questions de sécurité des données qui constituent leur matière première et elles ont une grande maîtrise en matière de gestion des risques et des réglementations afférentes.
En revanche, la mobilisation des autres entreprises pourrait être plus forte : soit elles n’ont pas conscience de leur exposition aux risques cyber ; soit elles en sont alertées, mais ont parfois d’autres priorités. Il existe encore souvent un fossé entre les attentes et demandes du service informatique d’une entreprise sur ce sujet et les réponses apportées par le board. Les responsables informatiques, les DSI, peinent à obtenir des budgets car l’informatique est uniquement vue comme un centre de coût même si elle est vitale pour l’entreprise. Le chef d’entreprise est plus centré sur son chiffre d’affaires, l’activité, ou la sortie de nouveaux produits. Pour autant, les mentalités évoluent et pour une raison simple : de plus en plus souvent, les dirigeants voient leur responsabilité engagée à titre personnel, suite à des attaques informatiques dans l’entreprise. Les dirigeants sont en effet responsables sur leur patrimoine personnel des fautes de gestion qu’ils commettent, même s’ils peuvent souscrire des
Propos recueillis par E.C.
