L’entreprise face aux cybermenaces
PINTE Jean-Paul
Docteur en Sciences de l’Information et de la Communication
Maître de conférences – Université Catholique de Lille
Chercheur au Laboratoire d’Innovation Pédagogique
Expert en cybercriminalité
http://cybercriminalite.wordpress.com
La cybercriminalité a pris une place importante ces dernières années, ce qui n’est pas étonnant puisque qu’Internet a été créé sans en penser la dimension sécurité.
Nos entreprises et l’Etat n’ont en effet pas toujours pris conscience en temps utile que les menaces que nous vivons chaque jour sur le Web ne sont en fait que la reproduction des délits causés par des délinquants dans la vie de tous les jours, dans la rue comme ou dans les banques, pour ne citer que ces exemples. A chaque fois qu’ils ont tenté de s’adapter au contexte on peut dire que c’était presque toujours avec un train de retard car il faut avouer que les modes opératoires ont évolué avec le numérique, les réseaux sociaux et leurs applications et maintenant avec les objets connectés.
Ainsi les cybermenaces ont explosé dans les entreprises. Selon une étude récente intitulée Global Economic Crime Survey 2016, réalisée auprès de 6 337 entreprises dans 115 pays, entre juillet et septembre 2015, et publiée par le bureau d’études Price Water House Coopers, la fraude en entreprise a fortement augmenté en France, à cause notamment de la cybercriminalité, alors qu’elle est à peu près stable dans le monde.« Plus de la moitié de nos entreprises ne se sont pas dotées d’un plan d’action opérationnel contre les cyberattaques, faute d’implication des dirigeants ou de compétences sur le sujet » signale Jean-Louis Di Giovanni, coordinateur de l’étude en France.
Pour aller plus loin on peut même avouer que les employés ignorent probablement que les failles de sécurité et les fuites de données sensibles sont souvent dues à des erreurs humaines dont les cyber-délinquants profitent via une ingénierie sociale aujourd’hui plus que rodée.
La « fraude au président » baptisée aussi « Fraude au virement bancaire » ou encore aussi « escroquerie aux faux ordres de virement (FOVI) » a été à la une des arnaques dés 2014 et en est l’un des exemples les plus parlants. Après un bel exercice de renseignements sur l’entreprise en prenant en compte les besoins, la situation de la société et les dossiers en cours, certaines entreprises ont été contactées par des arnaqueurs en vue de procéder à de faux virements. RyanAir, Nausicas, LVMH, Total et Nestlé en ont fait les frais.
Le coût de cette cybercriminalité a été estimé en 2015 à plus de 3,3 milliards d’euros pour les entreprises françaises. Le vol de données bancaires ou de brevets représente à lui seul aujourd’hui la moitié des fraudes, contre un quart en 2014. La cyber-attaque qui a touché l’an dernier le groupe TV5 Monde a entraîné un surcoût de 4,6 millions d’eurs en 2015 pour la chaîne internationale de télévision francophone. Voilà des exemples qui parlent.
Les « chevaux de Troie », malwares toujours au top ont été complétés par des rançongiciels à l’instar de Locky un nouveau rançongiciel arrivé en France le 4 mars 2016. Locky est un logiciel malveillant qui se propage par courrier électronique lors de l’ouverture d’une pièce jointe ou d’un fichier zippé. Des cyberescrocs envoient par courrier électronique (email) une pièce jointe contenant le virus Locky. Une fois cette dernière ouverte : tous les fichiers du destinataire, tous les périphériques branchés (clés usb, disque durs externes, etc.), tous les répertoires partagés sur un réseau sont rendus inaccessibles (cryptés) et leurs extensions modifiées en .locky, .mp3 ou .xxx Ces données, désormais chiffrées, ne peuvent plus être récupérées et les cyberescrocs vous demandent une rançon pour les débloquer.
S’il s’agissait donc, il y a encore quelques années de faire peur, de mener à bien des défis sur des machines en les paralysant, on peut dire aujourd’hui que les cyber-menaces sont de sont plus organisées et s’orientent de plus en plus vers l’appât du gain qui va maintenant jusqu’à faire chanter l’entreprise !
Du vol de données bancaires on s’oriente aussi plus maintenant vers le vol de savoir-faire, et plus particulièrement de propriété intellectuelle comme les brevets, les plans et autres données qui permettraient de nuire à une entreprise, de la stopper dans son développement voire de lui faire une mauvaise réputation dont elle aurait du mal à se remettre.
Les cybermenaces vont au-delà du monde de l’entreprise et prennent place aujourd’hui chez l’employé, le cadre ou le dirigeant car il utilise des outils nomades et pratique le BYOD (Bring Your Own Device) parfois lorsqu’il est sur son lieu de travail en rapportant sa propre tablette par exemple. Je le répète « Il est urgent de placer la cyber-sécurité au cœur de la culture de l’entreprise ».
L’année 2016 devrait voir les tendances de développement des ransomwares et autres cryptolockers, du Cloud, des objets connectés et de l’extorsion en ligne se développer. Dernièrement, un hôpital, le centre médical presbytérien d’Hollywood, a été paralysé pendant une semaine à la suite d’une cyberattaque. Une rançon de 17 000 dollars en bitcoins a finalement été versée aux pirates pour débloquer le plus vite possible le système informatique de l’hôpital.
Ces ransomwares ne sont pas nouveaux, mais la technologie et la manière de les utiliser connaissent des évolutions, qui devraient s’amplifier en 2016, estime Loïc Guézo de TrendMicro : « par exemple, nous avons de plus en plus d’échos de ransomwares équipés d’un module permettant de détruire le MBR des ordinateurs, la partie du disque dur qui permet d’initialiser le lancement de la machine. C’est comme si vous aviez cassé le démarreur de la voiture : tout est là, mais la clé tourne dans le vide ». Les attaques contre les MBR ont déjà fait de gros dégâts.
En ce qui concerne le Cloud, les risques vont dans le sens d’une continuité dans le vol et la captation de données car les entreprises ne peuvent plus se suffire à elles-mêmes lorsqu’il s’agit de préserver leurs données. Elles font alors appel à des applications externes qui nécessitent non seulement la connaissance et l’utilisation du chiffrement mais aussi une organisation toute autre autour de la protection de leurs données.
Enfin, autour des objets connectés, selon le rapport The Digital Universe of Opportunity du cabinet IDC, 15 % de tous les objets seront connectés en 2020. Ce n’est pas sans risque pour les entreprises car il leur faudra veiller non seulement sur leurs données mais aussi sur la manière dont ces objets communiqueront des données entre eux à leur insu dans et hors de leur entreprise.
Une dernière question se pose enfin avec le Big Data ou mégadonnées. Elles représentent en effet des opportunités dans tous les secteurs de nos sociétés de plus en plus connectées. Transports, travail, médecine, commerce, sécurité, etc. toutes ces données récoltées sont ou seront-elles vraiment utilisées de manière bienveillante ?
On l’a bien compris les cybermenaces nécessitent une prise de conscience plus approfondie de la part des entreprises. Le problème est que seulement un tiers des PDG sont prêts à partager avec des tiers les informations sur les cyber-menaces dont ils sont victimes.