AccueilDroitLa France, cible favorite des cybercriminels

La France, cible favorite des cybercriminels

Avancées technologiques obligent, le Campus 2016 s'est attelé à l'analyse des nouveaux risques pour les entreprises. Et s'agissant de la criminalité sur le net, force est de constater que la France est une « proie » de choix pour les fraudeurs.
La France, cible favorite des cybercriminels

Droit Publié le ,

« La France est un des pays les plus touchés par les cyberattaques », lance Fabrice de Korodi, avocat et intervenant pour cette conférence intitulée « La protection des entreprises contre la cybercriminalité ». Sans pouvoir avancer de données officielles, Me de Korodi cite le cabinet d'audit « Price Waterhouse Coopers », qui réalise une étude mondiale chaque année. En 2015, 6337 entreprises étaient prises en compte, et cette étude « confirme la vulnérabilité des entreprises françaises en matière de fraude ». En effet, 68% (57% en 2014, 46% en 2011 et 29% en 2009) des entreprises françaises ont été touchées contre 36% dans le monde.

« le patrimoine informationnel français est extrêmement convoité »

Une analyse confirmée par Alice Cherif, chef de la section cybercriminalité du parquet de Paris, qui précise que « le patrimoine informationnel français est extrêmement convoité », puisqu'elle dénombre « plus de 600 millions d'euros de préjudice de faits commis ». En ce sens que les sociétés françaises détiennent beaucoup de savoir-faire et de données de métier. Ainsi, les cyberattaques peuvent être à visée purement crapuleuse (captation de données personnelles de particuliers ou de sociétés) ou se diriger contre de grands groupes français (afin d'obtenir la « recette » d'un moteur d'hélicoptère par exemple !..).

Gilles Brabant, directeur commercial France chez Ingenico, précise que la fraude en ligne est particulièrement conséquente en France en raison de l'utilisation prépondérante de la carte bancaire, à la différence de certains pays qui utilisent des modes de paiement différents (carte prépayée en Belgique par exemple).

D'autre part, Fabrice de Korodi précise que les fraudeurs sont toujours plus nombreux chaque année. Gilles Brabant note corrélativement une « croissance annuelle non négligeable du e-commerce » en Europe (+14%), qui s'avère supérieure à celle des USA (+12%). D'abord, parce que le digital offrent des solutions faciles, et surtout moins risquées qu'auparavant aux fraudeurs.

Ces technologies permettent également aux pirates d'agir à grande échelle, et de générer rapidement des revenus. Ensuite, Me de Korodi rappelle que la multiplication des moyens de paiement et la digitalisation des échanges augmentent la « surface d'attaque ». Pour ce conseil auprès de banques de détail, « la menace cyber n'a jamais été aussi élevée » et reste « multiforme et en croissance exponentielle ».

« la menace cyber n'a jamais été aussi élevée »

Le facteur humain, une variable à ne pas négliger

Concernant les entreprises, Fabrice de Korodi affirme qu'il est indispensable de considérer les données comme un « tout » afin de ne pas les sous-estimer. Le spécialiste distingue ainsi les entreprises conscientes du risque cybercriminel (telles que les agences de voyages qui ont pris très tôt le train en marche) de celles qui l'ignorent, ou n'ont pas conscience de la qualité des informations qu'elles génèrent.

Par exemple celles du smartphone, dont la sécurité n'est pas à négliger, puisque une intrusion permet de rapprocher des appels, ainsi que l'agenda, les SMS ou les mails. Des données qui permettent, lorsqu'elles sont croisées, d'obtenir des informations personnelles ou stratégiques sur l'entreprise.

Une autre particularité du cyberrisque est qu'il repose sur l'ensemble des utilisateurs, et pas seulement sur les personnes chargées de la sécurité informatique. Me De Korodi précise que les fraudes « dans la quasi-totalité des cas sont liées à des personnes ». L'individu est donc le point d'entrée des techniques d'ingénierie sociale, visant à accéder à des informations confidentielles ou certains actifs d'une entreprise, par la manipulation des personnes qui y ont accès (directement ou indirectement).

« Il est aujourd'hui plus facile d'entrer dans un système en exploitant la négligence humaine plutôt que directement par le piratage informatique ! »

Fabrice de Korodi évoque des cas récents de « fraude au président », dans lesquels les fraudeurs étaient rentrés trois mois plus tôt dans le système, sans que personne ne s'en aperçoive. Les fraudeurs « écoutent, apprennent nos comportements et attendent le moment idéal pour lancer l'attaque » avertit l'intervenant, « il est aujourd'hui plus facile d'entrer dans un système en exploitant la négligence humaine plutôt que directement par le piratage informatique ! ».

Paradoxalement, les entreprise (selon l'étude précitée) sont pessimistes et prévoient une hausse de la cybercriminalité, alors que plus de la moitié d'entre elles n'ont pas de plan d'action 100% opérationnel, déplore Me de Korodi. De sucroit, il n'y a pas non plus de « Monsieur ou Madame cybersécurité » au Medef précise-t-il.

Dès lors, comment gérer ce risque ? Gilles Brabant estime qu'il est nécessaire faire une balance entre l'équilibre financier direct (le chiffre d'affaire perdu si l'entreprise n'est pas protégée) et les équipes/ressources auxquelles on fera appel pour mettre en œuvre la gestion de ce risque.

S'appuyant sur son expérience au sein d'Ingenico, le directeur commercial conclut qu'il faut « aider le marchand à apprendre comment fonctionne le consommateur » afin d'allier une bonne politique de la fraude sans pour autant gêner la bonne marche du commerce (mettre en place le système 3Dsécure à partir d'un certain montant, par exemple, afin de ne pas dissuader l'acheteur).

Les obligations à la charge des responsables de traitement : les nouveautés apportées par le règlement du 14 avril 2016

Actuellement, l'article 34 de la loi informatique et libertés impose notamment aux responsables de traitement une obligation générale de sécurité, et un contrôle de l'accès aux données aux seuls utilisateurs autorisés (par un mot de passe par exemple). Ceux-ci doivent par ailleurs notifier aux autorités et aux utilisateurs une éventuelle intrusion.

Les fournisseurs de service de communication électronique au public doivent quant à eux (art. 34 bis) notifier toute violation de données personnelles à la CNIL ainsi qu'aux personnes concernées (sauf si des mesures de protection appropriées ont été mises en place). A défaut, la CNIL peut, après avoir examiné la gravité de la situation, mettre en demeure le fournisseur. Cette sanction a ainsi été mise en œuvre dans le cas de la violation des données d'1,3 millions de clients d'Orange en 2014, sur la base de l'article 34 de cette même loi.

Me de Korodi précise que ces obligations à la seule charge des fournisseurs de services vont désormais se généraliser. En effet, le règlement 2016/79, qui sera applicable en 2018, fixe des obligations générales de sécurité aux entreprises et donne des exemples précis de mise en œuvre (pseudonymisation, chiffrement de données). Le juriste évoque d'autre apports importants de ce règlement :

- Une obligation d'intégrer dès le début d'un projet informatique une protection des données (privacy by design)

- Une règle de sécurité par défaut : toute entreprise doit disposer d'un système d'information ayant les fonctionnalités minimales requises en matière de sécurité à toutes les étapes (tant sur les éléments physiques que logistiques)

- Une obligation de documentation des violations de données : les entreprises devront expliquer comment les mesures mises en œuvre répondent aux exigences prévues par ledit règlement (en tenant un registre)

- Une obligation de notification étendue à tous les responsables de traitement : également reçues par la CNIL, non plus comme les fournisseurs de services dans un délai immédiat, mais 72 heures après avoir pris connaissance de la violation

- Les sous-traitants auront désormais une responsabilité identique à celle des responsables de traitement, et devront leur faire part d'une éventuelle violation

- La consécration d'un droit à un recours jurisprudentiel pour les personnes concernées contre le sous-traitant ou le responsable de traitement

Ces obligations de notification restent « lourdes pour les entreprises » regrette Me de Korodi, eu égard aux nombreuses attaques cybercriminelles dont la France fait l'objet...
Quelques exemples d'arnaques courantes :

- Escroquerie au virement SEPA : le fraudeur usurpe l'identité de l'identité de l'informaticien de la banque, informe d'un changement SEPA et demande à la victime de télécharger un lien

- Escroquerie au changement de RIB – l'escroc détermine l'identité du locataire et du bailleur, et prétexte un changement d'adresse en se faisant passer pour le bailleur

- Le virus Dridex : sous la forme d'une relance de facture incluant une pièce jointe au format .doc, ce virus exécute un faux ordre de virement sans que la victime ne puisse s'en rendre compte. En effet, le virus passe « sous les radars de la banque », et l'adresse IP de connexion reste la même que celle de la victime. Une association en a d'ailleurs fait les frais avec un préjudice de plus de 4 millions d'euros sur la simple ouverture d'une pièce jointe par une de ses employés.

Cependant, Alice Cherif précise qu'il existe des moyens de se défendre. « Le plus efficace reste la récupération de banque à banque » explique-t-elle. Il est notamment possible d'obtenir le blocage des fonds en quelques heures au sein de l'Union européenne. Et ce, grâce à la convention cadre du 22 juillet 2003, reconnue dans tous les pays de l'Union. Ce blocage est obtenu en quelques heures à condition que le signalement soit fait rapidement, précise la substitute du procureur.

Qu'entend-on par cybercriminalité ?

Pour Alice Cherif, il n'existe pas de véritable définition de la notion au sein du code pénal. Mais la substitute du procureur. précise qu'il s'agit de « toutes les infractions commises ou tentées à l'encontre ou au moyen d'un système d'information ou de communication », c'est-à-dire à partir d'un ordinateur via internet. Il faut donc distinguer deux approches :

- Les infractions contre les systèmes de traitement automatisés de données (STAD) : il s'agit d'une intrusion, d'une entrave ou d'une destruction de données

- Les infraction où le système d'information et de communication est le vecteur de propagation et de commission d'infractions de droit commun : il s'agit d'utiliser ces techonologies pour avoir une certaine « force de frappe » et toucher plus de victimes (pédopornographie, apologie du terrorisme, provocation à la haine raciale)

Le spectre de la cybercriminalité est donc extrêmement large pour la magistrate, qui fait partie de l'unique section (nommée F1) dédiée à la cybercriminalité en France. Mais cette section ne traite que les attaques menées contre STAD et les faux ordres de virement.

Alice Cherif distingue ensuite deux types d'attaques :

- Une cybercriminalité qualifiée d'invisible : ce sont des actes de cyber-espionnage sur les opérateurs d'importance vitale (OIV) ou sur les entreprises amenées à sous-traiter certaines activités des grands groupes. La substitute du procureur constate que lorsque ces sociétés n'ont pas sécurisé leurs installations informatiques, elles sont susceptibles, au cours d'une fusion/audit, de constater qu'en réalité il existe une infiltration de leurs données « cœur de métier ».
De même, tous les virus permettant d'infiltrer un ordinateur et de récupérer des données à caractère personnel font partie de cette catégorie. La substitute du procureur précise en outre que les système d'anonymisation sont légion, et par conséquent, l'obtention de l'adresse IP ne suffit malheureusement pas pour retrouver ces individus.

- Une cybercriminalité visible : il s'agit des attaques sur les serveurs web. On trouve l'attaque au DSD (déni de service distribué), c'est-à-dire l'exécution de requêtes en masse pour rendre un serveur indisponible. Ou bien certaines attaques en défiguration de site (défacement), comme lors de l'affaire « op-France », où 20 000 sites internet français ont été défacés (mairies, associations, etc.)
Partage
Envoyer à un ami
Connexion
Mot de passe oublié ?