Gestion
Cybercriminalité : check-list des actions préventives et correctives
La cybercriminalité connaît une progression préoccupante depuis plusieurs années, faisant de nombreuses victimes, notamment parmi les entreprises, quelle que soit leur taille. Le coût financier des cyberattaques ainsi que l'atteinte à l'image des entreprises qui en sont victimes peuvent être lourds de conséquences. Quelles sont les actions préventives et les bons réflexes pour prévenir, gérer et défendre son entreprise contre les cybercrimes ?
Les techniques des cybercriminels
Cybercriminalité
Le terme « cybercriminalité » regroupe toutes les infractions pénales susceptibles d'être commises sur ou au moyen d'un système informatique généralement connecté à un réseau. En définitive, la cybercriminalité regroupe trois catégories d'infractions :
- les infractions spécifiques aux technologies de l'information et de la communication telles que les atteintes aux systèmes de traitement automatisé de données, les traitements non autorisés de données personnelles (cession illicite des informations personnelles), les infractions aux cartes bancaires... ;
- les infractions liées à ces technologies qui peuvent être des atteintes aux personnes et aux biens, ou une incitation au terrorisme ;
- les infractions facilitées par ces technologies à savoir escroqueries en ligne, blanchiment d'argent, contrefaçon et violation de la propriété intellectuelle.
Remarque La généralisation des messageries instantanées et le succès des raccourcis d'URL (Twitter, etc.) constituent de nouvelles portes d'entrée pour les cybercriminels, en dehors des « traditionnels » systèmes informatiques en réseau. Outre les ordinateurs, les tablettes et les smartphones constituent également de nouvelles cibles pour les cybercriminels.
Les nouvelles plateformes de livestreaming Meerkat (Suricate en français) ou Periscope qui permettent de diffuser des vidéos sur Internet de ce que capte la caméra des smartphones en temps réel seront peut-être susceptibles de poser également à l'avenir des problèmes d'atteinte à la vie privée ou de violation de la propriété intellectuelle.
Les cybercrimes les plus répandus
Outre les infractions portant atteinte à la réputation de l'entreprise, voire à la vie privée des dirigeants, les principales formes de cybercrimes auxquelles les entreprises sont confrontées sont les suivantes :
- infections par des logiciels malveillants (virus, chevaux de Troie...) ;
- piratage de données et violation de propriété intellectuelle (piratage d'ordinateurs, espionnage économique, gravure de logiciels, contrefaçons...).
Bien qu'elles visent essentiellement les particuliers, d'autres types d'attaques peuvent également affecter les entreprises : fraude à la carte Bleue sur Internet, vente d'objets volés ou contrefaits, encaissement d'un paiement sans livraison de la marchandise...
Les pièges les plus fréquemment tendus
Les méthodes utilisées par les cybercriminels sont notamment le « phishing » (ou hameçonnage) dans lequel l'« appât » utilisé est un e-mail d'apparence officielle (faux e-mails de banques demandant les identifiants bancaires, etc.).
Une variante du phishing est le « pharming » (ou hameçonnage sans appât) : ces cyberattaques s'appuient non pas sur des e-mails mais sur des programmes malveillants ou « malwares » (virus, vers, chevaux de Troie) installés sur l'ordinateur infecté et redirigeant l'utilisateur vers un site cloné (par exemple une page semblant provenir d'un site bancaire).
On dénombre également un certain nombre d'attaques basées sur « l'ingénierie sociale » ou « social engineering ») qui consiste en des manoeuvres permettant à un utilisateur de gagner la confiance d'un tiers en vue de lui dérober des informations sensibles ou de le pousser à télécharger un logiciel malveillant. Ces manoeuvres visent généralement à obtenir un mot de passe par le cybercriminel, par des voies détournées.
D'autres menaces ne sont pas dangereuses par elles-mêmes pour la machine informatique, mais servent à installer des infections ou à réaliser des attaques DNS (Domain Name System) : attaques par déni de service (« denial of service attack » ou « DoS ») et leur variante d'attaques plus évoluées impliquant une multitude de « soldats » ou « zombies » (« distributed denial of service attack » ou DDoS).
Ces cyberattaques ont pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser et prennent notamment la forme d'une inondation de réseau afin d'empêcher son fonctionnement ou la perturbation des connexions entre machines.
En pratique, une attaque DoS peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur Web ou empêcher la distribution de courriels dans une entreprise.
Une des dernières « stratégies » en vogue chez les cybercriminels est de faire diversion en lançant une attaque « basique » sur le réseau de leur cible, afin d'occuper les informaticiens pendant qu'ils lancent une autre attaque plus sophistiquée vers le véritable objet de leur convoitise.
L'étendue des risques
Selon le « Rapport sur la cybercriminalité » rendu par le ministère de la Justice en février 2014, 180 000 entreprises disent avoir été victimes d'intrusion dans leur système d'information, de phishing, de vol en ligne d'argent ou d'informations, d'altération de leur site Internet, ou d'infection de leurs machines par un virus ou un programme malveillant.
L'infection par virus s'avère prédominante (135 000 entreprises victimes).
Dans 86 % des cas, l'infiltration ou l'infection s'est faite à distance.
Seules 2 % de ces infractions ont donné lieu à dépôt de plainte.
Les entreprises, proies de choix pour les cybercriminels
Entreprises de toute taille et tout secteur
Les entreprises de toute taille, de la TPE/PME à la grande entreprise sont visées.
Tous les secteurs d'activité sont touchés : les cybercriminels s'attaquent désormais aussi bien à l'industrie qu'aux activités de services les plus variés et au-delà des activités bancaires et du secteur public. Les télécommunications, l'hôtellerie / tourisme et, plus récemment, les entreprises de médias sont régulièrement ciblées aussi bien par des cyberattaques « classiques » que par des « hacktivists » (cyberpirates djihadistes, etc.). Les grandes entreprises (plus de 1 000 salariés) restent, certes, les plus touchées, mais les PME subissent aussi une progression régulière du phénomène.
Plus globalement, le développement de la cybercriminalité s'explique principalement par l'essor du e-commerce et la hausse des actes de piratage est en partie liée au développement du « cloud computing » (voir RF comptable 421, novembre 2014, « Les cabinets d'expertise comptable et le Cloud : intérêt et points de vigilance »).
Toutes les entreprises, y compris les cabinets d'expertise comptable et d'audit sont donc susceptibles d'être concernées et, finalement, la question n'est plus de savoir s'il y a un risque de subir des cyberattaques mais plutôt de savoir quand celles-ci vont se produire...
Un risque sous-estimé
Une récente étude du cabinet Ernst & Young indique que sur l'échantillon mondial d'entreprises objets de cette étude, 37 % des personnes concernées estiment ne pas disposer du temps réellement nécessaire pour évaluer les cyberrisques auxquels leur entreprise est exposée.
Par ailleurs, 56 % considèrent peu probable ou hautement improbable que l'organisation de l'entreprise soit capable de détecter une cyberattaque sophistiquée (« Get ahead of cybercrime », EY's Global information, Security survey 2014, insights of governance, risk and compliance, october 2014, pp. 13 et 23).
Coût financier pour les entreprises
Les motivations des cybercriminels sont principalement financières. Elles vont du simple « militantisme » de libre partage des informations (en violation des règles de propriété intellectuelle des entreprises visées) à la vente de réseaux (envoi massif de spams rémunérant les cybercriminels), en passant par l'escroquerie et les attaques suivies de chantage aux entreprises victimes (« cyberextorsions ») visant principalement les boutiques en ligne, les sites bancaires et les sites de jeux en ligne. Dans le cas des cyberextorsions, les cyberpirates utilisent des « cryptolockers » qui bloquent les ordinateurs de leurs cibles et réclament ensuite à ces dernières une rançon de plusieurs dizaines, voire centaines de milliers d'euros en échange du déblocage des données.
Précision Les cryptolockers sont des logiciels malveillants de type « cheval de Troie », découverts en 2013, tournant sous Windows. Ils appartiennent à la catégorie des « rançongiciels » et sont spécialisés dans le cryptage des données informatiques des utilisateurs. Ils se diffusent principalement via des mails infectés, déguisés en factures.
Les auteurs de logiciels malveillants et les cyberpirates sont également rémunérés pour développer et entretenir des moyens de rediriger les navigateurs vers des sites Web payants, ou contenant des « malwares ».
Ces cyberattaques peuvent détruire, endommager ou détourner des informations professionnelles parfois stratégiques pour les entreprises, entraîner la perte d'un contrat, la perte de la confidentialité d'un brevet, la suspension de l'activité de l'entreprise le temps de restaurer des fichiers cruciaux et... ternir sa réputation (délais de livraison rallongés à cause d'un problème informatique). Les entreprises victimes s'exposent même au risque de mise en cause de leur responsabilité ou de celle de leurs dirigeants en cas de perte de données clients confidentielles.
Ainsi, hormis pour les sociétés spécialisées dans la sécurité sur Internet, la cybercriminalité et la lutte contre ce phénomène représentent un coût non négligeable pour les entreprises.
La France est certes actuellement loin derrière les États-Unis et la Chine en tant que cible de cyber-attaques, mais ces dernières progressent chaque année en nombre et en virulence.
Protéger son entreprise contre les cyberattaques
Prendre conscience du risque
Le préalable à la protection est de saisir l'importance des risques encourus en fonction des failles de sécurité recensées dans l'entreprise, mais également compte tenu de sa position concurrentielle ou... de son exposition médiatique.
De ce point de vue, la détection rapide de transactions inhabituelles (changements de RIB des fournisseurs, par exemple) est assez simple à mettre en place et permettrait de détecter une fraude sur cinq dans le monde. C'est donc une solution à ne pas négliger.
Sécurité de l'infrastructure informatique et audit interne
Une stratégie rigoureuse de sauvegarde des données de l'entreprise est un outil majeur de prévention. La politique de sécurité interne, l'évaluation des risques de fraudes et la culture d'entreprise (systèmes d'alertes...) sont des moyens de prévention indispensables.
Cela peut notamment passer par un audit de l'infrastructure informatique pour en identifier les vulnérabilités et ainsi s'équiper du matériel ou des solutions de sécurité adéquats.
En tout état de cause, il faut raisonner par priorités, c'est-à-dire que l'entreprise doit protéger ses informations les plus sensibles. Par exemple, si elle ne réalise que 5 % de son chiffre d'affaires grâce à son site Web, l'entreprise ne va pas investir en priorité dans la protection de ce site mais sur d'autres fronts plus stratégiques à préserver.
La gestion pertinente des profils des utilisateurs des systèmes d'information et l'investissement dans des pare-feu efficaces sont également nécessaires. En cas de recours à la sous-traitance (cloud...), il est important que les sous-traitants puissent assurer réactivité et efficacité en cas de faille de sécurité ou de cyberattaque avérée.
Ce dernier point est d'autant plus important que les cyberpirates ont de plus en plus tendance, en particulier lorsqu'ils visent de grandes entreprises, à « inoculer » des virus ou chevaux de Troie chez les fournisseurs (éditeurs de logiciels notamment) et les clients de ces entreprises plutôt que de directement infecter leur réseau informatique.
La création au sein des entreprises de centres opérationnels de sécurité (équipes dédiées spécifiquement à la cybermenace, également dénommée « SOC » en anglais) est également préconisée pour les entreprises d'une certaine taille.
Former les collaborateurs
Environ un tiers des violations de données serait dû à la négligence des collaborateurs (perte de badges ou portables...), c'est dire combien il est crucial de les sensibiliser aux risques liés à la cybercriminalité.
Il est donc recommandé d'inciter les salariés des entreprises à la vigilance sur la confidentialité des données (notamment pour les matériels accessibles en mode « nomade »), sur les mots de passe (alphanumériques et pas trop simples à deviner de préférence...) à changer régulièrement, sur le fait d'alerter en cas de doute sur un mail suspect, de perte ou vol d'un matériel appartenant à l'entreprise, etc.
Pratique Au sein de l'entreprise, ces règles de sécurité peuvent être consignées dans une charte interne de bonne utilisation des outils informatiques, validée par le comité d'entreprise, le cas échéant, et signée par les salariés concernés.
La présence d'un « fraud officer » et d'une procédure de « data mining » (procédure d'extraction des données ERP pour générer des états d'exception à analyser) (voir RF Comptable 416, mai 2014, « La fraude comptable et financière aujourd'hui ») peuvent également aider à limiter les failles de sécurité.
Détecter les fichiers « suspects »
Certains collaborateurs peuvent malheureusement se montrer malveillants. Sans parler de situations extrêmes, l'entreprise a tout intérêt à identifier et surveiller les fichiers suspects figurant sur le réseau (documents faciles à trouver sur le Web donnant des techniques d'attaques des mots de passe réseau).
À cet égard, rappelons qu'en principe, quand le salarié n'a pas identifié les dossiers, fichiers ou e-mails présents sur son ordinateur, ou les documents qu'il détient dans son bureau, comme personnels, ceux-ci sont nécessairement professionnels. L'employeur a donc légitimement accès à ces dossiers, fichiers, e-mails ou documents professionnels, sans qu'il soit nécessaire que le salarié concerné soit présent. L'accès aux fichiers et e-mails professionnels peut néanmoins être restreint, notamment par le règlement intérieur de l'entreprise. Dans ce cas, l'employeur doit veiller à respecter la procédure qui s'impose (cass. soc. 21 juin 2012, n° 11-15310, BC V n° 196) (voir « Droits et contrôle du salarié », RF 1046, § 5022).
Backups et plans de crise
Malgré toutes ces précautions, le risque zéro n'existe pas. Les entreprises ont donc tout intérêt à prévoir des plans de secours, élaborés avec des spécialistes, permettant d'éviter la perte irrémédiable de données et de garantir la continuité d'exploitation. Il peut aussi être fort utile d'établir un plan de communication en cas de crise suite à une cyberattaque grave.
S'assurer
Le recours à une assurance spécifique, couplé à la dimension informatique (voir ci-avant), permet d'avoir une approche globale de protection de son infrastructure et de ses données informatiques.
En effet, la responsabilité de l'entreprise est un facteur clé à protéger. Il s'agit essentiellement de protéger et de pérenniser l'activité de l'entreprise (couverture en cas de fuite des données, de rupture d'exploitation, de contamination du système informatique).
En France, les assureurs traditionnels proposent des contrats de « cyberprotection » dédiés à ce type de risques. Ces polices d'assurance visent à réduire l'impact financier des sinistres. Outre le remboursement du préjudice subi, elles proposent aux entreprises des services d'assistance technique, juridique et de gestion de l'image.
Autre solution, il est également possible d'intégrer des garanties spécifiques au coeur de polices d'assurance plus générales. Par exemple :
- l'assurance dommages aux biens peut prévoir l'indemnisation des pertes de chiffre d'affaires ;
- l'assurance responsabilité civile générale peut inclure la prise en charge des coûts résultant des réclamations qui font suite à une cyberattaque ;
- l'assurance sur les risques de fraude peut prendre en compte la fraude informatique.
Certaines assurances proposent également la prise en charge d'un audit informatique.
Comment réagir en cas de sinistre ?
Si malgré toutes ces mesures de prévention, une entreprise est victime de cybercriminels, elle doit en premier lieu arrêter d'utiliser l'équipement corrompu afin de ne pas effacer les preuves qu'elle utilisera ensuite en déposant plainte auprès de la gendarmerie ou de la police nationale.
En pratique, l'interlocuteur privilégié sera en région parisienne la BEFTI (Brigade d'enquêtes sur les fraudes aux technologies de l'information créée en 1994), sise 122-126, rue du Château des Rentiers, 75013 Paris (Tél. : 01 55 75 26 19). Le site http ://www.commentcamarche.net/faq/25868-signaler-des-faits-relatifs-a-la-cybercriminalite propose également des fiches pratiques sur le sujet.
Sanctions des cybercriminels : pas d'arsenal juridique spécifique
L'atteinte à un système de traitement automatisé de données, c'est-à-dire le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données, est punie de 2 ans d'emprisonnement et de 30 000 € d'amende (c. pén. art. 323-1, al. 1).
En cas de suppression ou de modification de données contenues dans le système ou d'altération de son fonctionnement, la peine est de 3 ans d'emprisonnement et de 45 000 € d'amende (c. pén. art. 323-1, al. 2).
Le fait d'entraver ou de fausser le fonctionnement d'un système de traitement automatisé de données est puni de 5 ans d'emprisonnement et de 75 000 € d'amende (c. pén. art. 323-2). Est visée l'introduction d'un virus informatique ou d'autres procédés qui portent atteinte à un système informatique par ralentissement ou paralysie (attaques DoS ou DDoS...).
L'article 323-3 du code pénal protège les données elles-mêmes et punit de 5 ans d'emprisonnement et de 75 000 € d'amende le fait d'introduire, de supprimer ou de modifier frauduleusement des données dans un système.
L'essentiel
-> Contre les cyberattaques, la protection doit être basée à la fois sur la sécurité informatique, la formation des collaborateurs et la mise en place de plans d'actions.
-> Une assurance dédiée à la cyberprotection, ou l'intégration de garanties spécifiques dans les contrats d'assurance générale, est également conseillée.
-> Si, malgré les mesures de protection mises en oeuvre, l'entreprise est victime d'un cybersinistre, elle doit en conserver les preuves et porter plainte, le cas échéant.