Cybercriminalité : check-list des actions préventives et correctives

Le terme « cybercriminalité » regroupe toutes les infractions pénales susceptibles d'être commises sur ou au moyen d'un système informatique généralement connecté à un réseau. En définitive, la cybercriminalité regroupe trois catégories d'infractions :

Outre les infractions portant atteinte à la réputation de l'entreprise, voire à la vie privée des dirigeants, les principales formes de cybercrimes auxquelles les entreprises sont confrontées sont les suivantes :

Bien qu'elles visent essentiellement les particuliers, d'autres types d'attaques peuvent également affecter les entreprises : fraude à la carte Bleue sur Internet, vente d'objets volés ou contrefaits, encaissement d'un paiement sans livraison de la marchandise...

Les méthodes utilisées par les cybercriminels sont notamment le « phishing » (ou hameçonnage) dans lequel l'« appât » utilisé est un e-mail d'apparence officielle (faux e-mails de banques demandant les identifiants bancaires, etc.).

Une variante du phishing est le « pharming » (ou hameçonnage sans appât) : ces cyberattaques s'appuient non pas sur des e-mails mais sur des programmes malveillants ou « malwares » (virus, vers, chevaux de Troie) installés sur l'ordinateur infecté et redirigeant l'utilisateur vers un site cloné (par exemple une page semblant provenir d'un site bancaire).

On dénombre également un certain nombre d'attaques basées sur « l'ingénierie sociale » ou « social engineering ») qui consiste en des manoeuvres permettant à un utilisateur de gagner la confiance d'un tiers en vue de lui dérober des informations sensibles ou de le pousser à télécharger un logiciel malveillant. Ces manoeuvres visent généralement à obtenir un mot de passe par le cybercriminel, par des voies détournées.

D'autres menaces ne sont pas dangereuses par elles-mêmes pour la machine informatique, mais servent à installer des infections ou à réaliser des attaques DNS (Domain Name System) : attaques par déni de service (« denial of service attack » ou « DoS ») et leur variante d'attaques plus évoluées impliquant une multitude de « soldats » ou « zombies » (« distributed denial of service attack » ou DDoS).

Ces cyberattaques ont pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser et prennent notamment la forme d'une inondation de réseau afin d'empêcher son fonctionnement ou la perturbation des connexions entre machines.

En pratique, une attaque DoS peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur Web ou empêcher la distribution de courriels dans une entreprise.

Une des dernières « stratégies » en vogue chez les cybercriminels est de faire diversion en lançant une attaque « basique » sur le réseau de leur cible, afin d'occuper les informaticiens pendant qu'ils lancent une autre attaque plus sophistiquée vers le véritable objet de leur convoitise.

Les entreprises de toute taille, de la TPE/PME à la grande entreprise sont visées.

Tous les secteurs d'activité sont touchés : les cybercriminels s'attaquent désormais aussi bien à l'industrie qu'aux activités de services les plus variés et au-delà des activités bancaires et du secteur public. Les télécommunications, l'hôtellerie / tourisme et, plus récemment, les entreprises de médias sont régulièrement ciblées aussi bien par des cyberattaques « classiques » que par des « hacktivists » (cyberpirates djihadistes, etc.). Les grandes entreprises (plus de 1 000 salariés) restent, certes, les plus touchées, mais les PME subissent aussi une progression régulière du phénomène.

Plus globalement, le développement de la cybercriminalité s'explique principalement par l'essor du e-commerce et la hausse des actes de piratage est en partie liée au développement du « cloud computing » (voir RF comptable 421, novembre 2014, « Les cabinets d'expertise comptable et le Cloud : intérêt et points de vigilance »).

Toutes les entreprises, y compris les cabinets d'expertise comptable et d'audit sont donc susceptibles d'être concernées et, finalement, la question n'est plus de savoir s'il y a un risque de subir des cyberattaques mais plutôt de savoir quand celles-ci vont se produire...

Une récente étude du cabinet Ernst & Young indique que sur l'échantillon mondial d'entreprises objets de cette étude, 37 % des personnes concernées estiment ne pas disposer du temps réellement nécessaire pour évaluer les cyberrisques auxquels leur entreprise est exposée.

Par ailleurs, 56 % considèrent peu probable ou hautement improbable que l'organisation de l'entreprise soit capable de détecter une cyberattaque sophistiquée (« Get ahead of cybercrime », EY's Global information, Security survey 2014, insights of governance, risk and compliance, october 2014, pp. 13 et 23).

Les motivations des cybercriminels sont principalement financières. Elles vont du simple « militantisme » de libre partage des informations (en violation des règles de propriété intellectuelle des entreprises visées) à la vente de réseaux (envoi massif de spams rémunérant les cybercriminels), en passant par l'escroquerie et les attaques suivies de chantage aux entreprises victimes (« cyberextorsions ») visant principalement les boutiques en ligne, les sites bancaires et les sites de jeux en ligne. Dans le cas des cyberextorsions, les cyberpirates utilisent des « cryptolockers » qui bloquent les ordinateurs de leurs cibles et réclament ensuite à ces dernières une rançon de plusieurs dizaines, voire centaines de milliers d'euros en échange du déblocage des données.

Les auteurs de logiciels malveillants et les cyberpirates sont également rémunérés pour développer et entretenir des moyens de rediriger les navigateurs vers des sites Web payants, ou contenant des « malwares ».

Ces cyberattaques peuvent détruire, endommager ou détourner des informations professionnelles parfois stratégiques pour les entreprises, entraîner la perte d'un contrat, la perte de la confidentialité d'un brevet, la suspension de l'activité de l'entreprise le temps de restaurer des fichiers cruciaux et... ternir sa réputation (délais de livraison rallongés à cause d'un problème informatique). Les entreprises victimes s'exposent même au risque de mise en cause de leur responsabilité ou de celle de leurs dirigeants en cas de perte de données clients confidentielles.

Ainsi, hormis pour les sociétés spécialisées dans la sécurité sur Internet, la cybercriminalité et la lutte contre ce phénomène représentent un coût non négligeable pour les entreprises.

La France est certes actuellement loin derrière les États-Unis et la Chine en tant que cible de cyber-attaques, mais ces dernières progressent chaque année en nombre et en virulence.

Le préalable à la protection est de saisir l'importance des risques encourus en fonction des failles de sécurité recensées dans l'entreprise, mais également compte tenu de sa position concurrentielle ou... de son exposition médiatique.

De ce point de vue, la détection rapide de transactions inhabituelles (changements de RIB des fournisseurs, par exemple) est assez simple à mettre en place et permettrait de détecter une fraude sur cinq dans le monde. C'est donc une solution à ne pas négliger.

Une stratégie rigoureuse de sauvegarde des données de l'entreprise est un outil majeur de prévention. La politique de sécurité interne, l'évaluation des risques de fraudes et la culture d'entreprise (systèmes d'alertes...) sont des moyens de prévention indispensables.

Cela peut notamment passer par un audit de l'infrastructure informatique pour en identifier les vulnérabilités et ainsi s'équiper du matériel ou des solutions de sécurité adéquats.

En tout état de cause, il faut raisonner par priorités, c'est-à-dire que l'entreprise doit protéger ses informations les plus sensibles. Par exemple, si elle ne réalise que 5 % de son chiffre d'affaires grâce à son site Web, l'entreprise ne va pas investir en priorité dans la protection de ce site mais sur d'autres fronts plus stratégiques à préserver.

La gestion pertinente des profils des utilisateurs des systèmes d'information et l'investissement dans des pare-feu efficaces sont également nécessaires. En cas de recours à la sous-traitance (cloud...), il est important que les sous-traitants puissent assurer réactivité et efficacité en cas de faille de sécurité ou de cyberattaque avérée.

Ce dernier point est d'autant plus important que les cyberpirates ont de plus en plus tendance, en particulier lorsqu'ils visent de grandes entreprises, à « inoculer » des virus ou chevaux de Troie chez les fournisseurs (éditeurs de logiciels notamment) et les clients de ces entreprises plutôt que de directement infecter leur réseau informatique.

La création au sein des entreprises de centres opérationnels de sécurité (équipes dédiées spécifiquement à la cybermenace, également dénommée « SOC » en anglais) est également préconisée pour les entreprises d'une certaine taille.

Environ un tiers des violations de données serait dû à la négligence des collaborateurs (perte de badges ou portables...), c'est dire combien il est crucial de les sensibiliser aux risques liés à la cybercriminalité.

Il est donc recommandé d'inciter les salariés des entreprises à la vigilance sur la confidentialité des données (notamment pour les matériels accessibles en mode « nomade »), sur les mots de passe (alphanumériques et pas trop simples à deviner de préférence...) à changer régulièrement, sur le fait d'alerter en cas de doute sur un mail suspect, de perte ou vol d'un matériel appartenant à l'entreprise, etc.

La présence d'un « fraud officer » et d'une procédure de « data mining » (procédure d'extraction des données ERP pour générer des états d'exception à analyser) (voir RF Comptable 416, mai 2014, « La fraude comptable et financière aujourd'hui ») peuvent également aider à limiter les failles de sécurité.

Certains collaborateurs peuvent malheureusement se montrer malveillants. Sans parler de situations extrêmes, l'entreprise a tout intérêt à identifier et surveiller les fichiers suspects figurant sur le réseau (documents faciles à trouver sur le Web donnant des techniques d'attaques des mots de passe réseau).

À cet égard, rappelons qu'en principe, quand le salarié n'a pas identifié les dossiers, fichiers ou e-mails présents sur son ordinateur, ou les documents qu'il détient dans son bureau, comme personnels, ceux-ci sont nécessairement professionnels. L'employeur a donc légitimement accès à ces dossiers, fichiers, e-mails ou documents professionnels, sans qu'il soit nécessaire que le salarié concerné soit présent. L'accès aux fichiers et e-mails professionnels peut néanmoins être restreint, notamment par le règlement intérieur de l'entreprise. Dans ce cas, l'employeur doit veiller à respecter la procédure qui s'impose (cass. soc. 21 juin 2012, n° 11-15310, BC V n° 196) (voir « Droits et contrôle du salarié », RF 1046, § 5022).

Malgré toutes ces précautions, le risque zéro n'existe pas. Les entreprises ont donc tout intérêt à prévoir des plans de secours, élaborés avec des spécialistes, permettant d'éviter la perte irrémédiable de données et de garantir la continuité d'exploitation. Il peut aussi être fort utile d'établir un plan de communication en cas de crise suite à une cyberattaque grave.

Le recours à une assurance spécifique, couplé à la dimension informatique (voir ci-avant), permet d'avoir une approche globale de protection de son infrastructure et de ses données informatiques.

En effet, la responsabilité de l'entreprise est un facteur clé à protéger. Il s'agit essentiellement de protéger et de pérenniser l'activité de l'entreprise (couverture en cas de fuite des données, de rupture d'exploitation, de contamination du système informatique).

En France, les assureurs traditionnels proposent des contrats de « cyberprotection » dédiés à ce type de risques. Ces polices d'assurance visent à réduire l'impact financier des sinistres. Outre le remboursement du préjudice subi, elles proposent aux entreprises des services d'assistance technique, juridique et de gestion de l'image.

Autre solution, il est également possible d'intégrer des garanties spécifiques au coeur de polices d'assurance plus générales. Par exemple :

Certaines assurances proposent également la prise en charge d'un audit informatique.