« Au bon vieux temps, on avait des cambriolages, aujourd’hui on a des fraudes sur internet. Il n’y a pas tant de différence que les gens pourraient le penser, c’est juste la méthode des temps modernes » assure Pascal Schaevers, de la Direction de la lutte contre la criminalité grave et organisée en Belgique lors d’une rencontre organisée par le CEIFAC. De nouvelles méthodes qui se diversifient et qui font toujours plus de victimes, dans une transition numérique obligatoire à tous les échelons de la société.
Par Catherine Convert
Retour sur l’ampleur des risques cyber
« La cybercriminalité est une infraction pénale susceptible de se commettre sur un appareil connecté à un réseau », détaille Sébastien Dupent, ingénieur de recherche et professeur d’économie et gestion spécialité systèmes informatiques.En France 9 personnes sur 10 ont déjà été confrontées à un cybercrime, et selon Venturi, ces attaques ont représenté 6000 milliards d’euros de dommages et devraient encourager à ouvrir 3,5 millions de postes de cyberspécialistes.
Pour le général Philippe Baudouin, officier adjoint au commandement de la région de gendarmerie Grand-Est – zone de défense et de sécurité Est, il existe plusieurs enjeux à prendre en compte. Les enjeux sociétaux, d’une part, incluent une transition numérique qui expose la population à un « spectre infini de propos de grande virulence », qui sont généralement supprimés une heure après signalement. Les enjeux économiques des attaques, qui présentent des risques de dommages majeurs pour chaque entité et particulier, face à des assaillants séduits par « des attaques à faible coût et sous anonymat ». Elles touchent aujourd’hui les grands comme les petits prestataires, le ciblage de la « supply chain » permettant de rebondir sur plusieurs clients comme la stratégie employée en 2009 lors des attaques des sous-traitants d’Airbus. On identifie aujourd’hui des phénomènes d’ingénierie sociale, avec des faux ordres de virement internationaux, typosquatting et des cybercrime as a service. D’autres attaques, plus furtives, permettent d’intégrer des systèmes de manière prolongée, donnant lieu à de la reconnaissance, de la compromission, à la latéralisation d’une charge active au sein du réseau (déplacement entre les machines connectées), phase de renforcement des accès (statut d’administrateur à un programme malveillant), et enfin l’exfiltration de données. Les cybercriminels ont maintenant tendance à cibler leur victime, en utilisant des techniques d’ingénierie sociale comme le spear phishing, qui contrairement au phishing traditionnel, vise une personne bien précise.
Les secteurs les plus touchés sont ceux des sciences et techniques, notamment avec les rançongiciels représentant les principales menaces en recrudescence depuis 2020 et qui impactent la compétitivité des entreprises, mais aussi la sécurité des territoires victimes de ces pratiques.
Serge Houtain, coordonnateur du comité technique sur la cybercriminalité du réseau Francopol, expose l’importance d’une prise en compte du continent africain dans la lutte contre la cybercriminalité : « sur place il y a beaucoup de compétences et de choses en place, mais le vrai problème c’est qu’ils ne communiquent pas entre le privé et le public. La côte d’Ivoire est le principal fournisseur en cyber-arnaque, il y a 12 millions d’utilisateurs internet et 131% de téléphones sur le territoire soit 34 millions de téléphones en circulation ». Une situation qui démontre l’intérêt d’équipes communes d’enquêtes avec des outils communs pour pouvoir travailler à distance sans avoir besoin de se déplacer. « L’Afrique monte en puissance au niveau d’internet, il n’y a pas que des cyberarnaques. Avec l’explosion des paiements et du terrorisme, il y a d’autres choses qui méritent notre attention. »
Protection de votre activité et de vos données
Michel Rochelet, délégué à la sécurité numérique pour la région grand-Est à l’ANSSI présente la nécessité pour les acteurs de la cybersécurité de développer de la « security by design, pour que la sécurité des systèmes soit prise le plus en amont possible ». Mais ce qui peut réellement changer la donne, point sur lequel s’accordent tous les intervenants, reste la coopération des acteurs privés et publics, nationaux et européens. Depuis 2004, l’ENISA garantit une autonomie stratégique européenne en donnant une assise plus complète et en définissant une certification de cybersécurité dans un cadre européen. Une agence clé pour le renforcement de la sécurité du marché unique numérique européen et qui donne lieu en 2019 au Cybersecurity Act. Le cadre théorique ne suffit pas, il faut également être en mesure d’agir contre ces menaces, ce qui a été l’objectif des exercices Blue OLEx, organisés le 20 septembre 2020, ou encore celui de la création du réseau Cyclone pour coordonner les actions en cas de crise cyber d’ampleur.
L’ANSSI souhaite avant tout démocratiser les enjeux de cybersécurité, et dirige depuis 5 ans un dispositif territorial avec une mission en lien avec l’État et des missions de sensibilisation des TPE, PME et des collectivités territoriales. Dans le contexte cyber actuel, « une mise en conformité ne suffit plus car on peut être conforme tout en étant capable de mourir d’une cyberattaque » avertit Michel Rochelet. Respecter le RGPD, ou appliquer à la lettre la loi ISO 27002 (loi Sarbanes-Oxley), ne décharge pas les entreprises de leur devoirs de cybersécurité, « il faut appliquer le principe de la Roue de Deming : il n’y a pas de cybersécurité s’il n’y a pas d’analyse de risque ». Aujourd’hui ces analyses sont principalement menées dans un cadre professionnel, le cadre empirique n’ayant toujours pas pu être établi, bien que l’ANSSI tente de mettre un guide à disposition de chacun pour se prémunir des premières précautions. Ce guide émet 12 recommandations de bonnes pratiques, à l’usage des managers, « pour parler le même langage avec le responsable informatique », et un autre à l’usage des RSSI pour mettre en place des « gestes barrières informatiques » et informer sur le comportement à adopter en cas de rançongiciel. Pour Philippe Baudoin, il est aussi crucial de se protéger « lors des moments clés des vies des entreprises comme les fusions acquisitions ou lorsqu’elles atteignent le marché stratégique d’autres entreprises » en organisant des audit de cybersécurité. Il rappelle aussi que la cybersécurité ne concerne pas uniquement les ordinateurs, mais aussi les smartphones, aujourd’hui utilisés par chaque salarié et pouvant présenter de grandes négligences en termes de protection notamment par le téléchargement d’applications frauduleuses.
Vers qui se tourner en cas d’attaque ?
La mise en commun des attaques cybercriminelles ainsi que la mise en place de relais dans différentes régions du monde (à Dakar notamment) permet d’instaurer les premières bases d’une coopération étendue entre les différents acteurs. De nombreuses collaborations sont mises en place via Europol, EC3, Eurojust ou encore Francopol. Pour Serge Houtain, il est important de « soutenir la recherche et la réflexion en matière de formation et favoriser la mise en commun des meilleures pratiques ». Dans cet objectif, Francopol met en place des sensibilisations via des applications ou des plateformes gratuites (scenari.org) pour montrer l’importance d’un dépôt de plainte. Un objectif repris par Philippe Baudoin, qui souligne le rôle des signalements en cas d’attaque : « recueillir le signalement des gens permet de faire des regroupements sur les modes opératoires, les lieux d’achats de produits les plus récurrents suite aux fraudes aux cartes bancaires, qui seront ensuite transmis au parquet de Pontoise ». Des dizaines de fraudeurs ont pu être arrêtés grâce à la plateforme PERCEVAL, accessible sur le site service-public.fr. Ce type de méthode permet de résoudre des contentieux généralement abandonnés en pénal par manque de preuves. Le Parquet J3 du Tribunal de Grande Instance de Paris, devient alors le « point de regroupement de nombreux dossiers judiciaires, et qui permet l’émergence d’un renseignement cybercriminel », grâce aux signalements individuels lorsque l’accès aux preuves numériques est plus complexe. « Le dépôt de plainte est une démarche positive et vertueuse pour tous. Il permet la reconnaissance de la victime et du préjudice, donne un renseignement criminel cyber et permet de cibler les préventions. Les plaintes permettent d’avoir une vision plus réaliste et de convaincre l’État sur l’enjeu cyber ». D’autres plateformes collaboratives comme ACYMA diffusent les bonnes pratiques et offrent une assistance aux victimes grâce à une mise en relation avec des experts ou prestataires proches de la victime. Il y a eu plus de 90 000 victimes assistées, et la plateforme a également émis des recommandations sur le télétravail.
Il y a aujourd’hui beaucoup de possibilités en termes de cybersécurité. La souveraineté numérique et la maitrise des technologies clés, la prise de conscience face aux risques et l’esprit de continuum de sécurité sont des éléments auxquels chaque acteur peut réfléchir à son échelle. Michel Rochelet conclue, « il faut convaincre les décideurs, sinon il n’y aura pas de chemin ensemble. La cybersécurité ne nécessite pas de gros budget et parfois les solutions sont simples, si bien que beaucoup de chefs d’organismes me disent, « et si j’avais su » ».