Les cybercriminels toujours plus novateurs

Tous risques confondus, la cybercriminalité gagne du terrain au sein des entreprises. Ces techniques informatiques d’intrusions malveillantes sont devenues, d’après l’Allianz Risk Barometer 2019, le deuxième risque le plus redouté par les entreprises, derrière la cessation d’activité et devant les catastrophes naturelles. Les formes d’une attaque sont innombrables. Les criminels peuvent demander une rançon, faire de l’espionnage industriel ou économique, ou bien détourner des fonds. L’attaque du cybercriminel engendre des conséquences variées pour les sociétés comme dégrader sa réputation, son activité et donc son chiffre d’affaires.

La crise sanitaire, le terrain de jeu des hackers

La cybercriminalité a fortement augmenté avec l’épidémie mondiale. D’après une enquête de Moody’s, le taux de cyberattaques au niveau mondial envers les institutions a augmenté de 238 % entre février et avril 2020 et les tentatives d’extorsion des données personnelles ont été multipliées par neuf. Les secteurs de la santé et de l’alimentaire ont aussi été fortement touchés. L’une des raisons évidentes est le télétravail et la baisse de vigilance qui en découle. Les agences de cybersécurité ont mis en garde les sociétés contre certains VPN ou encore certaines plateformes en ligne telles que Zoom ou Microsoft Teams, concernant les visioconférences non sécurisées par un mot de passe. Dans la foulée, de nombreux mails, soi-disant de l’OMS ou proposant masques et gels hydroalcooliques gratuits, n’ont été envoyés que dans le seul but de pirater les données personnelles des utilisateurs. Quand ces derniers consultent leur boîte mail personnelle à l’aide de leur ordinateur professionnel, c’est tout le réseau de l’entreprise qui peut alors être infecté.

L’émergence d’un cyber-risque : le ransomware

Quatorze secondes. C’est le laps de temps entre deux attaques par ransomware dans le monde en 2019. Les pirates du Web chiffrent les données de l’entreprise ou bien interdisent l’accès aux employés, moyennant une rançon. Ce phénomène peut survenir très rapidement. La simple ouverture d’une pièce jointe suffit. C’est le nouveau virus à la mode et dont, tout récemment, en juillet, le groupe français de BTP Rabot Dutilleul a été victime. Frappé par un rançongiciel, il leur a été demandé 973 bitcoins, soit près de huit millions d’euros. Le groupe a porté plainte et des équipes techniques travaillent pour débloquer les informations. Parfois, payer la rançon suffit pour récupérer ses données, mais dans certains cas – environ un sur cinq –, l’entreprise ne les retrouvera jamais. Certains criminels utilisent en effet des logiciels qu’ils ne détiennent pas et n’ont donc pas la main sur les données collectées. Si les sociétés acceptent de payer, c’est que le montant demandé est, en général, peu élevé, mais aussi parce qu’elles craignent que le piratage ternisse leur image et compromette leur réputation. Ajouté à cela, le faible nombre de dépôts de plaintes entraîne une sous-évaluation de ce risque par les gouvernements.

Prévenir et réprimer

Diffuser la culture du risque constitue alors l’enjeu primordial. Dorénavant, tout directeur financier se doit d’être aussi un expert du risque. L’une des solutions mises en avant les a amenés à créer le poste de "risk manager". Pourtant, le risk management ne fait pas tout. Chaque employé de la société a son rôle à jouer pour éviter au mieux les virus. Alors que 80 % des incidents sont d’origine humaine, la sensibilisation aux risques de la part de l’équipe qui s’en charge est primordiale.

Les experts admettent ainsi quatre pratiques à adopter. Tout d’abord, et pour limiter au maximum les attaques, mettre en place les outils ad hoc s’impose. Cela passe également par des sauvegardes régulières et par l’identification des données les plus primordiales de la société. Celles-ci, indispensables à sa survie, seront à protéger en priorité. Puis, à tous les niveaux du système d’exploitation, des outils de détection des virus doivent être créés, et ce, avant de déployer des outils d’analyse, puis de correction. D’après le directeur de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), toutes ces pratiques pour sécuriser les établis- sements des hackers devraient représenter 10 % du budget du département en charge des cyber-risques.

"Le coût pour sécuriser les établissements des hackers devrait représenter 10 % du budget du département en charge des cyber-risques"

Si des cyber assurances émergent, il est préférable de relire en premier lieu son contrat d’assurance de base. Ce dernier peut couvrir les préjudices en cas de cyberattaque. Mais la cyber assurance peut aussi avoir des avantages pour les petites et moyennes entreprises qui n’ont pas toujours les moyens d’avoir un service dédié à la protection des données. L’assurance n’est pas, dans ce cas, considérée uniquement pour l’aspect financier, mais aussi pour l’expertise externe qu’elle peut apporter. Attention toutefois au respect de la Loi Sapin II (2019) en matière de conformité et de cybercriminalité. Celle-ci annonce, entre autres, la nécessité de produire des données comptables justes et de confectionner une cartographie des risques pour lutter contre la corruption et les vols de données. D’après l’étude Euler Hermes - DFCG 2017 et avant la mise en place de la loi Sapin II, seules 20 % des entreprises avaient établi cette cartographie et essayé des tests fictifs d’intrusion. Si les données comptables font défaut, l’assurance ne sera pas forcément effective en cas d’attaque. Désormais, avec le Règlement général sur la protection des données (RGPD 2018), toute entreprise doit se prémunir au maximum contre les risques, sous peine d’amende.

Si ces attaques peuvent être contournées, les hackers innovent constamment. Combien de temps avant une nouvelle forme d’intrusion ? La crise du coronavirus a entraîné un corollaire inattendu, celui d’une forte hausse du nombre de cyberattaques, mettant en exergue les risques auxquels les sociétés sont en permanence confrontées et l’urgence de les prévenir.

Agathe Giraud