Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Assises du Droit et de la Compétitivité : la sensibilisation reste un facteur clé pour réduire les cyber-risques

février 2017 par CLEMENT OLIN

Lors de la 2ème édition des Assises du Droit et de la Compétitivité, s’est tenue une table ronde autour de la question suivante, « comment lutter contre la Cybercriminalité ? » Afin de répondre à cette interrogation, plusieurs intervenants ont animé cette session. Pour l’ensemble des intervenants, la sensibilisation reste un facteur clé pour réduire les cyber-risques.

Agathe Lepage, Professeur de droit à l’Université Panthéon-Assas, est revenue sur la législation concernant la Cybercriminalité. Elle indique qu’il n’y a pas de textes législateurs portant sur la Cybercriminalité à proprement parler. Pourtant ce thème mériterait d’être affiner sur le plan juridique. Elle en profite pour rappeler que la Cybercriminalité ne désigne pas seulement les crimes, comme pourrait laisser entendre son nom, mais aussi toutes les infractions Cyber. On pourrait donc plutôt parler de Cyber délinquance.

Du téléchargement illégal à l’usurpation d’identité… jusqu’aux attaques informatiques

Il existe une immense diversité d’infractions Cyber qui sont chacune assimilées à des infractions « générales ». Par exemple, le téléchargement illégal de données est assimilé au vol, la diffamation sur Internet est réprimandée selon la loi de 1981 sur la liberté de presse, ou encore l’usurpation d’identité dont la loi englobe toute usurpation quelle qu’elle soit. Dans certains cas, le Cyber est la source d’inspiration du législateur, mais au final la loi n’est pas seulement applicable à ce domaine. On trouve aussi des situations dans lesquelles Le Cyber est une circonstance aggravante, comme le proxénétisme, la corruption de mineur, la diffusion d’images de mineur à caractère pornographique, ou encore l’apologie du terrorisme, lorsque un moyen de communication comme Internet est utilisé.

Agathe Lepage rajoute qu’il existe quelques incriminations spécifiques dont le domaine est réduit au Cyber, comme la consultation de sites pornographiques infantiles, ou des sites de jeux en ligne sans autorisation. Pour conclure, elle précise que le noyau dur de la Cybercriminalité est bien évidemment les attaques informatiques

Les délits sont nombreux... mais les dépôts de plaintes insuffisantes

Sylvie Sanchis, Chef de la Brigade d’Enquête sur les Fraudes aux Technologies de l’Information (BEFTI), explique les trois types de missions de sa brigade. La première mission de la BEFTI, et la principale, est une mission d’enquête sur les attaques Cyber. Vient ensuite des missions d’assistance a d’autres services judiciaires, comme la Brigade Criminelle ou la Brigade des Stupéfiants, lorsque des indices concernent l’informatique. Et enfin, la troisième et dernière mission est une action de sensibilisation à la Cybersécurité.

Sylvie Sanchis revient ensuite sur les différents types d’attaques sur lesquelles la BEFTI enquête. On trouve tout d’abord les attaques de défiguration, qui correspondent à la modification d’un site, pour des actions de propagandes ou parfois même pour s’amuser. Elles sont souvent réalisées par des mineurs qui veulent s’amuser et se faire remarquer, ce qui explique que ce sont les enquêtes avec le meilleur taux de résolution.

Puis, il y a les attaques par déni de service (DDOS), qui permettent de saturer la bande-passante d’un site en utilisant des machines zombies, c’est-à-dire des ordinateurs ou n’importe quel objet connecté contrôlés par l’attaquant.

Ensuite, l’extraction d’une base de données, comme son nom l’indique, consiste à subtiliser des données privées, soit pour les rendre publiques ou soit pour demander une rançon.

Enfin, les attaques en chiffrement, effectuées à l’aide de ransomwares, permettent de chiffrer toutes les données de l’utilisateur qui se retrouvent contraint de payer en espérant récupérer la clé de chiffrement. D’après Sylvie Sanchis, aucune police au monde n’arrive à attraper ce type d’attaquant. Le seul moyen de s’en préserver est d’effectuer une sauvegarde déconnectée régulière.

Pour finir, elle rappelle qu’il ne faut pas hésiter à porter plainte car chaque victime à des éléments importants qui permettent de retrouver l’attaquant.

L’évaluation des impacts des cyberattaques est difficile à chiffrer

C’est ensuite Hervé Houdard, Directeur Général de Siaci Saint-Honoré, qui s’exprime sur l’assurance du risque Cyber. Il explique qu’il y a un problème de valorisation de ce risque car il est difficile d’évaluer l’impact réel, le coût de la réparation, les dégâts médiatiques, la perte du chiffre d’affaire… Et cela pose un réel problème dans la mesure où, d’après une étude réalisant un classement des risques qui sont le plus couverts par Siaci Saint-Honoré, le risque Cyber vient en troisième position. De plus, en première position vient le risque d’interruption de l’activité, or 30% de ces cas provient du domaine Cyber. Il faut donc tenter de contrôler un maximum ces risques au sein même des entreprises.

Serge Saghroune, Directeur de la Sécurité des Systèmes d’Information (DSSI) chez Accor, pour sa part a expliqué les moyens et méthodes à mettre en œuvre pour réduire les risques Cyber. Pour cela, il faut avoir une possibilité de contrôle. La sécurité périmétrique, avec des pare-feux, des serveurs proxy ou autre, est un bon début. Mais il faut surtout travailler en relation avec les développeurs de l’entreprise, pour effectuer des premiers contrôles en amont. Lorsque l’équipe IT développe une application, il faut savoir de quelle manière ils vont la protéger. L’équipe de Serge Saghroune réalise donc des tests intrusifs sur des bouts de codes, lorsque l’application est toujours en cours de développement, pour tester les faiblesses et les corriger directement. Puis une fois que l’application est terminée, l’équipe du DSSI réalise un test en se glissant dans la peau d’un pirate informatique, afin de localiser et boucher toutes les failles restantes.

Le problème, d’après Serge Saghroune, c’est qu’il y a très peu de personnes qui savent développer de manière sécurisé, du fait que, même aujourd’hui, très peu de cours sur le sujet sont donnés. Afin d’essayer d’y remédier un maximum, son équipe réalise des actions de formation et de sensibilisation auprès de toutes les personnes qui ont quotidiennement à l’IT.

Se laver les mains pour éviter la transmission du virus

Cependant, pour limiter les risques il faut aussi sensibiliser le grand public, notamment au phishing, ou hameçonnage. Avec son équipe, il a mis en place un onglet représentant un poisson sur Outlook. Si un e-mail semble douteux à l’utilisateur, il clique sur l’onglet et l’e-mail est transmis à son équipe. Cela permet de repérer les potentiels e-mails de phishing, mais aussi de faire des campagnes de sensibilisation, en envoyant un e-mail douteux à tous les employés. Si un employé s’en rend compte et clique sur l’onglet, on lui explique qu’il a bien fait. En revanche s’il ne s’en rend pas compte et clique sur le lien de l’e-mail, il est obligé de prendre cinq minutes pour se renseigner sur ce types d’attaques et les prémunir.

Valérie Lafarge-Sarkozy, Avocat au Cabinet De Gaulle Fleurance & Associés, rebondi sur ce sujet en présentant trois exemples plus ou moins récents d’attaques qui auraient pu être évitées grâce à une sensibilisation des employés.

L’attaque contre TV5Monde, en 2015, s’est effectuée à l’aide d’un hameçonnage associé à un Cheval de Troie. Valérie Lafarge-Sarkozy explique que même si la loi peut tenter de retrouver et condamner le coupable, elle ne peut pas empêcher le préjudice financier et médiatique. Le seul moyen de les éviter aurait été de ne pas ouvrir ces e-mails, donc d’effectuer une action de prévention auprès des employés.

Le deuxième exemple présenté est celui d’une « arnaque au Président » effectuée sur un des clients de De Gaulle Fleurance & Associés. L’attaquant s’est fait passer pour le Directeur Général et a réussi à convaincre le Directeur Financier d’effectuer un virement de 10 millions d’euros sur un compte à Hong-Kong. Lorsque le Directeur Général s’en est aperçu, il a contacté le cabinet d’avocat qui à réussi à intervenir avant qu’il soit trop tard. Cela montre que le domaine juridique peut parfois utiliser ses moyens pour éviter la catastrophe, mais Valérie Lafarge-Sarkozy rappelle que cela n’arrive pas à tous les coups, loin de là, et qu’il faut donc être vigilant. Elle explique que, dans cet exemple, c’est le Directeur Financier qui est allé trop vite et n’a pas pris le temps de vérifier soigneusement la demande de virement.

Elle le répète, « l’humain est important », beaucoup de Cyber attaques pourraient être évités grâce à une large sensibilisation. Il faut expliquer aux enfants qu’il faut se « laver les mains pour éviter la transmission d’un virus », c’est exactement pareil en terme de Cybersécurité.

Elle termine par un dernier exemple, celui d’un salarié licencié à qui l’entreprise n’avait pas retiré son badge et son code de sécurité… Dans un esprit de revanche, ce dernier s’est introduit dans le bâtiment et a supprimé toute la base de données. Il faut savoir qu’à peine 50% des entreprises sont assurées contre le Cyber risque, et que celle en question ne l’était évidemment pas. La compagnie à donc tout perdu. Des poursuites judiciaires ont bien sûr été engagées, mais l’ex-salarié étant fauché, l’entreprise n’a absolument rien eu en compensation.

A travers ces exemples variés, on voit bien qu’une importante sensibilisation au risque Cyber est nécessaire car il est souvent mal évalué et peut pourtant faire perdre gros.




Voir les articles précédents

    

Voir les articles suivants