A titre d’exemple, 80 % des coûts de fonctionnement d’une grande organisation sont liés aux salaires, ce pourcentage s’élève à 78 % pour une petite organisation criminelle. Les autres dépenses courantes communes concernent l’infrastructure (serveurs/routeurs/VPN), les machines virtuelles et les logiciels.

« La clandestinité criminelle se professionnalise très vite. A mesure que les groupes d’attaquants se développent, ils imitent dans leur schéma fonctionnel celui de l’entreprise. Toutefois, les grandes organisations de cybercriminalité peuvent être plus difficiles à gérer et comporter davantage de ‘politiques administratives’ et autres enjeux notamment de confiance entre les différents échelons et participants. Ce rapport veut contribuer à éclairer les services d’enquête sur la structuration des entités criminelles afin de les aider dans leurs investigations », explique Nicolas Arpagian, Director Cybersecurity Strategy de Trend Micro.

L’étude « Inside the Halls of a Cybercrime Business » décrit trois types d’organisations criminelles en fonction de leur taille. Cette classification a pu être établi grâce aux données récoltées par Trend Micro lors de cas concrets en coopération avec des forces de l’ordre et des services de renseignements.
• Les petites entreprises malveillantes (ex. le service Counter Anti-Virus Scan4You)
o Une organisation qui s’appuie sur une tête pensante avec un effectif qui varie entre 1 à 5 ‘employés’, pour un chiffre d’affaires annuel inférieur à 500 000 dollars.
o Leurs membres s’occupent souvent de plusieurs tâches au sein du groupe et ont également un emploi à côté de leur activité malveillante.
o Elles constituent la majorité des entreprises criminelles et s’associent souvent à d’autres entités frauduleuses.
• Les entreprises criminelles de taille moyenne (ex. Bulletproof hoster MaxDedi)
o Elles ont généralement deux niveaux de direction et s’appuie sur un collectif de 6 à 49 ‘employés’. Leur chiffre d’affaires annuel peut s’élever jusqu’à 50 millions de dollars.
o Leur structure hiérarchique est souvent pyramidale avec une unique tête pensante.
• Les grandes entreprises criminelles (ex. le groupe de rançongiciel Conti)
•
o Avec, en général, trois niveaux de direction, ce type d’organisation compte plus de 50 ‘employés’ et enregistre un chiffre d’affaires annuel de plus de 50 millions de dollars.
o Elles comptent un nombre relativement important de cadres et de superviseurs.
o Elles mettent en œuvre un système OPSEC efficace et s’associent à d’autres organisations criminelles pour toujours plus de résultats dans leurs actions malveillantes.
o Les responsables sont des cybercriminels chevronnés qui recrutent de nombreux développeurs, administrateurs et experts en pénétration de systèmes, y compris en contrat court.
o Les organisations de cette envergure peuvent disposer de services semblables à ceux d’une entreprise (par exemple, l’informatique, les ressources humaines) et même gérer des programmes pour les employés, tels que l’évaluation de performance.

Selon le rapport, le fait de connaître la taille et la complexité d’une organisation criminelle permet de fournir des indices clés aux enquêteurs, notamment sur la nature des données à rechercher. Par exemple, les grandes entités criminelles peuvent stocker des registres de leurs effectifs, des statuts financiers, des tutoriels de fonctionnement de l’entreprise, des documents propres à des fusions et acquisitions, des détails sur les portefeuilles de cryptomonnaie des employés, des calendriers partagés, etc. autant de données qui peuvent être explorées dans le cadre d’investigations policières.

« Le fait de mieux comprendre la taille et l’architecture des organisations criminelles ciblées aide également les forces de l’ordre à prioriser leurs interventions et à cibler leurs opérations au sein de ces structures de plus en plus complexes », conclut Nicolas Arpagian.