Rencontre avec Anne Souvira, Commissaire Divisionnaire et Chargée de mission

vendredi 10 mars 2017

Par Isabelle MAURANGES-DALMAYRAC

Connexions. La newsletter du réseau Crowe Horwath

Les cyberattaques sont la bête noire des gouvernements et des entreprises. Qu'est-ce qu'une cyberattaque ? Quelle panoplie d'infractions cela recouvre-t-il ? Cela peut prendre la forme d’une atteinte aux systèmes d’information de l’organisation et aux données qu’ils contiennent. Par exemple, l’accès frauduleux dans les réseaux et serveurs de données ou de messageries d’une entreprise, leur altération, leur destruction et les extractions de données, qui entraînent des pertes parfois irréparables.

Ainsi, l’infection par crypto-virus en l’absence de sauvegarde des données : le chiffrement des données rendues illisibles par ce maliciel conduit l’entreprise à payer une rançon pour récupérer, croit-elle, ses données. Mais même lorsqu’elle aura acheté sur le dark net de la crypto-monnaie, tels les bitcoins selon les prescriptions des hackers, qu’elle aura reçu la clef de déchiffrement et aura elle-même assuré le recouvrement des données, elle ne retrouvera pas tout et comprendra, trop tard, que la sauvegarde sur un serveur distinct lui aurait évité ces coûts, voire de mettre la clef sous la porte ! Une attaque peut aussi être un déni de service, à savoir des requêtes massives sur un site de e-commerce ou vitrine, qui l’empêche de rendre le service pour lequel il existe. L’acheteur se reportera sur un concurrent. La page d’accueil du site peut également avoir été défigurée et comporter un contenu inapproprié portant atteinte à la réputation de l’entreprise. Cette défiguration consiste à exploiter une faille très connue d’absence de mise à jour de logiciel d’édition de contenu, ce qui pourrait être facilement corrigé en ayant une véritable politique de sécurité informatique. Les bases de données peuvent donc, grâce à des maliciels, êtres exfiltrées, portant un préjudice financier et réputationnel à l’entreprise. Il convient de noter que l’employeur doit empêcher les infractions de téléchargement illégal (Loi HADOPI) et les infractions commises en interne avec son réseau (pédopornographie, contrefaçons de film musique, minage/ fabrication de bitcoins…).

Les PME sont-elles plus ou moins exposées que les grandes entreprises ?

Elles sont visées au même titre que les grosses entreprises et sont plus vulnérables car elles ont moins mis de moyens en termes de sécurité, cette dépense n’étant pas vue comme un investissement, ni du point de vue technique ni du point de vue de la formation. La formation des personnels évite d’être une victime involontairement consentante, comme, par exemple, en matière d’ingénierie sociale. Cette technique d’escroc consiste à collecter des informations sur les personnes et leurs entreprises auprès des réseaux sociaux, de collègues imprudents ou bavards et de se faire passer pour un PDG qui, un vendredi soir, vous appelle pour vous demander dans le plus grand secret d’effectuer un virement très important sur un compte à l’étranger pour une opération économique secrète… Cette fraude de faux ordres de virement, très connue sous l’appellation fraude au Président, peut prendre plusieurs formes, tel le subit changement de RIB du loyer à verser à votre bailleur d’entreprise ! Elle fonctionne en dépit des efforts de sensibilisation. Les sommes dérobées sont faramineuses et ont conduit plusieurs entreprises à la ruine. Pareillement, le faux technicien informatique qui téléphone pour une prétendue mise à jour à distance de l’ordinateur et qui demande se connecter sur un site contenant des logiciels de hacking et d’exfiltration de données. Il demandera de cliquer sur des fichiers de mise à jour introduisant ainsi dans l’entreprise des espiogiciels qui déroberont savoir-faire et informations utiles à l’ennemi peut-être concurrent.

Quelles sont les voies de recours d'une PME victime d'une cyberattaque  ?

Lorsque la menace s’est réalisée, l’entreprise peut déposer plainte et l’enquête recherchera, grâce aux traces informatiques préservées, les auteurs sans doute situés à l’étranger. Cela pourra être long et aboutir, ou non, car la coopération internationale n’est pas toujours facile et les hackers, forts habiles.

Face à cette menace croissante, quelles sont les mesures mises en place par les pouvoirs publics ?

Les pouvoirs publics, par le ministère de l’Intérieur et notamment la préfecture de Police de Paris, travaillent sur la prévention, pour faire connaître la menace, et sur la répression, lorsque les entreprises déposent plainte ou dénoncent des faits. Cela se traduit par exemple par la collaboration avec la Fédération Bancaire Française sur la précision des modes opératoires recensés par des échanges d’informations, des vidéos de sensibilisation1 , des guides de bonnes pratiques2   pour éviter aux TPE-PME d’être victimes. Nombre de conférences pour informer les personnels sont données par différents services de police (l’OCRGDF3 , la mission "cybercriminalité" du préfet de Police, la BFMP4   et la BEFTI5 , la Police Judiciaire) dans le cadre du MEDEF, des CCI ou Chambres des Métiers, la CGPME et autres réseaux d’entreprises, tel celui des experts- comptables et par la participation active à divers clubs professionnels (CDSE, CESIN6, CLUSIF7 ). En zone gendarmerie, la sensibilisation est plus de proximité. La DGSI8  intervient auprès des entreprises qui ont une activité essentielle pour la Nation.

Que peut faire la profession du chiffre pour accompagner ses clients sur ce sujet ?

Proches de leurs clients, les experts- comptables peuvent venir en support de tous les efforts de sensibilisation, transmettre les bonnes pratiques, identifier des risques, y remédier, évaluer les possibilités d’investissement pour sensibiliser les collaborateurs.

Ils pourront également les aider à prendre conscience de la nécessité de se mettre en conformité avec le règlement européen du 24 mai 2016 sur le traitement informatique des données à caractère personnel qui sanctionnera très sévèrement, dès mai 2018, les manquements. L’expert- comptable est un relais de choix pour conseiller les entreprises et les accompagner dans ce changement numérique, source de rapidité des économies et de nouvelles activités, à condition toutefois d’en maîtriser les risques par l’application des principes de cybersécurité pour ses réseaux, ses systèmes et leurs données. Celles-ci- sont le patrimoine informationnel de l’entreprise. Il est fondamental de le protéger des prédateurs afin d’éviter de conduire l’entreprise à sa perte et ses collaborateurs, au chômage. Il y a une réelle responsabilité du chef d’entreprise à prendre la mesure de la cybersécurité.

Glossaire                          

Espiogiciel (spyware) Logiciel dont l’objectif est de collecter et de transmettre à des tiers des informations sur l’environnement sur lequel il est installé, sur les usages habituels des utilisateurs du système, à l’insu du propriétaire et de l’utilisateur.

Hamonnage (Phishing) Vol d’identités ou d’informations confidentielles (codes d’accès, coordonnées bancaires) par subterfuge : un système d’authentification est simulé par un utilisateur malveillant, qui essaie alors de convaincre des usagers de l’utiliser et de communiquer des informations confidentielles, comme s’il s’agissait d’un système légitime.

Maliciel (Malware)

Tout programme développé dans le but de nuire au moyen d’un système informatique ou d’un réseau. Les virus ou les vers sont deux types de codes malveillants connus.

Glossaire complet sur : ssi.gouv.fr/administration/glossaire/

 

1 http://www.fbf.fr/fr/la-banque-des-entreprises-et-des- professionnels/moyens-de-paiement/prevenir-les-escroqueries- aux-ordres-de-virements-internationaux-dans-les-entreprises- (video-explicative)

2 http://www.fbf.fr/fr/la-banque-des-particuliers/moyens-de- paiement/securite-des-moyens-de-paiement/ordres-de-virement- des-entreprises---9-reflexes-securite

3 Office central de répression de la grande délinquance financière

4 Brigade des fraudes aux moyens de paiement

5 Brigade d’enquêtes sur les fraudes aux technologies de l’Information

6 Club des experts de la sécurité de l'information et du numérique

7 Club de la sécurité de l’information français

8 Direction générale de la sécurité Intérieure

 

Retourver le contenu complet de la newletter sur ce lien

https://cesin.fr/publications/document/display/230

© CESIN