CYBERCRIMINALITE : PREVENTION ET REACTIVITE

CYBERCRIMINALITE : PREVENTION ET REACTIVITE

Compte-rendu du Lundi de l'IE du 21 septembre 2015 par Julia Juvigny (julia.juvigny@gmail.com)

Intervenants

Luc ALLOIN, Fondateur et Président du cabinet de conseil SECURYMIND. Spécialiste des menaces asymétriques, il est également expert en sureté au profit de l'Agence Nationale pour la Recherche (ANR), co-auteur de l'ouvrage "Manuel d'intelligence économique" (2012-Col MAJOR-PUF).

Patricia BLANCHE-ROTERMUND, Avocate Associée FIDAL, co-responsable du département droit social à Paris. Elle conseille les entreprises au quotidien dans la gestion des enjeux du droit du travail comme pour la gestion d'opération de restructuration, de cession ou d'acquisition d'activités et d'audit social.

Sylvie LE DAMANY, Avocate Associée FIDAL, responsable du Pôle Gouvernance & Prévention des risques juridiques et éthiques. Experte en droit pénal des affaires, gouvernance d'entreprise, éthique et gestion des risques.

Antoine LE BRUN et Karine MELCHER-VINCKEVLEUGEL, Avocats Associés FIDAL.

Résumé

La lutte contre la cybercriminalité constitue un enjeu juridique et économique considérable pour les entreprises. Le développement des nouvelles technologies et la révolution numérique n’ont fait qu’accentuer ce risque auquel les entreprises sont désormais confrontées. Phishing, escroquerie, espionnage, fraude au Président, les méthodes sont multiples et conduisent à des pertes financières, décrédibilisent la réputation de l'entreprise et remettent en question son bon fonctionnement. Néanmoins, les entreprises sont responsables de la sécurité de leurs propres données. Dès lors, seule une politique globale de cybersécurité permettrait de sensibiliser les entreprises au phénomène des cybermenaces et d’y apporter une réponse technique et juridique.

Compte-rendu

Introduction.

            Par définition, la cybercriminalité regroupe toutes les infractions pénales tentées ou commises à l'encontre ou au moyen d'un système informatique généralement connecté à un réseau. Elle représente l'un des cinq risques majeurs potentiels compte tenu des dégâts financiers, techniques et humains qu'elle peut occasionner (au même titre que les guerres). L'essor de la cybercriminalité est directement lié à la transformation numérique qui s’est généralisée au sein des entreprises françaises. Ce déploiement du tout numérique s'est accompagné de nouvelles zones de vulnérabilité, que les hackers ont su exploiter. A titre d'exemple en 2013, une entreprise sur deux s'est dite victime d'un acte de malveillance.

            Ce développement de la cybercriminalité a entraîné la création de nouveaux services spécialisés dans la sécurité informatique, comme l'Agence Nationale de la Sécurité des Systèmes d'Information en 2009 ou plus récemment le Centre Européen de lutte contre la cybercriminalité en 2013. La même année était publiée la Loi de programmation militaire qui prévoit le renforcement de la cybersécurité des entreprises stratégiques (Opérateurs d’Importance Vitale). En 2014, le Parquet de Paris a érigé un Pôle de lutte contre la cybercriminalité. Deux magistrats supervisent cette nouvelle cellule. Enfin, des projets visant à protéger les données personnelles dans le cyberespace sont en cours et devraient être effectifs fin 2015.

1. Typologie de la cybercriminalité

À l'heure du tout numérique la cybercriminalité s'impose comme la menace du XXIème siècle et pose un défi majeur pour les entreprises que ce soit des multinationales ou des PME. En 2014, un milliard de fichiers ont été corrompus, soit une augmentation de 80% par rapport à l'année précédente. Le cyberespace est devenu le nouveau terrain de jeu des hackers qui piratent les entreprises : fraudes à la nigériane, ransomwares, ou encore vol de données sensibles.

1.1 – L’atteinte aux données informatiques

            L'atteinte aux données informatiques se caractérise par le vol, le harcèlement ou encore l'espionnage des entreprises concurrentes. L'objectif principal est d'avoir accès à des données sensibles, telles que les données clients. Le vol de données informatiques des entreprises est le plus souvent lié à une faille de sécurité. Par exemple, une mutuelle française s'est faite pirater son site web. Les hackers ont pu détourner de l’argent en exploitant une vulnérabilité SQL du site. Ils ont ainsi récupéré les données de centaines de devis en ligne qu’ils transmettaient à une structure tierce basée à l’étranger. Autre exemple, le piratage du téléphone portable d’un dirigeant d'un grand groupe français. Il recevait des centaines d’appels par jour sur son mobile et était donc en incapacité de travailler. Il ne s’agissait pas d'un automate mais d’un ancien collaborateur qui avait été licencié.

1.2 – Les risques liés à l’externalisation

            Près de 43% des affaires de cybercriminalité impliquent des salariés, volontairement ou non, mais également des personnes extérieures. En effet, l’externalisation des activités d'une entreprise la rend vulnérable aux vols de données. Ce phénomène permet à des personnes extérieures à l'entreprise d'avoir accès à des données informatiques parfois sensibles. Ce risque se traduit par une possibilité de fraude de la part de prestataires, de sous-traitants et même de stagiaires mal intentionnés. Il faut ainsi s’intéresser à la politique d’accès aux données et mettre en place une réglementation renforcée dont le mot d’ordre est confidentialité. Il est donc important de réaliser un contrat qui encadre la sous-traitance par les personnes chargées d’assurer la sécurité des systèmes d'informations, par exemple les responsables de la sécurité des systèmes d'information ou les directeurs des systèmes d'information.

1.3 – Fraudes au Président

            En France, les fraudes au Président se sont particulièrement multipliées ces dernières années.  L’escroc se fait passer pour le dirigeant d'une entreprise. Il sollicite par courriel un de ses employés afin qu'il lui envoie une somme d'argent sur un compte. L'objectif étant de réaliser une acquisition à l'étranger. Le plus souvent ce sont les comptables qui sont visés. Les escrocs connaissent parfaitement l’entreprise qu'ils veulent pirater, préparant leur attaque en amont. Ils obtiennent des informations sur le site web de l’entreprise, les réseaux sociaux ou le registre de commerce. Les PME sont de plus en plus touchées par ce type d'arnaque. Les secteurs les plus visés sont les banques, les médias, l’industrie, les collectivités territoriales, les ministères (économie, finances) et même l'Elysée.

Au-delà des enjeux financiers, ces différents types de cybermenaces entraînent une perte de valeur technologique, la déstabilisation, l’atteinte à la réputation de l’entreprise, ainsi que l’engagement de la responsabilité civile ou pénale de l’entreprise. Les solutions face aux vols de données sont multiples. On peut citer les missions d’investigation visant à rechercher quel est l’auteur responsable des escroqueries. Le renforcement de la sécurité passe également par un contrôle vigilant des systèmes d'information via les audits de sécurité.

2. Réactivité et prévention, le duo gagnant face aux cyberattaques

Lorsqu'une entreprise est touchée par un acte de cybercriminalité, elle doit travailler dans "une logique d’urgentiste". Il faut éviter de détruire les preuves que l'on possède par une action malencontreuse. L'identification de l'origine de la cyberattaque permettra aux enquêteurs de déterminer la localisation et les auteurs de l'escroquerie. Cette investigation sera menée de manière plus rapide si l'entreprise fait en sorte de garder toutes les preuves qu'elle possède. Pour agir de manière efficace, les responsables de la sécurité de l'entreprise doivent être alertés (direction juridique, communication, DSI, RSSI). L'entreprise doit enfin déclarer la fraude auprès des services spécialisés (ANSSI, Gendarmerie).

2.1 - Premières mesures d'urgence en cas de cyberattaque

 

Définition du mode opératoire

de l'attaque.

Déterminer l'origine de la malveillance

(interne ou externe)

|

Déterminer le périmètre.

A quel type de données l'attaquant

a-t-il eu accès?

Evaluation des pertes et des risques.

|

Quelle stratégie adopter face à l'attaque?

Faut-il stopper toute activité ou continuer

afin de piéger l'attaquant?

|

Quels outils juridiques utiliser?

2.2 - Audits de sécurité

            Tous les jours, ce sont des milliers d'attaques informatiques qui touchent des entreprises stratégiques. De nombreuses questions sont à poser. La méthode d'attaque utilisée est-elle connue? Les acteurs internes de l'entreprise (DSI, RSSI, ingénieurs informatiques) ont-ils été mobilisés efficacement afin de renforcer les mesures de sécurité des systèmes d'informations? De quels renforts ont besoins les entreprises afin de limiter le vol de données? Les réactions face aux cyberattaques ont-elles été appropriées? La meilleur façon de renforcer la sécurité des systèmes d'informations est de faire un diagnostique de type analyse de risques afin d'évaluer  quels sont les menaces, les impacts, et les vulnérabilités de l'entreprise après un délit informatique. Outre les audits de sécurité, les audits de gouvernance sont aussi un outil efficace. Ils reposent sur un contrôle du fonctionnement des organes de gouvernance. Bien souvent, ils révèlent une absence de gouvernance formalisée en matière de sécurité des systèmes d'information.

2.3 - La charte informatique

            Le contrôle de l’usage des systèmes d’information passe par l'élaboration d'une charte informatique. Une charte informatique est un document élaboré par l'entreprise dont le but est de délimiter les droits et obligations en matière d'utilisation du système d'information et de communication des employés. Le contenu de la charte varie en fonction du contexte et des préoccupations de l'organisation qui l'impose. Elle liste l'’organisation des serveurs et flux, les outils mis à disposition de l'entreprise (coffre-fort), les règles d’usages, les contrôles. Une application effective de la charte par la hiérarchie et les collaborateurs permet de renforcer la sécurité des systèmes d'information. La charte informatique prévoit également des sanctions en cas de violations des obligations. Il pourra s'agir selon les cas de sanctions disciplinaires, voire de poursuites pénales dans certains cas.

2.4 - Code pénal et civil

            Le piratage informatique est puni par les articles 323-1 et suivants du code pénal. Les victimes peuvent déposer plainte auprès des services dédiés au recueil des plaintes, tels que l'ANSSI. La collecte des preuves, doit respecter les principes d'intégrité (respect de la vie privée des salariés de l'entreprise impactée), d'imputabilité et de fiabilité. Il existe cependant des limites au bon déroulement d'un enquête judiciaire concernant un délit informatique : la formation insuffisante des enquêteurs, leur disponibilité limitée ou encore le manque de preuves fournies par l'entreprise piratée. La réponse judiciaire peut aussi être civile. Par exemple, l’action en responsabilité civile délictuelle du tiers identifié. Il s'agit de la société bénéficiaire du virement. Les dirigeants des entreprises ont intérêt à souscrire une assurance couvrant les risques liés à la lutte contre la cybercriminalité.

Conclusion.

Face à la montée en puissance de la cybercriminalité, les dirigeants des entreprises françaises doivent adopter des mesures préventives qui passent par un travail collectif et pluridisciplinaire. L'objectif principal étant de protéger les personnes et les activités de l'entreprise, afin que celle-ci puisse continuer de fonctionner de manière pérenne.