France: les nouveaux enjeux de la cybersécurité

En 2015, les cyberattaques ont augmenté de 38 % dans le monde et de 51 % en France. Ces chiffres, publiés dans l’étude The Global State of Information Security Survey 2016 réalisée par PWC, pointent une escalade des risques pour les particuliers comme pour les entreprises.

Aucun secteur n’est épargné : des 11 millions de comptes d’Ashley Madison aux 117 millions de comptes LinkedIn récemment piratés, des 100 000 contribuables américains à la banque SWIFT en Australie… et ce ne serait que la partie visible de l’iceberg.

D’après le général Watin-Augouard, directeur du Centre de recherche de l’École des officiers de la gendarmerie nationale (CREOGN) et spécialiste en cybersécurité : « Nous allons respirer un oxygène numérique sans nous en rendre compte. C’est tout un système qui peut tomber comme un jeu de cartes si on n’en assure pas la sécurité à tous les étages ».

2 millions de Français victimes de phishing en 2015

D’après Phishing Initiative, site de lutte contre la cybercriminalité, 2 millions de Français ont vu leurs données subtilisées sur Internet. Cette arnaque se présente souvent sous forme d’un mail personnalisé se faisant passer pour un organisme financier ou public – c’est le phishing, ou hameçonnage. Un lien dans le mail redirige vers un site invitant l’internaute peu prudent à saisir ses informations confidentielles.

Raphaël Renaud, créateur d’un site spécialisé sur la question, remarque une augmentation de ces pratiques, qui serait due selon lui au « nombre croissant de cybercriminels organisés en réseaux très structurés » ; de plus, ces derniers utiliseraient également des « méthodes de plus en plus sophistiquées ».

Les données volées ne se résument pas aux informations bancaires. Plus tôt ce mois-ci, des pirates ont subtilisé les informations personnelles de quelque 1,3 million d’internautes chez Orange. L’opérateur a reconnu un « accès illégitime sur une plateforme d’envoi de courriers électroniques et de SMS utilisée à des fins commerciales ». Les pirates seraient en possession de nombre d’informations telles que les adresses emails, numéros de mobile et de fixe, nom d’opérateur mobile ou date de naissance.

« Nous allons respirer un oxygène numérique sans nous en rendre compte. »

-Général Watin-Augouard, directeur du CREOGN

Les données subtilisées peuvent être utilisées dans l’envoi d’emails de phishing. Mais de façon générale, il est difficile de savoir où ces données peuvent atterrir. Dans le cas d’Ashley Madison, site de rencontres extraconjugales, les données devaient être publiées sur Internet, donnant lieu à des chantages.

Dans d’autre cas, ces données peuvent être une mine d’or. Sur le dark web – Internet parallèle regroupant des utilisateurs anonymes et intraçables et où les sites ne sont pas indexés sur les moteurs de recherche –, un indicateur permet de mesurer la valeur de ces informations confidentielles. Quand un dossier utilisateur contient des données de santé ou des renseignements concurrentiels, celui-ci peut se revendre jusqu’à 300 dollars.

Manque de préparation des entreprises françaises ?

L’Insee a publié un rapport indiquant qu’en 2015, 13% des entreprises françaises ont été touchées par un incident de sécurité. De plus, l’organisme pointe un retard des PME françaises par rapport aux voisines européennes dans le passage au digital : un tiers d’entre elles n’auraient pas de site web. Ce retard se retrouve dans la sécurisation de ces sites, car là encore, moins d’un tiers des PME déploient une politique de sécurisation de leur système d’information et de communication. Axelle Lemaire, secrétaire d’État chargée du Numérique, a indiqué travailler sur un dispositif pour soutenir les PME dans le passage au digital.

Au niveau des grandes entreprises (250 salariés ou plus), presque trois quarts d’entre elles sont protégées. Les risques sont en effet plus grands : lors d’annonce de cyberattaque, l’entreprise peut se trouver en difficulté en bourse et la confiance des investisseurs peut être mise à mal.

Une étape a été franchie en avril, par l’adoption par le Parlement européen d’une réglementation établissant des sanctions allant jusqu’à 100 millions d’euros et 5% du chiffre d’affaires mondial pour les entreprises imprudentes qui auraient laissé les données des utilisateurs filer « dans la nature ». Une mesure destinée à responsabiliser ces dernières sur le risque existant.

On peut présumer que ces évolutions annoncent un tournant pour le budget web des entreprises, qui devront augmenter leur sécurité sous peine de perdre en compétitivité, mais aussi en confiance. Interviewé par Le Point, le général Watin-Augouard indique que ce passage est nécessaire « pour que l’on puisse construire une véritable politique publique ».

La cybercriminalité, dans sa définition, ne renvoie pas à une liste d’infraction et correspond davantage à une façon d’opérer ; ce qui pose problème dans l’identification et les contre-mesures entreprises pour la contenir. À ce jour, celle-ci demeure mal évaluée : d’une part, l’effet d’une cyberattaque peut se déclarer bien plus tard ou indirectement, et d’autre part les entreprises préfèrent taire ce type d’attaque, en raison des retombées sur leur activité.

Watin-Augouard plaide également pour une meilleure transparence dans le monde numérique. « Il faudrait qu’un organisme puisse faire la synthèse de toutes les données récoltées. Je pense qu’à l’avenir les assurances pourront le faire, car ce sont elles qui sont en charge de la sinistralité », estime-t-il.

Les banques, en première ligne contre la cybercriminalité ?

Face aux risques de cybercriminalité qui pourraient toucher les secteurs vitaux de l’État, les autorités ont décidé de renouveler leurs moyens de protection. Dans le cadre de l’article 22 de la loi de programmation militaire, l’exécutif a ainsi confié aux banques la tâche de définir les exigences nécessaires en matière de sécurité informatique. En effet, les organismes bancaires ont su développer une expertise en ce qui concerne l’identification des menaces et la lutte contre les fraudes informatiques.

Même si, au niveau international, les banques ont eu à faire les frais de piratages ayant abouti au vol de sommes importantes, celles-ci utilisent des techniques de pointe, comme des cartes à cryptogramme dynamique ou l’utilisation de biométrie vocale. À titre d’exemple, la Société Générale a prévu d’investir 1,5 milliard, soit 5% de son budget informatique, d’ici à 2020 pour sa cybersécurité.