Les entreprises et professions libérales face à la cybercriminalité
Le risque cyber constitue désormais un territoire de délinquance de masse. Il impose aux entreprises d’opérer un changement de paradigme sur le sujet pour se protéger face à cette insécurité de type numérique.
Par Benoît Fayet, membre du comité stratégique du CRSI
Les petites entreprises et les professions libérales, au même titre que les grandes entreprises ou organismes publics détenteurs de données personnelles, sont particulièrement exposées aux risques numériques et doivent en conséquence s’adapter et trouver des solutions pour se protéger de la cybercriminalité. Il s’agit de systématiser la prise en compte de cette menace. Penser son activité professionnelle sans intégrer le risque cyber est désormais l’assurance de conséquences potentiellement dramatiques sur le long terme.
Plus de 6 000 PME françaises victimes de cybercriminalité en 2023
Les entreprises françaises, ETI, PME ou grands groupes, au même titre que des structures publiques (hôpitaux, écoles, …) sont aujourd’hui massivement victimes d’incidents de sécurité informatique.
Plus de 6 000 PME françaises ont été attaquées sur les 12 derniers mois.
Des données sans doute minorées, pour 1 cyberattaque déclarée auprès des services de police, il y aurait plus de 50 cyberattaques en réalité, tentées ou réussies.
Les conséquences sont désastreuses puisque 60% des entreprises victimes de cybercriminalité déposent le bilan dans les 6 mois. Il est donc nécessaire que les entreprises prennent conscience du risque cyber, sans attendre de se faire attaquer pour réagir.
La cybercriminalité, un “marché” structuré et organisé
Le “marché” de la cybercriminalité s’est en effet considérablement transformé et structuré depuis quelques années. 70% des infractions “cyber” sont liées à des escroqueries, 25% sont liées à l’image et à la vie privée (cyber harcèlement, pédopornographie, etc.) et 5% sont véritablement du hacking, émanant de professionnels généralement liées à des attaques organisées par des groupes, voire des États dans un marché ou le caractère international des attaques est de plus en plus prégnant.
Désormais en effet, des groupes de cybercriminels sont constitués en véritables entreprises avec des stratégies et des objectifs pour réaliser un chiffre d’affaires et faire fructifier leurs activités. Aussi, ces cybercriminels visent ils en priorité les entreprises de taille moyenne du fait de leurs vulnérabilités avec de la donnée sensible qu’il est possible de faire “fuiter” et essentielle au bon déroulement des activités de ces entreprises sans laquelle elles pourraient être paralysées et qui sont donc des leviers pour les faire “chanter”. Les données médicales sont par exemple les données les plus lucratives pour les cybercriminels avec le coût d’un dossier médical pouvant atteindre 350 dollars sur le darkweb.
De plus, le risque cyber a été particulièrement renforcé avec la crise sanitaire. Le confinement a contraint les entreprises à laisser leurs salariés accéder aux réseaux internes depuis des appareils personnels, sans que ces réseaux n’aient été durcis en conséquence. Plus généralement, les entreprises payent aujourd’hui le prix d’une accélération de la digitalisation de la société alors même que leurs environnements informatiques se sécurisent peu à peu.
Cette situation est d’autant plus préoccupante que ces environnements sont de plus en plus interconnectés, générant des quantités de données qui sont autant de cibles. Les cybercriminels surfent aussi sur les nouvelles technologies qui leur offrent des opportunités comme le cloud qui a vu le nombre d’attaques contre ces serveurs doubler en 2023. L’intelligence artificielle est aussi un facteur de risque avec des technologies facilitant la tromperie des entreprises sur des périmètres de plus en plus large (clonage vocal, pretexting, …).
Des réponses possibles face à la cybercriminalité
1. Un enjeu clé de souveraineté qui engage une réponse étatique
En France, la cybercriminalité est prise en compte depuis la loi informatique et libertés (1978) et encadrée par un dispositif juridique prévoyant des peines allant jusqu’à cinq ans d’emprisonnement et 75 000 euros d’amende.
La France dispose de plusieurs structures dédiées à la répression de la cybercriminalité au sein d’un dispositif de défense de qualité mais morcelé et complexe. Il y a l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) au sein de la Police judiciaire, le Centre de lutte contre les criminalités numériques (C3N) au sein de la Gendarmerie nationale ou encore la Brigade d’enquête sur les fraudes liées aux technologies de l’information (BEFTI) au sein de la préfecture de police de Paris auquel s’ajoute l’Agence nationale de la sécurité des systèmes d’information (ANSSI) qui pilote la stratégie de défense et de sécurité des systèmes d’information de la France. Un dispositif national d’assistance aux victimes de cybercriminels existe également (cybermalveillance.gouv.fr) permettant de les aider dans leurs démarches et proposant des programmes de formation (SensCyber).
2. Un enjeu clé pour les entreprises qui disposent de solutions pour se protéger
Les entreprises et professions libérales hébergent des données particulièrement recherchées par des cybercriminels qu’ils pourront revendre. Il s’agit de données dites sensibles, au sens du RGPD. Dans le cas d’un cabinet d’avocats, ces données peuvent être celles d’entreprises clientes couvertes par le secret des affaires (savoir-faire industriel, technique ou technologique, brevet ou marque, fichiers clients, activités commerciales, …). Il peut s’agir aussi de données personnelles confiées en vue d’une action en justice (données médicales, données d’identité, données financières, données liées à des activités professionnelles, …) qui sont des informations recherchées pour servir ensuite à des infractions liées à des usurpations d’identité.
Les actions de prévention ou de limitation des impacts
La plupart des infractions cyber peuvent être évitées, en mettant en place des systèmes de prévention. La cybersécurité d’une entreprise doit reposer sur les axes suivants :
- Mettre en place des dispositifs amont de sécurité informatique.
- Réaliser un audit de sécurité et une analyse des risques par un prestataire de service spécialisé.
- Identifier si sa structure dispose d’informations sensibles, s’interroger sur l’endroit où sont stockées les données, …
- Identifier les données sur lesquelles la structure a des obligations de protection et de gestion aux termes du RGPD
- Evaluer la sécurité informatique des données utilisées et des équipements informatiques (stockage, propriété des informations, outils type messageries, etc.).
- S’appuyer sur l’audit pour mettre en place un dispositif de protection.
- Mettre en place des outils numériques sécurisés garantissant la sécurité des données et des échanges au sein de sa structure et vers l’extérieur.
- Mettre en place des dispositifs de protection qui permettent en cas d’attaque de revenir rapidement à une situation acceptable (sauvegarde et back-up de ses données essentielles, plan de continuité de l’activité informatique,…).
- Mettre en place au sein de son organisation des actions de sensibilisation et de formation des collaborateurs sur des règles d’hygiène numérique (parcours proposés par l’ANSSI, la CNIL, …).
- Intégrer le risque cyber dans les budgets pour l’achat de logiciels de protection, de matériel, mais aussi pour les moyens humains ou de formations pour mener les actions évoquées de formations ou les plans de prévention.
Les actions en réaction à une attaque
En réponse à une attaque, plusieurs points clés sont à retenir, autour des actions suivantes :
- Signaler rapidement les faits auprès des services de police et systématiquement porter plainte.
- Communiquer en transparence et rapidement aux enquêteurs toute trace ou preuve numérique que le cybercriminel aurait pu laisser comme sur une scène “physique” de crime.
- Solliciter le dispositif cybermalveillance.gouv.fr et se faire aider par des prestataires spécialisés pour mettre en place les actions de relance de l’activité.
- S’appuyer sur les liens existants à un niveau interprofessionnel (CGPME ou MEDEF, CNB,…) avec les structures type ANSSI afin de remonter les incidents.
En conclusion, les cyberattaques spectaculaires et médiatisées contre les infrastructures sont les prémices de difficultés voire de catastrophes qui peuvent désormais frapper tous les acteurs économiques privés. Compte tenu des enjeux attachés à leur secteur d’activité, les entreprises et professions libérales sont autant exposées que les autres. Il incombe donc à chacun de s’organiser en conséquence et de s’y préparer, avec l’aide de spécialistes, via des plans de prévention de hauts niveaux et surtout en éduquant chacun des collaborateurs des entreprises concernées. La première faille est humaine, et chacun doit être responsabilisé.