Vous êtes ici

Cybercrime et entreprises : la priorité de la sensibilisation

Bernadette LEROY - Présidente de l’ACBM (Association de Criminologie du Bassin Méditerranéen) - Directrice de la Société Aesatis

Les réseaux de communication électroniques et les systèmes d'information convergent et sont de plus en plus interconnectés. Ils font partie de notre quotidien et sont indispensables au bon fonctionnement de très nombreuses entreprises et institutions. C’est pourquoi les cyberattaques nous alertent sur un réel maillon faible dans la chaine sécuritaire, spécialement pour les TPE et les PME qui n’ont pas les moyens d’employer un responsable de la sécurité des systèmes d’information (RSSI).

Si la révolution d’Internet a permis à des millions de personnes d'accéder à une source presque inépuisable d’informations, il n'en reste pas moins l’un des outils à l'origine d'une nouvelle forme de délinquance. Le développement du Web 2.0 a engendré des menaces inquiétantes car celles-ci sont protéiformes, ne connaissent pas de frontières, demeurent très souvent anonymes, et peuvent s’actualiser à tout moment. Par conséquent, l’univers virtuel a offert aux criminels de nouveaux territoires de conquête. Il leur a permis d’élargir leurs horizons tout en développant de nouveaux types de délits. Ce panel peut aller du vol de matériels ou de logiciels au piratage les plus ingénieux, en passant par le rançonnage, le hameçonnage ou bien encore la fraude… Aucune entreprise, quelle que soit sa taille ou son secteur d’activité, n’est à l’abri de la cybercriminalité. Une cyberattaque peut devenir mortelle pour une organisation qui en aurait sous-estimé l’impact.

La cybercriminalité, en quelques chiffres :

  • En 2013 le phishing numérique représentait 5,9 milliards de dollars de pertes au niveau mondial pour les grandes entreprises.
  • 4,8 millions d'euros, c’est le coût annuel moyen par entreprise des cyberattaques France.
  • Plus de 1000 sociétés françaises ferment leurs portent après une cyberattaque
  • Chaque jour un million de nouveaux logiciels malveillants sont détectés sur les ordinateurs français.
  • La France est particulièrement vulnérable en matière de cybercriminalité. Elle se place à la 14e position des pays où la cybercriminalité est la plus active avec 1,9 % du nombre d’attaques totales.
  • Selon le cabinet d’étude Symantec, la cybercriminalité s’organise de plus en plus et précise désormais ses attaques. Selon leur récent rapport, 5 entreprises sur 6 ont été attaquées dans le Monde en 2014 soit une augmentation fulgurante de 40 %.
  • La fraude aux faux ordres de virement a longtemps été de mode chez les cybercriminels. Désormais, c’est la pratique du rançonnage qui fait bon nombre de victimes en entreprise.
  • Il faut savoir que pour une attaque de rançonnage, une entreprise française s’est vue « réclamer 90 000 euros pour 17 téraoctets de données » selon le cabinet Symantec.
  • Il faut 18 mois en moyenne pour découvrir une faille dans le système informatique.

La délinquance a évolué avec son temps… Le périmètre de la cybercriminalité est plus large que les attaques aux systèmes d’information via un ordinateur. Il ne faut pas oublier qu’aujourd’hui avec le développement des smartphones, nous avons également accès à d’innombrables informations sur son propriétaire mais aussi à de nombreuses données de son entreprise. Les tablettes ne sont pas épargnées. Il n’y a pas de limite quand il s’agit de récupérer des informations. Quant au cyberterrorisme, on peut imaginer : quid des transports, de l’énergie, des services financiers… Que se passerait-il si nous n’avions plus d’électricité ou plus d’accès à nos comptes bancaires ?

En tout état de cause, le profit demeure la première motivation des cybercriminels. Internet offre des opportunités très fortes de passe à l’acte.

Certaines études établissent une classification, une typologie de cette délinquance :

  • Les extrémistes idéalistes. On parlera alors de cyberterrorisme.
  • Les professionnels du crime.
  • Les casseurs de système mandatés par un donneur d’ordre avec un objectif bien défini au préalable.
  • L’espionnage.
  • Les organisations criminelles qui mettent en place des attaques tentaculaires et bien orchestrées. Ce sont la plupart du temps des attaques de grande envergure.
  • Les personnalités pathologiques.
  • Les « amateurs », pour qui l’occasion favorise le passage à l’acte.

Signalons que l’erreur humaine est à la base de 98 % des problèmes de sécurité informatique. En effet, si l’homme est le maillon fort de toute entreprise, il est malheureusement aussi le maillon faible. Qu’il s’agisse de maladresse, d’inconscience, de négligence ou de malveillance, c’est bien l’homme qui se trouve devant l’écran.

Par ailleurs, n’oublions pas que les TPE et les PME ont rarement les moyens de s’offrir les services d’un spécialiste en sécurité informatique pour les aider et les conseiller. D’où la nécessité d’une sensibilisation des salariés et d’une diffusion des bonnes pratiques (cf. le site de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information). Si ces derniers n’en perçoivent pas l’utilité, un chef d’entreprise peut mettre en place les meilleurs outils de sécurité possible sans la moindre chance de succès !

Le but n’est pas de tomber dans la paranoïa mais de construire une démarche d’anticipation et de prévention, via des moyens simples et efficaces.

Bernadette Leroy - Présidente de l’ACBM (Association de Criminologie du Bassin Méditerranéen) - Directrice de la Société Aesatis

Catégorie: