sécurité-économique Quelles sont les attaques les plus fréquentes?

Transcription

1 Cyber-sécurité sécurité-économique Dans la vie privée comme dans la vie professionnelle, de plus en plus de personnes sont «connectés» : Site internet, page Facebook, smartphone mais aussi correspondance électronique qui contient souvent des données confidentielles. Cette hyperconnexion fait partie de nos modes vie et constitue une source de compétitivité. Il s'agit également d'un facteur de vulnérabilité. En effet, entre 2012 et 2013, la fréquence des cyber-attaques est passé d'une toutes les 3 secondes à une toutes les 1,5 secondes 1. De même, le cibles se sont diversifiées, concernant à la fois les secteurs public comme privé. Aujourd'hui, les cybercriminels s'intéressent à tout ce qui fait la valeur de votre patrimoine ou de celui de votre entreprise : données personnelles, fichiers clients, réponses à des appels d'offres,... La cybersécurité : de quoi parle-t-on? La cybercriminalité est le terme employé pour désigner l'ensemble des infractions pénales qui sont commises via les réseaux informatiques, notamment sur le réseau Internet. La cybercriminalité désigne à la fois : les atteintes aux biens : fraude à la carte bleue sur Internet, vente d'objets volés ou contrefaits, piratage d'ordinateur, vente de médicaments sans ordonnance, vente de stupéfiants ; les atteintes aux personnes : diffusion d'images pédophiles, injures à caractère racial, atteintes à la vie privée Les cybermenaces peuvent émaner d'individus isolés (hacker) ou de groupes. Cependant, il est très difficile d'identifier le véritable attaquant, lequel agit le plus souvent de manière anonyme. Ainsi, les cyber-attaques traduisent «une tentative d atteinte à des systèmes informatiques réalisée dans un but malveillant. Elle peut avoir pour objectif de voler des données (secrets militaires, diplomatiques ou industriels, données personnelles, bancaires, etc.), de détruire, endommager le fonctionnement normal de dispositifs informatiques, de prendre le contrôle de processus informatiques, ou de tromper les dispositifs d authentification pour effectuer des opérations illégitimes.» 2. Quelles sont les attaques les plus fréquentes? Ces attaques sont aujourd'hui protéiformes : attaque par déni de service (qui vise à saturer par un nombre élevé de requêtes un site internet ouvert au public et donc à le rendre inaccessible), pénétration des systèmes à des fins d'espionnage grâce à des logiciels espions introduits par un cheval de Troie, bombe informatique visant à détruire les données contenues dans les systèmes d'information. Du simple canular à la cyberattaque, il est donc possible d'établir une typologie des risques les plus courants : le canular/hoax le pourriel/ Spam le cheval de troie/trojan horse le logiciel espion, espiogiciel/spyware le mouchard Internet/ Web bug 1 Etude de mars 2014, réalisée par la société «FireEye» à partir des attaques «APT (Advanced Persistend Threat). 2 Définition proposée sur le portail interministériel de prévention des risques majeurs.

2 Voici 3 exemples de cyberattaques : 1- Les «rançonlogiciel policiers» permettent à l'attaquant de bloquer l'ordinateur de la victime avant d'exiger le paiement d'une amende. Dans ce cas, la méthode est toujours la même : après avoir consulté un site Web, la victime reçoit un courriel imitant celui d'une institution officielle (Police, Gendarmerie, ou Douane par exemple) lui indiquant que sa navigation sur Internet a été jugée illégale par les services de l'etat et qu'il doit désormais s'acquitter d'une amende. Afin de retrouver l'usage de son ordinateur, pré-alablement bloqué par le Hacker au moyen d'un virus, il est demandé à la victime d'effectuer un paiement en ligne. Cette escroquerie joue sur la peur des internautes en utilisant le visuel d'une institution. Ainsi en 2011, les pirates ont exploité l'image de la Gendarmerie nationale pour escroquer des internautes français. Selon l'éditeur «McAfee», les «rançongiciels» devraient continuer à proliférer en 2014 et faire leur apparition sur les terminaux mobiles. 2- Les technologies sans contact. De nouveaux types d'attaques se développent au moyen des technologies sans contact (paiement dématérialisé au moyen d'un téléphone portable par exemple). Ces nouveaux outils numériques s'avèrent propices au développement des comportements infractionnels en raison de leurs caractéristiques d'instantanéité, de mobilité et d'utilisation en réseaux. Les nouveaux services (wifi public, applications ) de même que les nouveaux outils (tablette, smartphone ) sont autant d'opportunités criminelles pour la délinquance numérique. 3- Les escroqueries sur internet. Agissant depuis des cybercafés situés à l'étranger, des «escrocs à la romance» inventent des histoires d'amour ou de générosité afin de tromper leurs victimes et se faire remettre des sommes d'argent. Selon l'office de la cybercriminalité, il existe plusieurs étapes dans la construction de ces escroqueries. Dans tous les cas, les escrocs entament leur scénario en créant un lien affectif avec leur victime. Il peut s'agir d'une rencontre amoureuse ou d'une demande d'aide humanitaire. Le choix s'opère en fonction des réactions de leur interlocuteurs. Dans ce cas, les escrocs s'adaptent aux failles psychologiques et aux faiblesses de leurs victimes. Le but est de créer une dépendance entre la victime et le fraudeur. De la même manière que dans le cas des escroqueries au «faux-président», présentées infra, le mode opératoire des cyberdélinquants nécessite la mise en confiance de la victime. Ainsi, à l'image de l'économie légale, la croissance de l'économie criminelle repose très largement sur la confiance. Comment prévenir les escroqueries au «Faux président»? Les entreprises PME/PMI autant que les grands groupes sont victimes de ce type de préjudice qui présente une triple caractéristique: l'importance des montants, la rapidité des transactions et le transfert des fonds à l'étranger. Voici quelques actes réflexes pour prévenir ces atteintes. Comment se déroule une attaque? Les attaques: s'effectuent généralement soit au moyen d'une fausse facture (incitant l'entreprise à émettre un faux vrai ordre de virement), soit par l'emprunt d'identité d'un dirigeant (afin de leurrer l'établissement de crédit qui exécutera le faux ordre de virement). Cibles : Pour les faux vrais ordres de virement, les attaques porteront principalement sur le comptable ou de manière plus large se concentreront sur la direction financière de l'entreprise. Quand: les attaques sont souvent lancées les veilles de week-end (vendredi après-midi) ou de périodes de vacances. 1) Au moyen d'une prise de contact (par courriel ou par téléphone), les escrocs demandent l'exécution d'un virement d'une importante somme d'argent. Le prétexte du passage à la norme SEPA a souvent été utilisé au début de l'année ) L'argent est viré vers un compte intra-européen (hébergé, par exemple, en Grèce, en Roumanie, à Chypre...), puis dans des délais très brefs, les fonds sont transférés vers un compte hors Union européenne (Singapour, Hong-Kong,...)

3 Comment réagir? Dans tous les cas, la victime doit déposer plainte auprès du commissariat ou de la brigade de gendarmerie la plus proche. Par ailleurs, dans ce type d'affaire, le recours à une assistance juridique est conseillé. L'urgence est de bloquer l'argent sur le compte bancaire où il est détenu pour pouvoir ensuite le rapatrier. Ensuite, le temps de la procédure judiciaire permettra de rechercher les auteurs des faits. 1) Dans un délai de 24/48H, l'entreprise victime doit contacter directement sa banque afin de lui demander la rétro-action de l'opération de transfert. Pour ce faire, la banque française va informer la banque étrangère, où sont détenus les fonds, que l'opération de transfert fait l'objet d'une suspicion d'escroquerie. Dès lors, la banque étrangère est en principe tenue de bloquer les fonds dans l'attente de vérification de la régularité des opérations. Exemple: Les sommes transférées par faux ordre de virement un vendredi après-midi peuvent encore être gelées sur le compte destinataire ou tout simplement rapatriées le lundi suivant 2) Dans un délai de 5 jours maximum, l'entreprise doit s'assurer que les services de police/gendarmerie ou au procureur de la République ont mis en œuvre les moyens de coopération judiciaire ou policière (attaché de sécurité intérieure, magistrats de liaison, réseau CARIN) à même d'opérer le gel et la saisie des comptes destinataires. Exemple : à l'initiative de la direction de la coopération internationale (DCI), les attachés de sécurité intérieure (ASI) 3 sont en mesure de faire le lien avec les autorités des pays à partir desquels certaines attaques sont émises. Par exemple, une entreprise victime d'une escroquerie financière par faux ordre de virement depuis la Chine peut mettre en oeuvre des actions juridiques directement sur place 4. Pour ce faire, en complément de la plainte déposée en France auprès des services de police ou de gendarmerie, ces derniers doivent informer directement l'asi de l'ambassade de France du pays concerné. En Chine, cette procédure se traduit la une demande d'entraide transmise au ministère de la sécurité publique chinois reprenant un exposé précis des faits constitutifs de l'infraction 5. Les moyens de prévention 1) Sensibiliser les directions et les personnels concernés (comptabilité, service financier). 2) Mettre en oeuvre une procédure de "redondance" (ordre confirmé et vérifié plusieurs fois) pour les opérations financières les plus importantes. Le but est de contrôler l'identité du donneur d'ordre. Attention! Dans certains cas les faussaires procèdent par "ingénierie sociale", leur permettant de connaître parfaitement l organigramme de l'entreprise et les habitudes de ses dirigeants (maladie, voyage...). 3) Diffuser un guide de bonne pratique en interne et/ou faire appel à l'un des référents "Intelligence économique", "sûreté" ou "Nouvelle-technologie», de la Gendarmerie Nationale ou de la Police Nationale (contact:la brigade ou le commissariat le plus proche). Pour votre information : ou sur Twitter: GendarmerieNationale@Gendarmerie 3 L'ASI est agent de l'etat français (appartenant à la police ou à la gendarmerie) exerçant des coopérations d'entraide policière et judiciaire directement au sein des Ambassade françaises à l'étranger. 4 Conformément au droit chinois et plus particulièrement à la réglementation relative à la dénonciation des faits, la victime d'une infraction doit déposer plainte en Chine auprès du bureau local de la sécurité publique. A l'issue d'une enquête «préliminaire», le ministère de la sécurité publique chinois dispose, d'une part, de la compétence de qualification pénale des faits relevés, et d'autre part, de l'opportunité des poursuites. Dans le cas où une personne morale est victime d'un faux ordre de virement, l'entreprise française ou son représentant doit donner pouvoir à un avocat afin que ce dernier puisse la représenter en Chine au cours de la procédure. 5 Conformément à l'accord d'entraide entre la France et la République populaire de Chine cette procédure permet de procéder au gel des avoirs criminels en droit chinois (correspondant en droit français à l'équivalent d'une procédure de saisie ou d'une confiscation).

4 Voici un exemple, dans lequel plusieurs filiales d'un même groupe ont reçu ce mail frauduleux signé du PDG du groupe. Le document demande de traiter rapidement une facture pour une inscription dans un annuaire professionnel. «Bonjour, Vous avez été contacté par la société XXXXX concernant la facture N 1770/Ln pour la Chambre de Commerce Internationale. Suite à ma conversation téléphonique avec leur direction, vous trouverez ci-joint la facture validée par mes soins concernant notre participation. Merci d enregistrer cette facture et la mettre au paiement dans l immédiat. (Si possible avant la date butoir du 03/02/2014 afin d être dans la prochaine parution et ne pas être reporté au prochain trimestre). Veuillez informer Mr XXX de la validation de cette facture afin qu il puisse vous transmettre les coordonnées bancaires pour le paiement. Prenez soin de lui envoyer l avis de virement par mail afin qu il fasse le nécessaire pour la parution. (XXXX@financier.com). Pour toutes informations complémentaires, veuillez prendre contact avec Mr XXX. Merci d avance». La sécurité économique contribue à la croissance et à la préservation des emplois Au regard des expériences acquises au cours des dernières années, le coût de l'insécurité économique peut être répertorié et quantifié par grands domaines de risques, que se soit en matière de détournement de fonds (escroqueries par faux virements), perte de marchés (vol de brevet), condamnation au paiement d'amendes (par les autorités de régulation), dommages collatéraux en terme d'image,. Dans le seul domaine de la cybercriminalité, les pertes d'activité ou de contrats dues à des attaques représentent en France un coût évalué entre euros et euros par entreprise, selon une étude d' «Infodsi» 6. Les 10 questions de la sécurité économique 1- Quels sont les informations stratégiques (brevets, recherches, fichiers, ) que vous ne souhaiteriez pas que votre concurrent connaisse? 2- Ces informations sont-elles protégées matériellement (coffre pour les plans de brevets par exemple) ou virtuellement (cryptage ou protection informatique pour les fichiers)? 3- Qui sont les personnes qui ont accès à ces informations? 4- Ces personnes ont-elles été sensibilisées aux risques de «vol d'information» ou de piratage informatique? 5- Vos employés/salariés/stagiaires sont-ils sensibilisés à la protection de leurs données personnelles (sur les réseaux sociaux notamment)? 6- Votre comptable et/ou votre directeur financier sont-ils sensibilisés au risque d'escroquerie par faux ordre de virement? 6 Magazine en ligne des professionnels de l'informatique.

5 7- Les sous-traitants, fournisseurs, intervenants extérieurs, stagiaires, font-ils l'objet d'un contrôle particulier? 8- Disposez-vous d'une procédure/protocole de gestion de crise en cas de perte d'informations stratégiques (qui contacter pour déposer plainte, quelle procédure juridique mettre en oeuvre, comment assurer la continuité de l'activité, )? 9- Disposez-vous d'un système de veille sur votre e-réputation? Et sur celle de vos concurrents? 10- Souhaitez-vous bénéficier de contacts auprès d'autres services publics, qui pourrez vous accompagner dans vos démarches de protection ou de développement économique? Retrouvez un diagnostic complet avec «DIESE» sur le portail de la délégation interministérielle à l'intelligence économique sur: