LA FRAUDE ET LES CYBER-ATTAQUES : UN SUJET MAJEUR DE PRÉOCCUPATION Mercredi 24 juin 2015 UNE RENCONTRE DE LA COMMUNAUTÉ DIRIGEANTS DE PME-PMI Au-delà des risques «traditionnels» et bien connus (incendies, vols ), les entrepreneurs sont aujourd hui confrontés à des risques d une toute autre origine : les Cyber Risques. INTERVENANTS Alain Aubry, Directeur Technique, Gras Savoye Sud-Est Faisant désormais appel à des mécanismes de plus en plus sophistiqués et complexes, ces attaques peuvent avoir des conséquences destructrices pour une entreprise. Le saviez-vous? 55% des entreprises françaises ont été concernées par ces risques en 2014 (source : PWC 2014). La question n est pas de savoir si vous allez vous faire pirater mais quand! Quels sont les principaux risques? Quelles conséquences financières pour les sociétés? Quelles solutions pour vous protéger? Cet atelier a pour but de vous informer, de vous guider et d apporter des précisions à vos interrogations. Stéphane Chrobot, Chargé de Clientèle, Spécialiste Cyber Fraude Témoignage et retour d expérience d un agent de la DGSI (Direction Générale de la Sécurité Intérieure) Compte-rendu Grenoble Ecobiz - 28/04/2015 0
De nouvelles fraudes se développent comme la cybercriminalité, la fraude dite «au Président», ainsi que la fraude aux achats, obligeant les entreprises à toujours plus de vigilance. Dans les 24 prochains mois, les dirigeants français redoutent particulièrement la cybercriminalité. Cybercriminalité, de quoi parlons-nous? La cybercriminalité est le terme employé pour désigner l'ensemble des infractions pénales qui sont commises via les réseaux informatiques, notamment, sur le réseau Internet. Ce terme désigne à la fois : En 2011, le piratage de DigiNotar, l'autorité de certification avait été exploité pour générer plus de 500 certificats frauduleux, dont un utilisé pour intercepter les communications Gmail de milliers d iraniens. «L hacktivisme», interruption de service, messages idéologiques. Gains financiers vols de cartes de crédit, de données personnelles ou d entreprises. Hostilité entre Etats, destruction logique et/ou physique, vol de données stratégiques. Obtention de capacités d attaque, vol de mécanisme d authentification/certificats. «"Redoutez-nous!" est le La cybercriminalité en quelques chiffres message des Anonymous à 84% des attaques réussissent en moins d une journée ArcelorMittal, le géant de la sidérurgie. 69% des exfiltrations ont lieu en moins d une journée 256 jours sont en moyenne nécessaires pour détecter une attaque ciblée 63% des attaques sont signalées par un tiers 1,7 milliards d euros de pertes engendrées en France 3,12 millions d euros perdus en moyenne par violation de données d une entreprise en France La cybercriminalité et les risques métiers Notre hyper dépendance à l informatique (réseau, site web, e-commerce), l usage de nouveaux moyens de communication (token-cards, smartphones, réseaux sociaux) mais aussi les risques périphériques tels que le cloud computing, les data centers ou l utilisation du mode SaaS (Software as a Service) augmentent notre vulnérabilité. Tout chef d entreprise doit se poser systématiquement ces trois questions pour intégrer la cybercriminalité dans les analyses de risques métiers : Dans quel secteur mon entreprise évolue-t-elle et quel est son positionnement sur le marché? Quels sont les actifs qui peuvent représenter un attrait? Mes partenaires et/ou clients augmentent-ils mon attractivité? Les principaux risques identifiés sont : Le vol et la violation de la confidentialité des données Toutes les entreprises, quelle que soit leur taille et leur secteur d activité, sont exposées aux cyber-risques parce qu elles détiennent des données à caractère personnel ou des données confidentielles. La violation de la confidentialité des données (données personnelles, commerciales, bancaires ) peut résulter d un acte de malveillance externe (commis par un hacker) ou interne (par un employé) ou par la simple perte d un ordinateur ou d un smartphone. L indisponibilité du réseau informatique Toutes les entreprises sont dépendantes de leur système informatique. Qu il s agisse d un réseau partagé avec ses filiales dans le monde, ou que celui-ci soit propre à chaque entité, c est la colonne vertébrale de l entreprise. L indisponibilité du réseau peut être la conséquence d une attaque par Déni de Service (DoS), 1
mais également la conséquence d un virus informatique avec des impacts majeurs sur les résultats financiers de l entreprise, tels que les pertes d exploitation et/ou les frais supplémentaires consécutifs.» Les risques médiatiques pour l entreprise L utilisation des médias sociaux par les entreprises est un phénomène croissant. Les informations postées sur les réseaux sociaux ou dévoilées inopinément ou intentionnellement génèrent des réclamations de plus en plus nombreuses. L utilisation de ces sites engendre également des coûts relatifs à la gestion des droits d accès, ainsi que la nécessité, pour l entreprise, de mettre en place une Charte Informatique.» La cyber extorsion La menace d une attaque informatique, ou la demande de rançon pour empêcher la divulgation d informations deviennent monnaie courante. Il existe plusieurs typologies de cyber extorsion dont les plus répandues sont la menace d attaque par Déni de Service (DoS) et la demande de rançon contre la remise d une clé pour décrypter des données. Le hacker va exiger le paiement d une rançon contre la clé qui permettra de décrypter les données. La gestion des risques Un enjeu clé : changer le modèle de sécurité pour l orienter vers la détection et la réaction PARTICIPATION - suivi des menaces par un système de veille et des contrôles permanents PRÉVENTION - suivi des vulnérabilités PROTECTION - la sécurité maintient l objectif de lutter contre les risques majeurs DETECTION - supervision faite par la sécurité REACTION - privilégier la réactivité en acceptant la contre-partie, à savoir une perturbation générale. IMPUTATION des mécanismes sont implémentés sur les déclinaisons opérationnelles du modèle pour garantir l auditabilité. Une réglementation en évolution I. Protection des données à caractère personnel Le projet de règlement européen relatif à la protection des données à caractère personnel (DCP) et à la libre circulation de ces données est actuellement en discussion. La date prévisionnelle du vote est fixée au 1 er trimestre 2014 pour une entrée en vigueur au 1 er janvier 2016. Les obligations des entreprises : Notifier dans les 24h à la CNIL (Commission nationale de l'informatique et des libertés) et à chaque personne concernée par une notification individuelle toute violation de DCP. Conserver une trace documentaire de toute violation de DCP en indiquant son contexte, ses effets et les mesures prises. Nommer un délégué à la protection des données en charge de notifier toute violation à la CNIL. Prendre des mesures pour anticiper une prochaine tentative d intrusion. En cas de non application, les sanctions encourues pourraient aller jusqu à 1 million d euros d amende ou 2% du chiffre d affaires annuel. II. Protection des données de l entreprise Proposition de loi visant à sanctionner la violation du secret des affaires, adoptée en 1ère lecture par l'assemblée nationale le 23 janvier 2012. III. Protection de l état et des infrastructures vitales - Projet de loi de programmation militaire (publié le 02 août 2013). - Directive européenne NIS (publiée le 07 février 2013, à transposer en droit national par chaque état). 2
Le témoignage d un agent de la DGSI Un solide bon sens et des règles simples peuvent éviter bien des désagréments en matière de sécurité informatique. Les dix règles de base 1. Utiliser des mots de passe de qualité, c est-à-dire difficile à retrouver à l aide d outils automatisés, et difficile à deviner par une tierce personne. Ne pas le noter dans un carnet ou dans son smartphone! Sa durée de vie est de 45 jours. 2. Avoir un système d exploitation et des logiciels à jour : navigateur, antivirus, bureautique, pare-feu personnel, etc. 3. Effectuer des sauvegardes régulières permet si besoin d assurer la continuité de l activité. 4. Désactiver par défaut les composants ActiveX et JavaScript. 5. Ne pas cliquer trop vite sur des liens. 6. Ne jamais utiliser un compte administrateur pour naviguer. 7. Contrôler la diffusion d informations personnelles. L Internet n est pas le lieu de l anonymat et les informations que l on y laisse échappent instantanément! 8. Ne jamais relayer des canulars. Ne jamais relayer des messages de type chaînes de lettres, portebonheur ou pyramides financières, appel à solidarité, alertes virales, etc. Quel que soit l expéditeur, rediffuser ces messages risque d induire des confusions et de saturer les réseaux. 9. Soyez prudent : l Internet est une rue peuplée d inconnus! Si un correspondant bien connu et avec qui l on échange régulièrement du courrier en français, fait parvenir un message avec un titre en anglais (ou toute autre langue) il convient de ne pas l ouvrir. En cas de doute, il est toujours possible de confirmer le message en téléphonant. D une façon générale, il ne faut pas faire confiance machinalement au nom de l expéditeur qui apparaît dans le message et ne jamais répondre à un inconnu sans un minimum de précaution. 10. Soyez vigilant avant d ouvrir des pièces jointes à un courriel : elles colportent souvent des codes malveillants. Une des méthodes les plus efficaces pour diffuser des codes malveillants est d utiliser des fichiers joints aux courriels. Pour se protéger, ne jamais ouvrir les pièces jointes dont les extensions sont les suivantes :.pif (comme une pièce jointe appelée photos.pif) ;.com ;.bat ;.exe ;.vbs ;.lnk. À l inverse, quand vous envoyez des fichiers en pièces jointes à des courriels privilégiez l envoi de pièces jointes au format le plus «inerte» possible, comme RTF ou PDF par exemple. Cela limite les risques de fuites d informations. Mémo pratique L Agence nationale de la sécurité des systèmes d information met à disposition des outils facilitant l homologation de sécurité. o, Guide d hygiène informatique L ANSSI et la CGPME présentent douze règles essentielles pour la sécurité des systèmes d information des petites et moyennes entreprises. o, Guide CGPME les bonnes pratiques de l informatique L'Espace Numérique Entreprises créé en 2003 à l'initiative du Grand Lyon par la Chambre de Commerce et d'industrie de Lyon, la Chambre de Métiers et de l'artisanat du Rhône, le MEDEF, la CGPME et soutenu par la région Rhône-Alpes et la DRIRE proposent le programme SI PME aux entreprises qui le souhaitent. o Programme Système d Information PME 3
4