Embed Size (px)
Citation preview
Les entreprises face à la cybercriminalité : principal enjeu du 21ème siècle. Compte-rendu du colloque du 12 Octobre 2015 rédigé par les étudiants du Magistère de Sciences de Gestion.
Introduction Permettre aux salariés actuels et aux cadres de demain de mieux gérer le risque de fraude, conduit inévitablement à les sensibiliser aux risques cyber. La sécurité n’est pas l’affaire que des RSSI dans l’entreprise. Le but de ce colloque est avant tout de sensibiliser les étudiants, managers de demain, mais aussi d’apporter des réponses concrètes aux entreprises et institutionnels aujourd’hui représentés dans la salle. Malgré les nombreuses campagnes sur ce thème, la cybercriminalité augmente. Aussi tenterons-nous de répondre aux questions suivantes :
Comment anticiper les risques, comment mettre en place un programme de prévention contre les cybermenaces ? Quels sont les coûts associés à un tel programme ? Comment conserver la confiance, en interne et en externe, dans les outils informatiques ? Comment être formé, comment former et informer sur le sujet ? Comment réagir en cas d’attaque et vers qui faut-il se tourner ? …
Le cybercercle (cercle de réflexion sur la sécurité numérique), est une plateforme de dialogue. Ce colloque, animé par des spécialistes, s’adresse à des non-spécialistes. Le risque cyber ne doit pas uniquement être géré au niveau technique, mais par l’ensemble des collaborateurs et utilisateurs. Cela vaut aussi pour l’ensemble des citoyens dans l’utilisation de nos « moi » numériques. L’ensemble de nos actions comporte un certain nombre de risques. Les entreprises sont une cible privilégiée pour les cybercriminels. Aujourd’hui, les entreprises ont un risque important et beaucoup à perdre. Alors, les attaques cybercriminelles sont affaires de tous, et pas seulement la responsabilité des personnes en charge de la sécurité informatique. Aujourd’hui, toutes les entreprises sont sujettes à la cyberattaque. On distingue les entreprises qui savent qu’elles sont susceptibles d’être attaquées et celles qui l’ignorent encore. Le phénomène va s’accroitre avec le processus de digitalisation, la surface de risque s’accroit aussi avec la multiplication des objets connectés.
Allocution du Préfet « cyber » : Monsieur Latournerie
- Panorama des cyber menaces : Elaboration d’une nouvelle stratégie de cyber sécurité qui sera dévoilée en fin de semaine par le premier ministre. Le ministre de l’intérieur a pour rôle la sécurité de la population mais aussi la gestion des crises et la prévention. Pour l’ensemble des ces raisons, le ministère de l’intérieur depuis 20 ans est très sensible à l’ensemble de ces questions de cyber sécurité. Ainsi, même dénommée différemment auparavant, la question de la sécurité des systèmes d’informations a toujours été présente.
- Etats-Unis : Obama déclare la lutte contre la cybercriminalité comme urgence nationale.
- L’agenda européen de sécurité, publié par la commission européenne place la lutte contre la cybercriminalité comme une union, au premier rang des préoccupations.
Quel est l’état de la menace ? Elle est aujourd’hui très élevée et ne l’a jamais autant été. Elle est généralisée, comme l’est d’ailleurs l’ensemble du numérique, elle est multiforme et en croissance exponentielle. C’est la conséquence inévitable de la numérisation de nos vies professionnelles et de nos vies privées : du plus social, du plus exposé au plus intime. Beaucoup de risques accompagnent cette numérisation de la société. Ce n’est pas un phénomène nouveau, c’est notre monde tout entier qui lutte. Ce changement de dimension nous oblige à repenser, reconstruire nos valeurs et nos structures. La cybercriminalité n’a pas effacé les autres formes de criminalité. Apparaissent de nouvelles formes de criminalités et d’atteintes aux personnes et aux biens. Il faut mettre en place une nouvelle stratégie qui s’adapte, évolue et s’applique à la menace croissante qui renouvelle ces effets. Il faut aussi adapter l’organisation du Ministère de l’Intérieur à la lutte des cybermenaces. On ne peut pas rester dans un schéma d’organisation. Il est à parier que les choses évolueront encore dans ce domaine.
Dans la première génération de politiques de cybersécurité, on est parti en France de la loi de programmation militaire. Importance cruciale de cette problématique et la façon dont on l’a prise en compte en France. Il est ressorti que le besoin de sensibilisation ne concerne pas que les opérateurs mais l’ensemble de la population. Les petites et moyennes entreprises n’ont pas toutes une claire conscience des enjeux et une perception réelle de la qualité des informations qu’elles détiennent ou génèrent, et qui suscitent la convoitise de la concurrence. Les entreprises n’ont pas conscience qu’elles peuvent les perdre ou se les faire dérober par une simple cyberattaque. De plus, on est dans une phase délicate où l’anonymat est la règle.
La menace est permanente, généralisée et forte – 400 à 500 milliards de dollars de préjudice en 2015. On prévoit pour 2020 de l’ordre de 2000 à 3000 milliards de dollars. Cela n’étonne personne si l’on regarde l’essor de l’utilisation de l’internet et des objets connectés. Et avec eux d’autres types de menaces seront à prévoir. Cyberterrorisme et cyberdjihadisme : Haut du spectre des préoccupations au ministère de l’intérieur et dans l’ensemble des couloirs publics français et internationaux. C’est une menace à caractère permanent. Tous les pays l’intègrent dans leur système de défense. Dernier décret : déréférencement des sites internet qui feraient l’apologie du terrorisme. La lutte contre les cybermenaces suppose une étroite coopération avec l’industrie du net, les institutionnels et également avec l’ensemble des acteurs privés. Tout le monde doit coopérer. Il est du devoir de chacun de communiquer et de trouver des plans d’action pour répondre à cette menace.
1ère table ronde
François Beauvois :
1. Les entreprises face aux cybermenaces :
Typologie des menaces :
- Points d’entrée : fishing : mail frauduleux qui sont de plus en plus crédibles. - Les exploits, c’est une faille de logiciel. Il faut donc que les antivirus soient à jour.
Les plus ennuyeux sont les PDF car Adobe est très infecté. Mais qui peut s’en passer ? Il y a des grands problèmes de mise à jour des logiciels. Les cybercriminels vont utiliser des failles pour infester les logiciels.
- Au niveau des menaces proprement dites, on trouve le logiciel malveillant
(malware). Il va s’installer sur l’ordinateur et ensuite faire ce qu’il veut. En vente sur le darknet. En ce moment, le plus intéressant est le logiciel d’espionnage bancaire qui va capter tout ce qui passe. Le particulier n’a pas d’enjeux colossaux mais le nombre de victimes est vraiment énorme. Le problème est que l’on ne sait pas que l’on est infecté. Le logiciel reste en veille dans notre ordinateur et peut au fur et à mesure tout récupérer.
- La fraude au clic : le chiffre d’affaires de la publicité sur internet est fonction du nombre de clics. C’est ce qui permet la gratuité des services sur internet. Le problème survient quand le clic est infesté. Donc au fur et à mesure, le business va abandonner ce système mais le risque est que l’internet peut devenir payant. Une grosse entreprise va subir mais s’en sortir, mais une petite PME infestée risque de mourir.
- Cryptolockeur : cryptage sauvage de tout le disque dur : chantage pour récupérer
la clé de décryptage, et menace sous 2 semaines de jeter cette clef. Très dangereux pour les entreprises mais essentiellement coûteux car en général le décryptage est bien effectué contre paiement.
- La fraude au président et autre fraudes au faux virement international (FOVI) : commence par une collecte d’information qui passe par du fishing et du social engeneering. But : faire virer des sommes de manière frauduleuse.
- Déni de service : site de vente en ligne rendu indisponible car serveur saturé. « Au lieu de remplir la boite aux lettre on tue le facteur : donc le serveur ».
- Défacement : on remplace la page d’accueil d’un site web par autre page (parfois
un message idéologique). Le coût pour l’entreprise provient du temps passé à la restauration du site.
Les mesures de prévention : Urgence des mesures à prendre : geler le site et le serveur. Demander une intervention rapide des services de police. La réponse de l’Etat : La cyber prospection :
-Office qui fait des enquêtes. -La partie prévention = sensibilisation (rôle de l’intervenant) -La plainte : le réflexe est de ne pas porter plainte, mais il faut le faire : la scène de crime ne doit pas être saccagée donc il faut geler le serveur. Il y a aussi des mesures préparatoires. Qui vient porter plainte ? Personne à la signature : PDG ou gérant, ou personne des affaires juridiques.
Question : chez qui porter plainte ? Y-a-t-il des sites référant pour que chacun d’entre nous puisse aller pour informations, ou déclaration de cyberattaques ? L’administration a développé, au sein de l’office de la cybercriminalité, une plateforme pour le public qui permet à tout internaute de signaler des sites internet dont le contenu est illicite. On colle l’URL du site sur le site (internet-signalement.gouv.fr) et une compagnie est en charge de traiter l’information. Les gens jouent vraiment le jeu. Une enquête est amorcée et des policiers transmettent la procédure au service compétent. En termes de sensibilisation, l’administration en a mis en place beaucoup d’outils mis à la disposition de tous.
2. Willy DUBOST – Fédération Bancaire Française
L’Europe est dans un monde de guerre permanente face à l’ensemble des risques de cybercriminalité. Aujourd’hui les banques traitent plus de 18 milliards d’opérations par an. Près de 27 000 milliards d’euros sont brassés annuellement. Ces chiffres ne peuvent qu’attirer celui qui veut beaucoup d’argent sans faire beaucoup d’efforts. La particularité est qu’en France on a encore des chèques, alors qu’ils disparaissent de beaucoup de pays : il mourra donc un jour, laissant place à des opérations dématérialisées. Danger des cartes prépayées anonymes. Si demain les banques sont agressées, elles doivent avant tout se protéger. Les banques travaillent beaucoup en collaboration avec les forces de l’ordre. La nouvelle directive européenne sur les moyens de paiement va générer de nouveaux risques :
- Ouverture du marché à de nouveaux acteurs - Nécessité de transparence des données => attention à le faire de manière
organisée.
Escroquerie aux faux présidents ou aux faux virements : Changement de coordonnées bancaires frauduleux. Les escrocs sont de plus en plus préparés et ont des scénarios tout construits. Sur la fraude au président, on a vu récemment en région vendéenne une entreprise qui a fait plusieurs virements de plusieurs millions d’euros mettant en danger la survie de l’entreprise et l’emploi de 40 personnes. Au niveau des entreprises, tout le monde doit être sensibilisé à une tentative permanente d’escroquerie.
3. Philippe ROSE
Comment risquent d’évoluer ces menaces dans les années à venir ? Difficile de quantifier cela car : -rythme de l’innovation technologique : rien n’est stable. -monde de l’immatériel : difficile d’anticiper les tendances et usages -domaine de l’illégalité : problème de mesure : le taux de résolution des affaires est très faible
Cependant on peut citer plusieurs exercices de simulation : 1° Le Ministère de l’Intérieur avait lancé un appel d’offre pour savoir à l’horizon de 2005 quels seraient les contours de la criminalité informatique. Paysage envisagé : Identifier les tendances vraies, l’EPC des réseaux comme étant des nouveaux facteurs de risques, apparition de nouveaux acteurs, décalage existant entre la nature des attaques et les moyens de sensibilisation des entreprises. Préjudice de facteur 3 mais en réalité beaucoup plus fort. 2° Pour connaître l’évolution des profils des attaquants : organisation criminelle jouant un rôle majeur dans les menaces. Conclusion : attaques plus importantes sur le système industriel, fraudes financières en augmentation, vulnérabilité croissante des organisations vitales, cyberterrorisme, menaces sur réseaux sociaux… Facteurs aggravant : le cloud, la mobilité et les informations embarquées, la nanotechnologie… A travers ces exercices le but est de trouver des zones de certitude. Par ex : Tous
les système auront des failles et il y aura toujours un décalage entre la nature de menace et les moyens de protection des entreprises. Incertitudes : comment vont se transformer les usages sur les données personnelles ? Verra-t-on apparaître de nouveaux acteurs ? Le droit va-t-il évoluer ?
4. Sébastien HAGER
La cyber-assurance deviendra-t-elle une réponse inévitable pour les entreprises ? Ce n’est pas une solution mais une réponse pour gérer le risque non maîtrisable afin de limiter les conséquences sur la trésorerie de l’entreprise. Il faut préalablement mettre en place des mesures internes pour limiter l’attaque, le risque 0 n’existe pas. Il y a donc du sens à transférer l’aléa vers l’assureur. L’assurance permet de compléter la prévention. Statistique du rapport PWC : -Plus d’1 entreprise sur 2 serait victime d’une cyber attaque. -80% des gens ignorent qu’il existe une assurance globale contre la cyber criminalité. -28% des entreprises sont touchées par les cyber attaques. Sur 7 assurés on a un sinistre. Procédure : Parmi les obligations contractuelles, il a le dépôt de plainte. L’indemnisation présuppose un dommage de trésorerie quantifiable. Il faut plus de communication autours de la fraude : s’adresse aussi à toutes sortes d’entreprise.
L’histoire de l’assurance Fraude évolue fortement en ce moment : l’essentiel des entreprises du CAC 40 est couvert contre la fraude, mais aujourd’hui ce produit se démocratise aux PME, PMI, ETI (entreprises entre 10 millions de CA et plusieurs milliards.) L’évolution de l’assurance Fraude va de pair avec l’évolution de la communication autour de la fraude. Certains aspects sont méconnus parmi la fraude, telle que la fraude interne, souvent tabou. Les cas de cyber attaques sont relativement peu médiatisées contrairement aux FOVI. Il y a des sujets dont on entend moins parler : la fraude à la téléphonie. C’est une orientation des appels des téléphones d’entreprises vers des centres de facturation à une dizaine d’euros la minute… Au sens de l’assurance, la cybercriminalité a plusieurs sens : cela comprend le cyberrisque, la cyberfraude etc.
Deuxième table ronde
1- Monsieur Gérome Billois – Solucom – Senior Manager
Point de vue du secteur du conseil. Conseil en management et en IT. Une entité chez Solucom est dédiée au Risk Management et à la cybercriminalité (300 personnes).
La cyber-résilience : chacun va, à un moment ou un autre, être attaqué, comment résister à cette attaque ? Il faut déjà savoir qui peut attaquer. Mettons-nous à la place du cybercriminel et demandons-nous où et comment attaquer : on s’intéresse donc aux motivations des cybercriminels. Les motivations :
- L’idéologie : attaquer une structure car on n’est pas d’accord avec ses idées. Souvent, ce sont des attaques avec interruption de services saturer le site web
jusqu’à le rendre inopérant pour faire passer son message pendant le buzz de l’interruption de service. Ce peut aussi être la publication de messages idéologiques en changeant la page d’accueil du site.
- La motivation financière : il faut gagner de l’argent, il est possible de voler des secrets industriels ou des informations clés pour la stratégie de l’entreprise. Sinon le cybercriminel peut favoriser le volume et voler des millions de carte de crédit qu’ils revendront ensuite. Donc facilité de gains.
- La déstabilisation : d’une structure ou d’un pays. Cela passe par des attaques en destruction logique (détruire des serveurs par exemple) ou physique (détruire du matériel). Exemple du cas de Sony.
- L’obtention de capacité d’attaque : cas le moins connu. L’attaque vise à obtenir des capacités d’attaque (RSA).
(
Ensuite : pourquoi la cybercriminalité est-elle en forte croissance ? - Des gains importants (exemple précédent) - Le risqué d’être poursuivi est faible et la réponse judiciaire est complexe
(anonymat, délais longs, attaques dans des pays différents...) - L’expertise est accessible : facilement et pas cher sur internet, puis on peut
trouver de meilleures informations plus chères, mais rentables. - Des cibles de plus en plus nombreuses : déploiement large des technologies dans
le grand public, ce qui augmente la surface des attaques.
Aujourd’hui, la structuration en termes de protection dans les entreprises ressemble au Moyen-Age (cf slide)
C’est une muraille renforcée. Les murs étant épais, on laisse toute la partie interne disponible. Aujourd’hui ce modèle ne tient plus la route car l’entreprise n’est plus quelque chose de fermé. Il faut aujourd’hui aller vers le modèle de l’aéroport. On a quelque chose d’ouvert, propice au business : le hall. La tour de contrôle est là pour surveiller et anticiper au maximum les problèmes.
2. Monsieur Johan Noleau – BNP Paribas
Banque : cible privilégiée. 18 000 incidents en 2014 (+240% par rapport à 2013) malgré tout le travail qui a été fait. Une grosse partie des incidents est liée au fishing. En termes financier, cela représente 28 millions d’euros pour BNP et la part de fishing s’élève à 6 millions. Le problème est envisagé de manière européenne plus que française (territoire global) Préparation face aux incidents : CERT. Il permet de préparer en amont (veille sécuritaire), de contrer l’attaque et d’augmenter la réactivité (restauration rapide du système & investigation de la fraude). La rapidité d’action est essentielle (notamment en matière de banque en ligne). Une cellule de crise doit être prévue pour garantir la sécurité physique et la continuité de l’activité.
En termes de fraudes de cybercriminalité il y a deux espaces : des droits (récupération de droits, espaces, vol de mots de passe…) et fraude transactionnelle (paiement sur internet…). Quelles sont les contre-mesures mises en place ?
- Une authentification forte (grand principe pour la banque en ligne), parfois sur deux niveaux, et ces deux niveaux vont peut être devoir être développés sur l’ensemble de la banque en ligne pour limiter les risques.
- Sécuriser les tiers : on doit se donner l’opportunité de révoquer des droits d’accès à des tiers. Il vaut mieux tout confier à une seule entreprise pour l’accès aux comptes, mais cela comporte toujours des risques. Il faut donc pouvoir révoquer les tiers et ce serait mieux de plus les réguler, de les contrôler.
- Les computer agency
Pour le futur, il faut accompagner la naissance du digital dans le monde européen. On doit communiquer sur ces enjeux et favoriser l’échange d’informations dans l’UE. Il faut participer à l’évolution des technologies, simplifier, éviter les usines à gaz, éviter l’industrialisation de la cyber criminalité.
3. Monsieur Henri Codron – Clusif / Schindler
Quelles sont les solutions techniques dans les mains des RSSI ? Quelle est l’évolution de votre métier face à l’augmentation de la cybercriminalité ?
Administrateur de la CLUSIF pour l’échange de bonnes pratiques contre la cybercriminalité. La cybercriminalité devient un ecosystème professionnalisé qui se structure avec de plus en plus de moyens. Certains se sont spécialisés (kit malware, vente de données et d’informations de valeur, espionnage industriel, sabotage…) Si l’attaquant est du niveau de l’Etat, l’entreprise ne pourra que subir. Les cybercriminels sont très motivés et l’entreprise s’adapte : notre système d’information a des contacts multiples, nous devons échanger avec les clients, les partenaires, nous avons des services dans le Cloud, des zones de contrôle... mais nous savons que notre système est vulnérable. Il existe des pare-feu mais des portes restent ouvertes, par exemple un utilisateur ouvre un fishing ou visite une page infectée : cela entrainera l’infection de l’entreprise. Malgré un système de protection important, il reste des risques. Nous avons les dernières technologies mais si le hacker a créé une variante, l’antivirus peut ne rien voir. L’entreprise a réalisé qu’il est important de savoir détecter les éléments infectés : il faut maintenant se doter d’outils pour détecter ce qui est infecté. On développe des centres de sécurité opérationnelle : détection des comportements anormaux et apport d’une solution.
Une fois que l’infection a été détectée, il faut pouvoir y répondre et donc préparer des plans de réponse aux incidents efficaces. Ce security operation center (SOC) est de plus en plus utilisé mais n’est pas le seul outil pour se protéger. Il faut sensibiliser et former en permanence l’utilisateur.
Actions de sensibilisation : car tout ce qui a été intégré par l’utilisateur comme bon comportement sur un ordinateur portable est très vite oublié sur Smartphone. Par exemple : on installe des applications publiques qui peuvent être infectées... Gros enjeux au niveau de cette sensibilisation pour avoir les bons comportements. Autre approche pour améliorer la capacité de détection : threat intelligence afin d’analyser les informations sur le darknet. Les outils techniques à notre disposition et moyens humais mis en œuvre ne sont pas suffisants pour bloquer l’attaque. Tôt ou tard l’entreprise sera attaquée, il faut être prêt à mettre en œuvre une cellule de crise. Dans toutes ces activités de détection d’incident, on est protégé par une norme européenne qui devrait aboutir en fin d’année ou début d’année prochaine. Ce règlement européen sur la protection des données personnelles rendra obligatoire la déclaration des incidents de sécurité.
4.Madame Alice Cherif – Parquet de Paris – Chef de section de pôle cybercriminalité Lorsque prévention échouée, parquet sollicité.
Parquet de Paris : poursuit des cybercriminels qui sont en France, et organise des coopérations internationales dans le cas de criminels basés à l’étranger. La section cybercriminalité n’existe que depuis un an, c’est la seule de France. Elle a une compétence locale mais qui s’étend en « gisçant » les faits. Mai 2014 : journée d’action dans l’affaire Black Shame : prise contrôle à distance matériel informatique (webcam etc..). Typologie d’attaques : cyber espionnage (mais limité car ce ne sont pas des attaques qui viennent de France donc les dossiers pour avancer sont liés à l’étranger). TV5 Monde : dossier. L’essentiel des cybercriminels à Paris agissent le plus souvent dans le cadre privé mais utilisent l’ordinateur pour nuire à un employeur, particulier…
Les cybercriminels sont plutôt des gens qui agissent dans le cadre privé et utilisent l’outil informatique pour nuire à des tiers mais sans volonté de terrorisme ou bien de criminalité organisée.
Il y a plusieurs protocoles d’urgence pour faire face aux cyber menaces. Le dépôt de plainte permet de geler les données volées ou en tout cas de figer des éléments de preuve. Il est impératif que les entreprises déposent plainte, même si le taux de résolution est faible compte tenu de l’anonymat des cybercriminels et leur implantation à l’étranger. Un grand poste est le faux ordre de virement. L’argent passe souvent d’abor par un compte de première ligne en Europe, moins suspect que le compte de destination, souvent en Chine. La coopération internationale se développe, ce qui permettra de stopper les virements frauduleux. Faiseur de virement : 50-60% de son activité. Il faut être ultra réactif : les escrocs vont jouer sur le caractère transfrontalier en demandant que le premier virement soit fait en Europe de l’est par exemple.
Conclusion
Nicolas Arpagian On pense vite à la « criminalité » mais il y aussi la délinquance, le simple vol de bas étage. Finalement, ce qui est intéressant, c’est que la délinquance se développe beaucoup : que ce soit une seule personne qui améliore ses notes sur son ENT ou autre… La cybercriminalité existe car il y a aussi des clients pour acheter les données volées.
