Toutes les composantes du cyber-risque augmentent
À l’heure où vous lisez ces lignes, des milliers d’agents malveillants conçoivent et déploient des solutions dans le but de vous soutirer de l’argent, de voler vos données, de nuire à votre réputation ou encore d’infiltrer vos réseaux pour préparer des attaques de grande envergure.
En France, le nombre de plaintes à caractères cyber enregistrées par la gendarmerie nationale est passé de 83K en 2019 à plus de 100K en 2020. Des chiffres qui reflètent l’évolution concomitante de faits relevant de la cyber-délinquance et d’autres s’apparentant à de la cyber-criminalité.
La première concerne plutôt l’utilisation de l’informatique comme support d’infractions classiques, l’escroquerie étant la plus courante. La seconde, les infractions commises sur les systèmes d’information, notamment dans l’objectif de les empêcher de fonctionner. On parle là d’exploits davantage techniques.
Des attaques tous azimuts. La grande majorité des actes malveillants numériques repose sur des “attaques de masse” perpétrées en direction des particuliers comme des entreprises. Tandis que les premiers sont plus sensibles aux arnaques aux faux supports informatiques (publicités destinées à faire croire aux internautes que leur ordinateur est infecté et nécessite une coûteuse réparation), aux escroqueries à la romance assorties de demandes d’argent, aux fraudes à la carte bancaire, aux arnaques aux marchés Forex (spéculation financière) et autres arnaques à la crypto monnaie, les entreprises elles, doivent déjouer des tentatives d’escroquerie telles que les faux ordres de virement ou “arnaques au Président”, les fraudes au faux fournisseur et les tentatives d’espionnage et de vols de savoir-faire, de brevets, de données commerciales…
Une menace d’ordre économique qui se double de risques liés à l’image (campagne de dénigrement, fake-news) et de menaces juridiques liées au respect de la RGPD notamment.
Le phishing, mode opératoire privilégié.
L’escroquerie repose souvent sur la contrefaçon d’un site Internet (Impôts, Caf, établissements bancaires….) dans le but de dérober des informations confidentielles et détourner des fonds. À ce sujet, la section de recherches de la gendarmerie nationale, invitée à intervenir autour du risque cyber à l’occasion du récent Congrès des DAF organisé à La Réunion, est revenue sur le caractère désormais illusoire d’une connexion https , “la signification du S ayant disparu depuis longtemps”, avant de rappeler quelques bonnes pratiques d’usage tant dans le cadre d’une requête sur un moteur de recherche que des précautions à appliquer lors de la connexion, invitant à une vigilance accrue vis-à-vis de “-fr.com” notamment. Au nombre des subterfuges déployés par les pirates pour diriger les futures victimes sur ces sites, le Phishing ou hameçonnage.
La méthode consistant en l’envoi de mails et autres sms piégés a explosé durant la pandémie en surfant dans un premier temps sur la peur et l’incertitude générée par le virus et les confinements avant de profiter de la généralisation du télétravail pour offrir aux ransomwares de faire leur grand retour, plus redoutables que jamais.
76% des escroqueries empruntent désormais la forme du Ransomware (chiffrement des données) confirme la section de recherches de la gendarmerie de La Réunion. “Les rançongiciels représentent actuellement la menace informatique la plus sérieuse pour les entreprises et les institutions, tant par le nombre d’attaques quotidiennes que du fait de leur impact potentiel sur
la continuité de l’activité” souligne de son côté l’ANSSi dans un récent rapport. Lequel revient sur de nouvelles tendances apparues en 2020 avec une concentration nouvelle des hackers autour de cibles particulièrement lucratives, avec des attaques nécessitant plusieurs mois de préparation ; on parle de “Big Game Hunting”.
Le modèle du “Ransomware as a service” se développe également fortement au travers de plateformes de rançongiciels qui proposent à des cyber-criminels en herbe, le nécessaire à une attaque par ransomware comprenant code, clef de chiffrement, assistance client et tableaux de bord. Une offre accessible sous forme d’abonnement (RaaS) ou sous couvert de commissionnement.
Face à ce constat, l’ANSSI, en partenariat avec le ministère de la Justice a publié un guide de sensibilisation “Attaques par rançongiciels, tous concernés – comment les anticiper et réagir en cas d’incident”. À télécharger gratuitement sur le site de l’ANSSI.
La première faille, c’est l’humain. Les escroqueries classiques comme les plus sophistiquées, s’opèrent le plus souvent au travers d’emails frauduleux. “Si l’on apprend à les repérer, on parvient à bloquer la plupart des attaques”
s’entendent les spécialistes de la cyber-sécurité. Car s’il est vrai qu’elles sont de plus en plus difficiles à déjouer dans le sens où les pirates se professionnalisent pour s’adapter à l’évolution de la prise de conscience et que chaque groupe cyber-criminel articule désormais des expertises numériques, financières, mais aussi rédactionnelles et graphiques, l’adoption de bonnes pratiques par les particuliers, d’une charte numérique par les professionnels assortie d’actions de sensibilisation et de formation de l’ensemble des collaborateurs, permet de considérablement réduire le cyber-risque.
Si malgré toutes ces précautions, vous êtes victime d’une cyber-attaque, outre les bons réflexes à appliquer dès les premiers symptômes, si vous êtes une entreprise, vous devez immédiatement alerter votre service ou votre prestataire informatique, de même que la gendarmerie. “Sur un petit territoire comme La Réunion, les entreprises ne sont pas forcément enclines à déposer plainte suite à une attaque” regrette la gendarmerie nationale. Or, le dépôt de plainte, et ce même si vous avez déjà payé la rançon, reste indispensable pour donner aux forces de l’ordre les moyens de stopper l’action des criminels et éventuellement recouvrer les sommes dérobées. “Dans l’idéal, il faudrait que chaque
attaque soit signalée” confirme la gendarmerie. À savoir : Pour permettre aux entreprises, aux salariés et aux citoyens de comprendre les enjeux de la sécurité numérique et se former à la protection des données, l’ANSSI propose un MOOC accessible depuis les page : SecNumAcademie.gouv.fr. Entièrement gratuite l’offre de formation comprenant 4 modules représentant chacun environ 6h40 de temps de travail.