Nous avons eu la chance d’assister le jeudi 11 décembre 2014 à la conférence « Cybercriminalité : l’entreprise est-elle victime ou responsable » organisée par le journal « Acteurs de l’Economie – La Tribune », C’M’S’ Bureau Francis Lefebvre, le CIC et l’EMLYON Business School.
Nous vous proposons ci-dessous les faits marquants et enseignements que nous avons retenus.
« Des entreprises peu préparées et généralement démunies »
Walter Salamand, associé du Bureau Francis Lefebvre à Lyon ouvre la soirée et plante le décor : les entreprises françaises sont peu préparées et démunies face au risque de cybercriminalité.
Pour confirmer ses dires, ils communiquent les résultats d’une enquête de la société Kaspersky : 1/3 des entreprises seraient victimes de cybercriminalité.
« Victimes mais aussi très souvent responsables ! »
Il apporte ensuite la réponse à la question titre de la conférence.
Bien sûr les entreprises sont avant tout victimes de la cybercriminalité.
Mais aussi –et ne serait-ce pas finalement le plus grave ?- responsables si l’enquête qui s’ensuit généralement révèle qu’elles n’ont pas mis en œuvre les moyens proportionnés pour se prémunir de l’attaque, ou si elles n’ont pas respecté les obligations réglementaires en vigueur (les délibérations de la CNIL notamment).
Au final l’entreprise peut avoir subi un préjudice direct résultant de l’attaque, mais plus encore, elle sera, si sa responsabilité est engagée, poursuivie au civil et ses dirigeants au pénal où ils et elles pourront être condamnés.
Jean-Louis Bruguière expose ensuite la situation de la lutte contre la cybercriminalité, une responsabilité partagée avec les pouvoirs publics
L’ancien coordinateur du pôle anti-terrorisme cite l’amiral Rogers, Directeur de la NSA pour qui le cybercriminalité est une nouvelle forme de guerre, puis le directeur du centre de sécurité informatique de l’OTAN, Suleyman Anil qui, pour sa part dès 2008, a appelé à considérer la défense des infrastructures réseau au même niveau de priorité que la défense militaire aérienne et la lutte mondiale contre le terrorisme.
S’il en est besoin, le ton est donné.
« Cybercriminalité : une impunité planétaire quasi garantie sur le long terme… »
L’ancien magistrat expose qu’une prévention efficace est très difficile à réaliser, la dimension internationale des acteurs et les rôles actifs joués par certaines nations (parmi lesquelles la Chine, la Russie, l’Iran, la Corée du Nord…) impliquant quasi de facto une impunité planétaire pratiquement garantie sur le long terme.
La cybercriminalité se développe sous de multiples formes avec:
• le cyberterrorisme au moyen de sites web cryptés (ne permettant pas de détecter les menaces suffisamment rapidement) pour recruter des djihadistes, partager des expériences, engager des discussions sur des forums et bien sûr assurer la propagande (facebook, twitter, youtube…)
• les attaques d’état à état, version 2.0 de la guerre froide
• plus récemment, les attaques d’état à société avec la Corée du Nord qui menace Sony
• …
« Les PME/PMI françaises des cibles « molles » de choix pour la cybercriminalité »
Le secteur concurrentiel n’est bien évidemment pas épargné.
La France figure au 15ème rang mondial des pays dont les entreprises sont le plus attaquées par les cybercriminels. Toutefois, si l’on ne considère « que » les attaques ciblées (dites APT) notre pays figure au 1er rang concernant les attaques à l’encontre de nos PME/PMI qui constituent selon JL Bruguière, des cibles « molles », autrement dit faciles à attaquer car peu conscientes et protégées, avec un rapport bénéfices/coûts très favorable pour l’attaquant.
L’ancien magistrat évoque des attaques variées et qui évoluent au gré des réponses dont elles font l’objet:
• fraude au dirigeant
• espionnage de Cadres dirigeants (ex Dark Hotel via les connexions WIFI des grands hôtels… )
• hacking de smartphones, facilement géolocalisables
• de plus en plus fréquent, les « rançongiciels » qui bloquent le SI de l’entreprise jusqu’au paiement d’une rançon
Toutes sont alimentées par les données exposées de plus en plus sur les réseaux sociaux, dans les plaquettes corporate…
« Une dimension systémique ignorée par les entreprises françaises »
JL Bruguière insiste sur la dimension systémique du risque induit par le numérique et sur le fait que les entreprises françaises ignorent, comme l’illustrera plus tard le dirigeant convié à témoigner et pour lequel une accessibilité ignorée à son système d’information a failli conduire à une quasi faillite après que ses systèmes ont été saisis puis involontairement altérés par les gendarmes.
Il insiste également sur la nécessaire implication de toutes et tous, sur le fait que ce n’est pas de la seule responsabilité des dirigeants.
Cela peut passer par:
• la désignation d’un référent sécurité informatique
• prêter une attention de tous les instants sur les usages des réseaux sociaux (Twitter, Facebook et Linkedin notamment)
• ne pas mélanger les outils professionnels et privés dans leurs usages privés ou professionnels
• ne pas amener d’outils numériques dans des réunions pour ne pas être entendus après piratage (même éteints !)
• ne pas utiliser ses matériels (portables, tablettes) dans les transports en commun (trains et avions principalement)
« Vigilance renforcée pour le cloud et l’internet des objets »
Plus largement il invite tous les acteurs (publics comme entreprises, ensemble) à être très vigilants pour le futur quant au cloud d’une part, et à l’internet des objets connectés, ces derniers pouvant accélérer les incidences des attaques nées dans le cyber-espace puis importées dans la vie réelle.
Différents acteurs et témoins conviés à la table ronde livrent ensuite leurs réflexions et points de vigilance
3 grandes typologies d’agressions sont relevées par CMS Bureau Francis Lefebvre :
• Vols de données en externe mais aussi en interne
• Attaque à la réputation des entreprises (sur les réseaux sociaux notamment)
• Escroqueries qui représentent pour la France une perte estimée entre 300 et 800 millions d’euros pour les entreprises
A noter que pour l’heure, les données commerciales ne relèvent pas du secret des affaires malgré une proposition de loi de novembre 2011 en France. La Commission européenne a élaboré une proposition de directive relative à la protection des secrets d’affaires, en date du 28 novembre 2013.
Des solutions assurantielles existent qui permettent outre la prise en charge des dommages, de faire un travail rigoureux d’analyse et de quantification en amont et de recueillir lors de ce diagnostic de précieux conseils. Enfin en cas de sinistre et de mise en cause du dirigeant, l’assistance s’avère un soutien moral apprécié en son temps par le dirigeant témoin de la soirée.
Les témoins experts apportent des éléments redonnant confiance dès lors que l’on s’adresse à des spécialistes reconnus.
En France, un interlocuteur privilégié en matière de prévention et de réaction aux attaques informatiques : l’ANSSI
Le premier réflexe consiste à s’interroger sur la fiabilité réelle des partenaires auxquels on s’adresse ou des systèmes que l’on utilise. Pour cela, chaque entreprise peut se rapprocher de l’Agence Nationale de la Sécurité des Systèmes d’Information, service gouvernemental créé en 2009.
L’ANSSI édite ainsi un guide des bonnes pratiques et délivre des labels de sécurité à des produits et des services de confiance ICI
Toute entreprise se doit de veiller à la qualité de son dispositif de sécurité y compris si tout ou partie de son informatique est sous-traitée hors les murs de l’entreprise.
La faire tester est recommandé (surtout ne pas en rester aux déclarations des prestataires !).
Les experts invitent les entreprises à ne pas stocker leurs données hors de l’UE.
Les experts rappellent qu’il existe une norme ISO en matière de Management de la Sécurité de l’Information, en l’occurrence, l’ISO 27001
Pour des données peu sensibles, il existe de bons logiciels de cryptographie (choisir un produit validé par l’ANSSI !), pour des besoins plus larges, il conviendra de mettre en place un SOC (Security Operations Center)
Se préparer à réagir à une cyber-attaque
Ils insistent également sur le fait que les entreprises doivent se préparer à réagir à une cyber-attaque car face à l’inconnu, les actions conduites peuvent être plus néfastes que bénéfiques si l’on n’est pas correctement préparé. Pour eux la question n’est pas de savoir si l’on va être victime de cybercriminalité, mais quand…
Afin de préparer les salariés, les experts proposent le recours aux « serious games »
Une PME victime… mais aussi son dirigeant responsable !
Le témoin d’entreprise (PME comme il en existe tant) raconte une histoire E-DI-FIANTE. Car s’il a été blanchi des faits qui lui ont été initialement reprochés, l’auteur d’une vengeance personnelle ayant été confondu, il n’en a pas moins été condamné « légalement » (à défaut de mériter de l’être moralement) à 3 ans de prison avec sursis, inscription au casier judiciaire pour les négligences inconscientes ayant permis l’introduction dans son SI des données nécessaires à la vengeance.
Sans parler de l’impact moral et psychologique que cette affaire a eu sur lui et probablement ses proches et salariés…
Un article dans le quotidien « Les Echos », paru le 9 décembre 2014 et intitulé «Les pirates attaquent le cloud» illustre très largement les enjeux en matière de Cybercriminalité et appuie les points de vue de nos orateurs d’un soir.
Pour conclure, et un citant le témoin d’entreprise « Ne croyez pas que cela n’arrive qu’aux autres » et prenez rapidement conscience de votre niveau de vulnérabilité avant que vous ne soyez frappés et que dès lors la confiance s’envole
Read more