Découvrez l’analyse et les conseils de Jean-Jacques Latour, responsable de l’expertise en cybersécurité de la plate-forme gouvernementale Cybermalveillance.gouv.fr

Nous avons constaté une augmentation très forte d’actes de cyber malveillance auprès de publics peu adressés par l’Etat ou l’ANSII : particuliers, PME, PME, ETI et collectivités locales. L’Etat se devait d’apporter une réponse structurée à ces publics. C’est de cette volonté qu’est née, en 2017, la plate-forme en ligne cybermalveillance.gouv.fr, avec un objectif : leur apporter un premier niveau de réponse et les orienter vers les services les plus adaptés en fonction de leur problématique cyber.

Le dispositif repose sur un partenariat public/privé. Plusieurs administrations sont impliquées telles que le ministère de l’Intérieur, le ministère de la Justice, le ministère des Armés, le secrétaire d’Etat au numérique, les CCI… mais également des structures privées concernées par les questions de cybersécurité de près ou de loin : opérateurs télécoms, éditeurs anti-virus, associations de consommateurs, organisations professionnelles… Ces différents acteurs renforcent les actions de notre plate-forme grâce à leurs ressources et nous permettent de porter des messages au plus près des publics que nous cherchons à adresser.

Nous avons pu observer deux phénomènes concomitants avec la crise. Le premier est l’explosion des usages numériques liée à la démocratisation du télétravail chez les particuliers et le développement des entreprises en ligne. Le deuxième phénomène est l’explosion de la cybercriminalité. Les cybercriminels, étant opportunistes et organisés, ont profité de la crise sanitaire et des changements d’usages et de processus des utilisateurs pour multiplier leurs actes malveillants à l’encontre des particuliers et des entreprises. Durant le premier confinement, nous avons constaté un pic de près de 600% des attaques par hameçonnage ou phishing en anglais (récupération de données personnelles). La plupart de ces attaques étaient liées au contexte de crise : elles prenaient la forme de faux messages portant sur les aides de l’Etat, les remboursements d’impôts, ou encore sur des colis en attente de livraison, et renvoyaient vers des sites en apparence officiels pour inciter les utilisateurs à communiquer leurs données.

Le nombre d’incidents n’a pas baissé en 2021. En 2019, la menace rançongiciel constituait la 4ème menace cyber (sur une cinquantaine recensée). Depuis 2020, elle occupe la première place.

Durant le premier confinement, nous avons constaté un pic de près de 600% des attaques par hameçonnage ou phishing en anglais (récupération de données personnelles)

L’écosystème cybercriminel est très structuré et performant. Nous ne sommes plus confrontés à l’archétype de l’adolescent dans sa chambre obscure devant son écran. Les cybercriminels utilisent des techniques et des méthodes très sophistiquées et leurs rôles sont répartis par spécialisation : formation, marketing, négociation de rançon… et par type d’actions. Les profils se réunissent et collaborent virtuellement par groupe d’affinités et de compétences. Le marché de la cybercriminalité évolue rapidement et il y a une concurrence forte entre les cybercriminels. La dimension marketing est donc -entre autres- essentielle pour eux, car elle permet de remporter des « appels d’offres », des « parts de marché » ou de se faire remarquer et recruter par un groupe de cybercriminel plus grand.

Leurs modes opératoires s’apparentent à ceux d’un cartel : si l’un des membres du groupe est arrêté, cela n’empêche pas les autres de continuer leurs actions malveillantes. Leurs processus sont industrialisés : ils cherchent des entreprises vulnérables et vont ensuite vendre leurs accès ou les données récoltées à des réseaux d’organisations ou à d’autres groupes de cybercriminels. On constate la mise en place d’une hiérarchie au sein de chaque organisation : les cybercriminels commencent leur carrière en s’en prenant aux petites entreprises vulnérables. Puis, lorsqu’ils ont fait leurs armes, ils peuvent gravir les échelons et viser de plus grandes organisations. Malgré les moyens dont peuvent disposer certaines grandes organisations (DSI, pole cybersécurité etc…), les attaques ne sont pas impossibles.

La majorité des menaces observées concernent l’hameçonnage qui revêt différentes formes. Plus qu’une attaque, il est un vecteur d’attaques. Par exemple : un cybercriminel vous envoie un mail d'hameçonnage ciblé et récupère vos données personnelles ; cette action va lui permettre de réaliser d’autres actes malveillants et de plus grande ampleur. En effet, le piratage d’un compte (hameçonnage), le plus souvent celui d’une entreprise, est une porte d’entrée pour d’autres cyberattaques : piratage de données, attaques aux faux ordres de virements / au chef d’entreprise : le pirate se fait passer pour le chef d’entreprise et fait une demande de virement bancaire exceptionnel au responsable financier ou au service comptabilité. L’arnaque au changement de RIB est également répandue : le cybercriminel se fait passer pour un fournisseur et effectue un changement des coordonnées bancaires à son profit. Il y a également des tentatives de piratages sur les sites marchands qui consistent à intercepter les données des cartes bancaires des clients avant leur paiement en ligne. Le temps que l’entreprise s’en rende compte, les cybercriminels peuvent pirater de nombreux clients pendant plusieurs mois et extorquer des sommes conséquentes (voir même substantielles) aux entreprises.

Les entreprises doivent avant tout prendre conscience de ces risques. Ils sont réels et arrivent tous les jours. Plus de 10 000 entreprises ont été victimes d’une ou de plusieurs cyberattaque(s) et sont venues chercher de l’assistance sur notre plateforme cybermalveillance.gouv.fr. Ensuite, elles doivent prendre en compte ces risques et faire l’inventaire de leurs systèmes d’information numérique : boites mails, site internet… Puis se demander pour chaque système : Quelle attaque serais-je susceptible de subir ? Quels seraient les risques encourus ? Quel degré de gravité auraient-ils pour mon entreprise ? Un état des lieux de chaque système permet de se poser les bonnes questions et de prioriser les actions à mettre en œuvre. Certaines sont faciles à mettre en place : par exemple, l’utilisation de mots de passe différents et solides sur chaque système qui peut permettre d’éviter un phishing (qui cible uniquement les boites mails) et ainsi, de limiter les risques ; mettre à jour chaque système, réaliser des sauvegardes déconnectées du réseau, sécuriser les accès à distance et les limiter au strict nécessaire… Il faut souligner le fait que les cyberattaquants sont feignants : ils vont au plus simple, avec le moins d’efforts possibles et le plus de gain. D’où l’importance pour une TPE ou PME de mettre en place des bonnes pratiques et d’avoir une bonne hygiène numérique pour les dissuader de choisir leur entreprise comme cible. Si certaines actions sont hors de portée pour certaines entreprises, je leur conseille de se faire accompagner par des organismes habilités pour connaître leur état de vulnérabilité et corriger leurs failles. Elles peuvent aussi faire appel à des prestataires labellisés ExpertCyber qui ont les compétences techniques requises ; un label de premier niveau qui permet de trouver des prestataires à leur échelle et à leurs besoins, d’établir et de choisir des plans d’actions et de les mettre en place. Certes, il s’agit d’un investissement, mais qui peut leur rapporter gros.

Oui, mais la transformation numérique des entreprises est un vecteur de croissance primordial. Les entreprises doivent se transformer mais convenablement : en prenant en compte les risques cyber et en mettant en place des bonnes pratiques. La cybersécurité est une condition essentielle à la transformation numérique réussie de chaque entreprise.

Pour en savoir plus :

cybermalveillance.gouv.fr

*« Cybermalveillance.gouv.fr est un dispositif national d'assistance aux victimes d'actes de cyber malveillance, de prévention et sensibilisation aux risques numériques et d'observation de la menace. »