Le 2 juill. 2014, la CCI (chambre de commerce et d’industrie) de Paris proposait une série d’interventions dédiées à la cybercriminalité. L’événement, sous titré « Vos concurrents et vos données font-ils bon ménage ? » était organisé en partenariat avec la préfecture de Police.
La commissaire divisionnaire, chef de la BEFTI (Brigade d’Enquêtes sur les Fraudes aux technologies de l’information), un membre du Clusif, un entrepreneur français éditeur de solutions logiciels de sécurité, un assureur, un avocat et CIL (correspondant informatique et liberté), ainsi que le chef de service intelligence économique de la CCI-Essonne se sont succédés à la tribune pour sensibiliser les entreprises aux risques liés aux délits et crime commis grâce à l’informatique.
Que retenir de toutes ces interventions ? Quels points auraient mérité d’être plus ou mieux développé ?
1. Que retenir de toutes ces interventions ?
1.1 La cybercriminalité, c’est quoi ?
Pour la chef de la Befti, le périmètre de la cybercriminalité. «recouvre deux types d’infractions bien identifiées : d’une part, le piratage ou le sabotage de réseaux et de systèmes informatiques avec les données qu’ils contiennent, et, d’autre part, l’utilisation frauduleuse des nouvelles techniques d’information et de communication pour commettre des infractions classiques telles les escroqueries. Il s’agit donc essentiellement d’infractions à la loi Godfrain du 5 janvier 1988 relative à la fraude informatique et à la loi Informatique et libertés du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.»
1.2 Combien ça coûte ?
Le coût financier de la cybercriminalité à travers le monde serait de plus de 400 milliards d’euros par an. Sans compter le coût en termes d’image pour les entreprises victimes.
1.3 Est-ce que ça me concerne ?
Unanimité des intervenants pour souligner la grande vulnérabilité des entreprises à la cybercriminalité. Peu de chance qu’une entreprise, au cours de sa vie, ne subisse pas une attaque sur son système d’information. Or, assurer sa sécurité, c’est assurer dans un mode interconnecté, la sécurité des autres.
Par ailleurs, si un prestataire compromet la sécurité informatique de son client, il reste pénalement responsable même s’il est couvert par une responsabilité civile professionnelle. « Tous acteurs de sa cybersécurité »
1.4 Quelles sont les principales manifestations de la cybercriminalité
- La contrefaçon numérique des dessins et modèles.
- L’espionnage (prospects, clients, secrets de fabrique) par les concurrents.
- La violation de la confidentialité des messageries.
- Le vol de numéros de carte bleue.
- Le déni de services entraînant une rupture dans la continuité de service donc une perte de clients donc une perte d’argent.
- La modification du contenu & l’atteinte à l’e-réputation.
- La rançon pour pouvoir récupérer ses données : par ex. via l’introduction dans les systèmes et le chiffrage des serveurs où sont stockés les données de l’entreprise et vente de la clé de déchiffrage
1.5 Comment s’en prémunir ?
- En gardant son esprit critique.
- Par une politique de prévention & de sensibilisation des collaborateurs.
- Par l’apprentissage des bonnes pratiques comme :
- Savoir gérer les risques. Ex. Absence de sauvegarde ou sauvegarde au même endroit que les données sauvegardées.
- Accepter de payer le juste prix pour sa sécurité informatique. Pour l’éditeur de logiciel en sécurité informatique, la sécurité à un prix ! Celui d’un haut niveau service du prestataire et de l’investissement dans de bons outils. Sous payer un sous traitant, ne le poussera pas à faire du bon travail…
- Réfléchir attentivement avant de passer à l’infogérance. Elle peut entraîner la perte de maîtrise de son système d’information.
- Eviter d’héberger ses données à l’étranger. Un sondage rapide dans la salle indiquait que la moitié des participants avaient un compte gmail. « Yes we scan ! »
- Disposer de dispositifs techniques pour la détection des anomalies sur le réseau et le traçage des actions.
1.6 Que faire lorsque le système informatique d’une entreprise a été compromis ?
Déclarer aux autorités les attaques & compromission de son système informatique afin qu’elles soient enregistrées et que des enquêtes soient lancées afin d’identifier et appréhender les délinquants.
1.7 Qui est l’ennemi ?
L’ennemi est plus souvent à l’intérieur de l’entreprise qu’à l’extérieur. Espionnage de sa direction ou de ses collègues pour des motifs divers. Parfois pas de volonté de nuire mais de l’ignorance ou de la négligence.
A noter que la plupart des périphériques mobiles (téléphones, tablettes, clés usb..) ne sont pas sécurisés. Or, avec les objets connectés (13 milliards en 2013) et des projections pour 2030 à 30 milliards & en 2050 à 80 milliards d’objets connectés, la sécurité de ces nouvelles sources d’informations promet d’être un juteux marché pour les prestataires en sécurité et une faille importante dans de nombreuses entreprises.
Les différents intervenants ont fourni un contenu dense et intéressant. C’était plutôt bien pensé que de réunir différents métiers impactés par la sécurité informatique pour qu’ils présentent leurs façons de voir. Néanmoins, quels points auraient-ils mérité d’être plus ou mieux développé ?
2. Quels points auraient mérité d’être plus ou mieux développé ?
Pour des raisons sans doute liées au format court et à la nécessité de vulgariser un sujet parfois complexe, il nous a semblé que le discours sécuritaire avait au moins sur deux points été trop simplifié.
2.1 La confusion fréquente faite entre « hacker » et pirate informatique.
Une diabolisation alors que :
a. Historiquement, ce sont des bidouilleurs (en anglais hacker) qui ont développé l’Internet à des fins de recherche et de partage et qui techniquement à travers nombre de communautés (dont certaines sont devenu quasi institutionnelles) continuent de le faire évoluer.
b. Nombre de pays ou de multinationales ont recours à des crackers, pour de l’espionnage industriel dans le cadre de ce que certains désignent par la guerre économique.
2.2 Achetez ma solution, prenez une assurance, adoptez les bonnes techniques… vous serez tranquille !
Nulle mention de ce qui nous apparaît le b.a.ba de la sécurité. Certes, c’est du bon sens paysan mais, c’est surtout un processus. Si la chaîne des intervenants est trop longue, les processus trop compliqués et opaques, les personnels non formés à la gestion de données, les logiciels utilisés compromis ou le stockage des données externalisé et non chiffré, alors il y a peu de chance que l’entreprise ne prête pas le flanc à des actes délictueux et/ou criminels.
Il nous semble :
- qu’apprendre à maîtriser ses données dès la création de documents numériques et jusqu’à leur archivage ou leur destruction est un élément important de la gestion du risque informatique.
- qu’utiliser des logiciels dont le code source est ouvert et permettant un audit indépendant de l’éditeur de logiciel est un gage de transparence et de sécurité pour les entreprises.
Pourtant nulle mention de ces fondamentaux (records management — logiciels libres et open source) lors des différentes interventions.
Entreprises, si comme nous, vous pensez que ces éléments peuvent vous rendre plus résilient, n’hésitez pas à contacter IGE pour de la sensibilisation ou de la formation à la gouvernance de votre information et/ou à l’utilisation de logiciels libres et open source !
le 21/07/2014
CD