Cybercriminalité : "les entreprises doivent prendre conscience des risques"

Publié le

Entretien Sony encore ce week-end, Lockheed Martin il y a quelques jours ou encore Bercy…Ils ont tous été victimes de cyber-attaques. L’Usine Nouvelle analyse ce phénomène avec Jean- Paul Pinte, maître de conférences en veille stratégique à l'Université Catholique de Lille, spécialiste en management des risques cybercriminels et terroristes des entreprises.

Cybercriminalité : les entreprises doivent prendre conscience des risques © DR

L'Usine Nouvelle  - Que pensez-vous des attaques répétées contre le groupe Sony notamment ces dernières semaines ?
Jean-Paul Pinte - On est devant une nouvelle forme de cybercriminalité. Avant le but d’une attaque par la Toile était de nuire à un matériel. Désormais, c’est de soutirer de l’argent. En fait, les cybercriminels obtiennent toute une série de données lors de leur attaque. Ils ne se limitent pas, ils prennent tout ce qu’ils peuvent. Ensuite, ils menacent l’entreprise ou l’institution ciblée de divulguer l’ensemble de ces données ou seulement une partie. Le tout en demandant de l’argent contre leur silence. Mais pour l’instant, tout cela se règle à l’amiable, car la société veut que cela reste secret.

Qu’est ce qui pousse les cybercriminels à agir de la sorte ?
Voir jusqu’où il y a une faille dans le système de sécurité d’une entreprise. Les cybercriminels cherchent à aller toujours plus loin. Cela a encore été le cas avec la dernière attaque contre SonyPictures, revendiquée par le groupe "Lulz Security". Il a voulu montrer que le groupe avait été attaqué d’un côté fin avril mais qu’il pouvait encore être touché ailleurs.

Dans le cas précis de Sony, que s’est-il passé ?
On peut penser que le groupe n’avait pas tous les composants de sécurité, qu’il n’avait pas pensé à toutes les attaques possibles. Ce qui paraît étonnant pour un géant comme Sony. Date de naissance, numéros de cartes bancaires ou encore adresses e-mail ont été volées lors de la première attaque en avril. Le groupe a engagé une société spécialisée dans la sécurité pour mener une enquête et assure avoir pris des mesures pour renforcer la sécurité de son système.  Mais il a mis 5 jours pour communiquer ces informations, après l'apparition des premiers messages d'erreur sur son service en ligne.

Quelles conséquences pour le groupe ?
Plusieurs centaines de millions d’euros, notamment parce qu’il a perdu de nombreuses données qu’il ne pourra plus utiliser ou revendre. Sans compter les conséquences en termes d’images. Cela n’inspire pas d’aller sur le site d’une société attaquée sur la Toile.

Qui sont les cybercriminels ?
Il y en a plusieurs sortes. Il y a par exemple les bidouilleurs qui, en cherchant sur la Toile, arrivent sur des données et tentent de nuire à l’environnement de l’entreprise. Mais il y a surtout ceux qui, confrontés à une information, vont menacer l’entreprise de tout lâcher sur la place publique en échange du versement d’une somme par le groupe visé. Dans tous les cas, ce sont des personnes avec une vraie culture de l’informatique, un sens de l’orientation sur la Toile et la capacité d’analyser les pages d’un site Internet. Pour les meilleurs d’entre eux, ils ont aussi la connaissance de l’environnement de la cybercriminalité et rencontrent d’autres criminels pour s’attaquer à des géants comme Sony. Ils agissent rarement seuls.

Quelles sont les entreprises les plus touchées ?
Les entreprises de commerce électronique sont souvent en première ligne, mais toutes les sociétés avec d’importants flux sont susceptibles d’être attaquées. Globalement, les cybercriminels cherchent des entreprises ou institutions avec un véritable impact sociétal. La Bourse, les infrastructures de gaz ou d’eau…tout pourrait être attaqué d’ici à quelques années, notamment avec le développement des réseaux sociaux, grande ressource pour les cybercriminels au regard du nombre de données personnelles qu'ils renferment.

Que faire pour lutter contre ce phénomène ?
Il faut d’une part faire sécuriser les sites, notamment avec la norme européenne PCI DSS (Payment Card Industry Data Security Standard). Dès qu’une société collecte, traite ou stocke des données bancaires, elle est éligible à la certification PCI DSS. L’objectif est de restaurer la confiance lorsqu’une personne va venir sur ce site et par exemple faire un achat par carte de crédit. Après la mise en place à plat du système et la mise aux normes, ce qui peut déjà coûter près de 8 à 10 millions de dollars pour les plus grands groupes, il faut faire régulièrement des audits de certification. Et tout cela doit être géré par un responsable formé et digne de ce nom. Il ne doit pas être nommé après l’arrivée des faits par exemple.

D’autre part, il faudrait que les personnes visées portent plainte contre X, notamment auprès de la CNIL en France pour dire ce qui se passe et que les autorités puissent remonter le fil et éviter qu’un tel phénomène ne se propage davantage. Mais cela se fait peu.

Selon le Wall Street Journal, le Pentagone serait sur le point de considérer les cyber-attaques comme des actes de guerre.  Plus globalement, comment les autorités publiques peuvent elles lutter contre ce fléau ?
Il faut faire prendre conscience aux entreprises et institutions qu’il y  a des étapes à respecter pour se protéger contre la cybercriminalité. Ce n’est pas un sujet à prendre à la légère et il faut se prémunir contre. Il faut veiller et surveiller l’environnement de l’entreprise et savoir réagir. C’est dans cet objectif que se met en place par exemple une unité technologique à l’université de Troyes. 2Centre est la première grande association qui va permettre aux universitaires, chercheurs et aux forces de l’ordre de faire prendre conscience aux entreprises de ces nouvelles formes d’attaques. Il y a un réel manque de formation et d’information en la matière.

Pour en savoir davantage sur la cybercriminalité, le blog de Jean-Paul Pinte


 

Réagir à cet article

2 commentaires

Nom profil

08/06/2011 - 08h00 -

et pourtant une technologie brevetée crée par des Français existe, l' ADN du Numérique pour combattre la cybercriminalité.
Répondre au commentaire
Nom profil

07/06/2011 - 09h21 -

Il existe un produit permettant d'évaluer les risques de cybercriminalité grâce à des simulations préventives qui tiennent compte des menaces, des vulnérabilités et des impacts prévisibles. Pour pallier aux limites de la sécurité informatique face à la cybercriminalité, les outils de prévention et de traçabilité deviennent essentiels pour alerter les entreprises rapidement en cas de risque, pour connaitre les faits générateurs à l'origine de la malveillance et pour apporter des éléments de preuve en cas de sinistre. [...] www.cyberprotect.fr
Répondre au commentaire

Créez votre compte L’Usine Connect

Fermer
L'Usine Connect

Votre entreprise dispose d’un contrat
L’Usine Connect qui vous permet d’accéder librement à tous les contenus de L’Usine Nouvelle depuis ce poste et depuis l’extérieur.

Pour activer votre abonnement vous devez créer un compte

Créer votre Compte