BLOG / Droit des affaires et des sociétés

Les inquiétudes des entreprises face aux menaces en matière de Cybercriminalité sont de plus en plus importantes.

La Cybercriminalité : un phénomène en explosion

 

En effet, on assiste actuellement à une explosion du phénomène.

D’après la 8ème édition de l’étude PwC sur la fraude en entreprise, intitulée « Global Economic Crime Survey 2016 », les entreprises de l’hexagone sont de plus en plus victimes de fraudes, le taux de 68% atteint cette année est en progression de 13 points par rapport à l’étude PwC parue en 2014, soit un taux largement supérieur à celui constaté au niveau mondial (36%).

A ne pas manquer : L’entreprise face aux Cyber-risques : comment lutter contre un phénomène en explosion ? – Conférence d’Actualité ELEGIA Formation le jeudi 8 juin 2017 à Paris

Bien que stable au niveau mondial (36% en 2016 contre 37% en 2014), le taux de fraude du fait de l’explosion de la Cybercriminalité constaté en France a plus que doublé en 7 ans : 68% des entreprises françaises ayant déclaré avoir été victimes d’une fraude au cours des 24 derniers mois, contre 55% en 2014, 46% en 2011 et 29% en 2009.

Parmi les cinq grands types de fraudes répertoriés, la Cybercriminalité apparaît comme le risque majeur à l’avenir en France : 73% des dirigeants français anticipent une augmentation du risque de cybercriminalité.

Au cours des prochains mois, une très forte hausse de cybercriminalité et de la fraude aux achats est attendue.

Pour autant, plus de la moitié des entreprises françaises n'ont pas encore d'action 100 % opérationnelle pour répondre à une cyber-attaque.

  • 75% des cadres supérieurs sondés reconnaissent que toutes les données de leur entreprise ne sont pas totalement protégées.

La France est le 9ème pays au monde ou la cybercriminalité est la plus active.

Qu’est-ce que la Cybercriminalité ?

Elle est définie comme l’ensemble des infractions commises contre ou au moyens des réseaux de télécommunication, en particulier Internet, selon le rapport Robert de 2014.

La Convention de Budapest du Conseil de l’Europe précise que la Cybercriminalité englobe trois d’activités criminelles que sont tout d’abord les formes traditionnelles de criminalité, ensuite la publication de contenus illicites par voie électronique et enfin les infractions propres aux réseaux électroniques c’est-à-dire les attaques visant les systèmes d’information, le déni de service et le piratage.

La menace visible la plus répandue actuellement est celle des Crypto-virus.

Hameçonnage (phishing) et «Rançongiciel» (ransomware) sont des exemples connus d’actes malveillants portant préjudices aux internautes.

Hameçonnage, phishing ou filoutage

L’hameçonnage, phishing ou filoutage est une technique malveillante très courante sur Internet.

Le cybercriminel opère par une usurpation d’identité afin d’obtenir des données à caractère personnel et/ou  des identifiants bancaires pour en faire un usage criminel.

Celui-ci se « déguise » en un tiers de confiance (banques, administrations, fournisseurs d’accès à Internet…) et diffuse un mail frauduleux, contenant un lien ou une pièce jointe piégée, à une large liste de contacts. Le mail invite les destinataires à mettre à jour leurs informations personnelles (et souvent bancaires) sur un site internet falsifié vers lequel ils sont redirigés.

La liste comprend un nombre très important de contacts ce qui augmente les chances que l’un des destinataires se sente concerné par le message diffusé.

En un clic, il est redirigé vers le site falsifié qui va recueillir l’ensemble des informations qu’il renseigne.

Ces informations sont alors mises à disposition du cybercriminel qui n’a plus qu’à faire usage des identifiants, mots de passe ou données bancaires récupérées.

  • 56% des PC sont infectés via des emails de type « phishing » par défaut de vigilance de leur utilisateur !

Attaque par «Rançongiciel»

Les Rançongiciels (ransomware) sont des programmes informatiques malveillants de plus en plus répandus (ex : Locky, TeslaCrypt, Cryptolocker, etc.). Le cybercriminel chiffre des données puis demande à leur propriétaire d'envoyer de l'argent en échange de la clé qui permettra de les déchiffrer.

Celui-ci adresse un mail qui contient des pièces jointes et / ou des liens piégés. Le corps du message contient un message correctement rédigé, parfois en français, qui  demande de payer rapidement une facture par exemple.    

En un clic, le logiciel est téléchargé sur l’ordinateur et commence à chiffrer les données : les documents bureautiques (.doc, .xls, .odf… etc.), les photos, la musique, les vidéos… etc. et tous les fichiers partagés en écritures sur des espaces communs, voire des serveurs.

Les fichiers devenus inaccessibles, un message s’affiche pour réclamer le versement d’une rançon, payable en bitcoin (1 BTC = 1077€ au 17 mars 2017)  ou via une carte prépayée, en échange de la clé de déchiffrement.

  • 15 000 euros de rançon sont exigés en moyenne par les ravisseurs auprès des entreprises et bien souvent 72 heures de délai maximum sont accordées pour payer avant la suppression totale des données ! Les entreprises ne disposant pas du seul antidote, la sauvegarde des données sur un serveur distinct, se retrouvent contraintes de payer la rançon.

Les entreprises peuvent également rencontrer la menace du « déni de service », c’est-à-dire l’attaque de leur système internet par des requêtes massives, qui le rend inopérant. Ce type d’attaques concerne, entre autres, des sites internet marchands.

Comment réagir face à ces Cyber-attaques ?

Par l’anticipation, lorsque l’entreprise par la prise de conscience et la connaissance du risque et des enjeux, aura élaboré et mis en œuvre une politique de sécurité concernant ses systèmes d’information (SI) : réseaux, ordinateurs, téléphones dont le (byod), fax et géré les identités et les droits afférents sur le SI.

En cas d’attaque, le premier réflexe est de débrancher l’ordinateur affecté et le serveur si cela est possible, voire de dériver l’arrivée des requêtes massives par une « solution anti-DDOS (déni de service distribué) » ;

Suite à une escroquerie ou une cyber-attaque, vous pouvez déposer plainte  auprès d’un service de Police nationale ou de Gendarmerie nationale ou bien adressez un courrier au Procureur de la République le Tribunal de Grande Instance compétent. (Sur Paris et la petite couronne les cryptovirus sont traités par la BEFTI).
A connaître : Prefecturedepolice.interieur.gouv.fr/cybersecurite

Pour cela, il est important préalablement de préserver la preuve qui devra être loyale, intègre et proportionnée à la gravité des faits. Le problème de la preuve c’est qu’elle doit être bien recueillie et documentée.

Si elle ne veut pas déposer plainte, l’entreprise peut tout de même faire un signalement auprès de la plate-forme gouvernementale PHAROS.

En conclusion, pour affronter efficacement la Cybercriminalité et limiter les risques de préjudice économique et de responsabilité juridique qui pèsent sur l’entreprise victime, il est indispensable de mettre en place préalablement des moyens de prévention et d’action au sein des organisations. Appréhender le risque est primordial et doit s’accompagner de la mise en place d’une stratégie de cyber-sécurité efficace pour réduire les risques, mais également d’une connaissance des réflexes juridiques et techniques pour réagir en cas de cyber-attaques.

 

Géraldine Lamoril
Consultante formation Droit des Affaires – Docteur en droit privé

Les formation et conférence ELEGIA Formation en rapport avec le thème abordé ci-dessus :

  • Conférence

L’entreprise face aux Cyber-risques : comment lutter contre un phénomène en explosion ? – Conférence d’Actualité ELEGIA Formation le jeudi 8 juin 2017 à Paris

  • Formation Inter-entreprises

Données personnelles : connaître la responsabilité du CIL/Délégué à la protection des données personnelles et de l’entreprise

Actualité sociale 2018

Agréé auprès du ministère du Travail
pour les informations CE (arrêté n°99-469 du 29/03/99)

Agréé auprès du Préfet de Région pour
les formations CHSCT (arrêté n°2003-2254 du 28/10/03)

Consultants en formations certifiés
Kirkpatrick four levels°niveau bronze