Retour sur la Matinée 01 Cybercriminalité
Le mardi 22 novembre dernier, les évènements 01 réunissaient 150 DSI et RSSI sur la thématique brûlante des hacktivistes et des nouvelles formes de cybercriminalité. Compte-rendu des débats
Retrouvez les présentations de la Matinée 01 Cybercriminalité en cliquant ici
3 questions à Laurent Heslault, Security strategist, Symantec
Banques, opérateurs, institutions gouvernementales, industries…. Il ne se passe pas une journée sans qu’un groupe de Hackers ne revendique une action, de l’attaque DOS à la divulgation d’informations sensibles, en passant par des tentatives de phishing. Près de 71% des entreprises ont subi une cyberattaque ces 12 derniers mois, selon Symantec. « Ce qui ne veut absolument pas dire que les autres n’ont pas été attaquées ! Elles ne le savent souvent pas » souligne Laurent Heslault, security strategist chez l’éditeur. La menace est partout et diffuse, comme l’explique le commandant Rémy Février, chargé de mission Intelligence Economique de la Gendarmerie Nationale et Maître de conférences-associé à l’Université Paris 1-Sorbonne. Il rappelle l’évolution des types d’attaquants : pirates « classiques », les concurrents, le crime organisé et les services étatiques étrangers. Il pointe du doigt les attaques informatiques « traditionnelles » mais alerte aussi sur cette nouvelle « race » de virus industriels comme Stuxnet ou Duqu. Il met en relief d’autre part l’ingéniosité des « pirates » et la facilité croissante d’acquisition de solutions de hacking accessibles sur internet (mail bombing, fausses antennes GSM…).
Ces outils « clé en main » sont d’ailleurs largement utilisés par les Anonymous, nouveau visage de l’hacktivisme qui fait trembler la planète…tout du moins médiatique. « Anonymous, c’est plus une idée qu’un groupe. Une étiquette que s’attribuent, à un instant donné, des individus qui mènent des actions non coordonnées mais dangereuses » présente François Paget, secrétaire général du Clusif. Raison politique, sociale ou écologique, nulle entreprise n’est à l’abri des attaques des activistes. Cybercriminels pour les uns, robins des bois pour les autres, les Anonymous ont aussi porté les révolutions arabes aux côtés d’autres groupes comme Telecomix. Fabrice Epelboin, professeur à Sciences Po et au Celsa, a ainsi présenté les aspects vertueux de l’hacktivisme lorsqu’à travers du décodage, du retro-ingénieering, du hacking ou data-journalisme, il parvient à dénoncer les injustices, défendre les droits de l’homme et la liberté d’information, d’expression et d’échanges. Il met aussi en exergue le rôle croissant des Hackers « étatiques », bras armé de la cyberguerre, qui ne sont pas forcément là où on l’imagine.
Néanmoins la cybercriminalité ne s’arrête pas à cette partie immergée de l’iceberg. Des arnaques, vieilles comme le monde (des technologies) subsistent grâce ou à travers la négligence des protagonistes. A l’instar du piratage de Pabx (ou d’IPBX) dont les dossiers s’accumulent sur le bureau d’Anne Souvira, commissaire divisionnaire à la BEFTI. «Notre rôle est d’alerter les entreprises, il n’y aurait pas tant de fraudes si tous les acteurs faisaient leur travail avec un réel souci de sécurisation, limitant les vulnérabilités de gestion des matériels» lance-t-elle. Et en effet, Ely de Travieso, dirigeant de Phonesec l’explique « les moyens utilisés exploitent des failles simplissimes comme le paramétrage de renvoi d’appels ou les codes par défaut des canaux d’administrations ». Ces négligences des utilisateurs ou des intégrateurs, alliées au manque de vigilance des opérateurs coûtent «de quelques milliers d’euros à des centaines de milliers d’euros sur les fraudes massives » explique Guy Tétu, délégué général de la FICOME qui vient de prendre l’initiative d’ouvrir le site http.www.sos-piratage.com.
L’humain est certainement le maillon faible de toute protection contre la cybercriminalité. Armé d’une clé USB, ou bien par simple envoi de mail, ou encore en s’épanchant sur un réseau social, il peut sortir toute information de l’entreprise de manière inconsciente ou de façon totalement malveillante. « La principale difficulté quand un salarié est dans l’entreprise est de gérer les preuves, tout en respectant le secret des correspondances » soulève Jean Christophe Dugalleix, expert judiciaire à la cour d’appel de Pau. «Sortir des informations de l’entreprise sans autorisation n’est pas forcément considéré comme un vol au sens pénal, mais la soustraction ou l’usage de telles informations peut tomber sous le coup d’autres incriminations » explique Olivier de Courcel, avocat au cabinet Féral-Schuhl/Sainte-Marie.
D’autre part, comme le soulignent Julien Rambeau, responsable de la sécurité informatique et Joanna Fortaine, juriste Groupe et correspondant informatique et libertés chez Technip, les entreprises vont avoir à se préparer à la notification obligatoire des violations de données à caractère personnel. L’ordonnance 2011-2012 touche pour le moment les opérateurs mais peut potentiellement s’étendre au monde de l’entreprise.
Les réseaux sociaux permettent allégrement d’échanger ces données confidentielles, volées ou sciemment diffusées. « Le buzz sur ces réseaux sociaux peut encenser ou démolir une entreprise, mais l’information est rapidement coulée par une autre. Certes cela influe brièvement sur le cours de bourse, mais trois mois après n’importe quel incident, qui s’en souvient ? » relève Pascal Lointier Président du Clusif. «Lorsqu’une entreprise vient nous voir sur une atteinte à son e-reputation elle est souvent déjà avérée, nous gérons la crise, déterminons d’où vient l’attaque et tachons surtout d’anticiper et préparer toute nouvelle agression » explique Albéric Guigou, co-fondateur de Réputation Squad. Toute la difficulté est d’identifier la menace. Charles Nouyrit, fondateur de Myid.is, propose une parade technologique à l’usurpation d’identité. Savoir à qui on a affaire sur le net est ainsi une gageure relevée avec succès par cette société.
Au regard de tous ces risques, la tâche du responsable sécurité est ardue. « Il peut identifier les informations sensibles, analyser les risques, protéger ses infrastructures et alerter les utilisateurs, mais il est nécessaire qu’il prenne de la hauteur. Il doit réellement mettre en place une gouvernance de la sécurité » explique Laurent Heslault. Et même au-delà, comme le souligne Bénédicte Huot de Luze, Directeur scientifique à l’AMRAE, l’entreprise doit mettre en place une vraie stratégie de la gestion des risques… seule vraie barrière à l’explosion des cyber-risques.
Néanmoins la cybercriminalité ne s’arrête pas à cette partie immergée de l’iceberg. Des arnaques, vieilles comme le monde (des technologies) subsistent grâce ou à travers la négligence des protagonistes. A l’instar du piratage de Pabx (ou d’IPBX) dont les dossiers s’accumulent sur le bureau d’Anne Souvira, commissaire divisionnaire à la BEFTI. «Notre rôle est d’alerter les entreprises, il n’y aurait pas tant de fraudes si tous les acteurs faisaient leur travail avec un réel souci de sécurisation, limitant les vulnérabilités de gestion des matériels» lance-t-elle. Et en effet, Ely de Travieso, dirigeant de Phonesec l’explique « les moyens utilisés exploitent des failles simplissimes comme le paramétrage de renvoi d’appels ou les codes par défaut des canaux d’administrations ». Ces négligences des utilisateurs ou des intégrateurs, alliées au manque de vigilance des opérateurs coûtent «de quelques milliers d’euros à des centaines de milliers d’euros sur les fraudes massives » explique Guy Tétu, délégué général de la FICOME qui vient de prendre l’initiative d’ouvrir le site http.www.sos-piratage.com.
L’humain est certainement le maillon faible de toute protection contre la cybercriminalité. Armé d’une clé USB, ou bien par simple envoi de mail, ou encore en s’épanchant sur un réseau social, il peut sortir toute information de l’entreprise de manière inconsciente ou de façon totalement malveillante. « La principale difficulté quand un salarié est dans l’entreprise est de gérer les preuves, tout en respectant le secret des correspondances » soulève Jean Christophe Dugalleix, expert judiciaire à la cour d’appel de Pau. «Sortir des informations de l’entreprise sans autorisation n’est pas forcément considéré comme un vol au sens pénal, mais la soustraction ou l’usage de telles informations peut tomber sous le coup d’autres incriminations » explique Olivier de Courcel, avocat au cabinet Féral-Schuhl/Sainte-Marie.
D’autre part, comme le soulignent Julien Rambeau, responsable de la sécurité informatique et Joanna Fortaine, juriste Groupe et correspondant informatique et libertés chez Technip, les entreprises vont avoir à se préparer à la notification obligatoire des violations de données à caractère personnel. L’ordonnance 2011-2012 touche pour le moment les opérateurs mais peut potentiellement s’étendre au monde de l’entreprise.
Les réseaux sociaux permettent allégrement d’échanger ces données confidentielles, volées ou sciemment diffusées. « Le buzz sur ces réseaux sociaux peut encenser ou démolir une entreprise, mais l’information est rapidement coulée par une autre. Certes cela influe brièvement sur le cours de bourse, mais trois mois après n’importe quel incident, qui s’en souvient ? » relève Pascal Lointier Président du Clusif. «Lorsqu’une entreprise vient nous voir sur une atteinte à son e-reputation elle est souvent déjà avérée, nous gérons la crise, déterminons d’où vient l’attaque et tachons surtout d’anticiper et préparer toute nouvelle agression » explique Albéric Guigou, co-fondateur de Réputation Squad. Toute la difficulté est d’identifier la menace. Charles Nouyrit, fondateur de Myid.is, propose une parade technologique à l’usurpation d’identité. Savoir à qui on a affaire sur le net est ainsi une gageure relevée avec succès par cette société.
Au regard de tous ces risques, la tâche du responsable sécurité est ardue. « Il peut identifier les informations sensibles, analyser les risques, protéger ses infrastructures et alerter les utilisateurs, mais il est nécessaire qu’il prenne de la hauteur. Il doit réellement mettre en place une gouvernance de la sécurité » explique Laurent Heslault. Et même au-delà, comme le souligne Bénédicte Huot de Luze, Directeur scientifique à l’AMRAE, l’entreprise doit mettre en place une vraie stratégie de la gestion des risques… seule vraie barrière à l’explosion des cyber-risques.
Actu précédente
Actu Suivante
à lire aussi
SUR LES MÊMES THÈMES 
