Cybercriminalité
Malgré la multiplication des cyberattaques, de nombreuses entreprises pratiquent la politique de l’autruche. Les faits, tendances et informations ci-dessous ont non seulement pour but de vous sensibiliser aux risques, mais aussi de vous montrer comment vous armer pour les contrer.
L’évolution de la cybersécurité
- Uniquement centrée sur les catastrophes naturelles
- Mesures physiques: évacuation, premiers secours, etc.
- Numéro d’urgence pour une aide externe
- Architecture informatique: Mainframes
- Dépendance aux nouvelles technologies
- Simple ‘reprise sur sinistre’ en réponse aux possibles défaillances du système
- Développement de logiciels antivirus
- Gestion de l’identité des utilisateurs et des données d’accès
- Architecture informatique: client/serveur
- Introduction de la gestion des risques dans toute l’entreprise
- Meilleur suivi du cadre réglementaire
- Accent sur la continuité des opérations en cas d’incident
- Architecture informatique: internet
- Progrès en matière de sécurité informatique et de cybersécurité
- Passage massif aux ressources en ligne
- Introduction de l’outsourcing dans l’informatique, par exemple via le cloud
- Lancement de plusieurs appareils connectés
- Architecture informatique: e-commerce
- Chocs mondiaux: terrorisme, climat, politique
- L’entreprise se concentre sur la résilience
- Introduction de l’internet des objets
- Amélioration de l’identification, de la gestion et de la protection de l’infrastructure critique
- Opérations d’espionnage et cyberattaques sponsorisées par des États
- Architecture informatique: numérique
Cinq ans de cyberattaques
Cyberattaques: la menace prend de l’ampleur
Les cyberattaques ont évolué. Auparavant, une poignée de petits génies pirataient un site pour attirer l’attention. Aujourd’hui, la cybercriminalité est de plus en plus le fait d’entreprises qui cherchent à acquérir un avantage concurrentiel. Elle prend également une dimension internationale, avec des États qui tentent d’obtenir un avantage économique ou politique.
"De Chine proviennent ainsi des cyberattaques ciblées de grande ampleur visant à mettre la main sur des propriétés intellectuelles", illustre Andy Deprez, associé EY Advisory. "L’objectif général de ce type d’attaque est d’améliorer la compétitivité d’entreprises d’États en difficulté. Si la tendance existe depuis longtemps, l’impact de ces attaques s’accroît, surtout à présent que la Chine traverse des troubles économiques. L’État et les entreprises se rapprochent, et la cybercriminalité est souvent sponsorisée par le gouvernement."
La Russie est le deuxième grand acteur sur la scène de la cybercriminalité. Son optique est cependant différente. "Son objectif est essentiellement politico-militaire", poursuit Bernard Ghigny, associé EY Financial Services. "Voyez les élections américaines: les bases de données des Démocrates et des Républicains ont été piratées. La cybercriminalité russe est très bien organisée."
Le gouvernement belge investit lourdement en vue d’accroître la force de frappe de notre cybersécurité. "Le gouvernement veut recruter rapidement une trentaine de spécialistes de cette matière", chiffre Bernard Ghigny. Ce ne sera pas chose facile, car la guerre des talents fait rage sur le marché des pros de la cybersécurité.
‘La cybercriminalité commanditée par des États s’étend comme une traînée de poudre. La Chine vise la propriété intellectuelle, la Russie les informations politiques et militaires.’ — Andy DeprezAndy Deprez, associé EY Advisory
‘La grande tendance est le spear phishing.’ — Andy DeprezAndy Deprez, associé EY Advisory
DDoS et spear phishing
La nature des attaques a elle aussi changé. Autrefois, les plus dangereuses étaient les attaques DDoS, autrement dit le bombardement de systèmes par d’innombrables demandes de connexions. Leur but? Paralyser un système fermé et ainsi causer des dommages. "Se protéger d’une telle attaque est une affaire technique, informatique", indique Andy Deprez.
Aujourd’hui, la grande tendance est au spear phishing. Via des e-mails ou des copies frauduleuses de véritables sites, des collaborateurs sont invités à cliquer sur des liens qui téléchargent des logiciels malveillants, ou à saisir un mot de passe. "Il ne s’agit plus d’e-mails qui vous demandent votre mot de passe dans un anglais approximatif", prévient Andy Deprez. "Les pirates vont très loin dans leurs tentatives de gagner la confiance de la victime."
Lors de telles attaques, le maillon le plus faible est toujours le facteur humain. La protection contre le spear phishing se concentre dès lors sur le comportement et la culture des collaborateurs. "Les outils que nous utilisons sont innovants", prolonge Andy Deprez. "Nous plaçons les collaborateurs dans un contexte réel et mettons à l’épreuve leurs compétences en matière de sécurité. Nous laissons par exemple une série de clés USB infectées près de la machine à café et discutons ensuite de la manière dont ils y ont réagi. Ou nous envoyons nous-même des e-mails suspects pour sonder leur réflexe de sécurité."
Numérique
La prolifération récente d’appareils connectés comporte des risques. À l’ère de l’internet des objets, il ne s’agit plus uniquement de tablettes et smartphones, mais aussi de machines à café, d’imprimantes, de voitures et d’autres appareils connectés au Web.
"Des cyberattaques d’envergure les ont déjà ciblés", confirme Bernard Ghigny. "Les entreprises en sont trop peu conscientes. La cybersécurité est un thème important pour les appareils qui sont aujourd’hui sur la table à dessin. Mais même avec les appareils déjà sur le marché, les entreprises courent un risque réel qui ne disparaîtra pas avant plusieurs années."
Actifs précieux
Cela dit, les défenses évoluent rapidement elles aussi. Si, dans le temps, la cybersécurité était centrée sur le concept du périmètre, "l’idée de créer une zone sûre avec un pare-feu est peu à peu abandonnée, dorénavant", précise Andy Deprez.
La tendance est donc à la protection optimale des actifs les plus précieux de l’entreprise. Il s’agit d’une sécurité basée sur le risque: les budgets sont affectés là où la menace est la plus élevée. "Cela ne relève plus uniquement de l’informatique", complète Andy Deprez. "L’identification et la protection contre les risques exigent l’implication de toutes les branches de l’entreprise."
‘Les machines à café, imprimantes, voitures et autres appareils reliés à l’internet constituent un réel danger.’ — Bernard GhignyBernard Ghigny, associé EY Financial Services
Top 5 des secteurs à risque
1 Organismes financiers
2 Informatique et télécommunications
3 Industrie manufacturière
4 Commerce de détail (retail)
5 Soins de santé
Secteurs à risques
Selon l’IBM X-Force Cyber Security Intelligence Index, le nombre de points de données compromis est passé de 600 millions en 2015 à plus de 4 milliards en 2016. Alors que les soins de santé étaient encore la principale cible des cyberattaques en 2016, c’est le secteur financier qui arrive en première position en 2017.
Cybercriminalité dans le secteur financier
Le secteur financier représente la cible préférée des cybercriminels. C’est en effet dans ce secteur qu’ils peuvent mettre la main sur les butins les plus importants. L’attaque numérique menée contre la banque centrale du Bangladesh l’a confirmé: par l’intermédiaire de collaborateurs agissant à leur insu, des pirates ont donné ordre de transférer 951 millions de dollars sur des comptes étrangers.
Log
Historiquement, les assaillants ne s’intéressaient pas à l’infrastructure informatique rigide, car la plateforme informatique était considérée comme une citadelle imprenable. "Cependant, la révolution numérique a modifié en profondeur les attentes des clients", avance Bernard Ghigny, associé EY Financial Services.
Ce secteur traditionnellement conservateur se renouvelle radicalement. Problème: ces plateformes monolithiques n’ont pas été conçues pour supporter des changements rapides. "Les applications innovantes exigent que les données sensibles et les transactions financières soient disponibles beaucoup plus aisément et rapidement, pour davantage d’utilisateurs et via de multiples canaux", énumère Bernard Ghigny. "Souvent, l’équipe informatique interne ne peut répondre suffisamment vite à toutes les demandes. C’est pourquoi le développement est souvent externalisé."
Avec un résultat désolant: les services informatiques centraux savent de moins en moins ce qu’il advient précisément de telles ou telles données, où elles sont stockées, qui y a accès et par quel canal. Fréquemment, les sirènes de l’innovation sont si puissantes qu’il faut réaliser un compromis entre sécurité optimale et satisfaction des clients.
Menaces
Les menaces sont très diverses. Des clients peuvent transmettre leur code de sécurité par e-mail ou par téléphone à des pirates; des collaborateurs risquent d’ouvrir des e-mails de phishing et d’introduire des logiciels malveillants dans le système. Épinglons également les attaques DDoS, la fraude à la carte de crédit et les cyberattaques sophistiquées – souvent à l’initiative de puissances étrangères.
Protection
"Les organismes financiers doivent comprendre qu’une sécurité à 100% n’existe pas", reprend Dieter Vandenbroeck, Manager EMEIA Financial Services - Information Security chez EY. Il convient, à ses yeux, d’envisager la cybersécurité sous l’angle de la gestion des risques, non comme une affaire purement informatique: "Il faut savoir quels risques on court, à quelle fréquence ils se présentent, quels dégâts ils peuvent entraîner et combien coûte la couverture de ces risques."
L’étape suivante consiste, à partir de la stratégie générale de l’entreprise, à déterminer quels risques couvrir en priorité. "Naturellement, le département informatique doit suivre", continue Dieter Vandenbroeck. "S’il existe de grosses fuites à ce niveau, stratégie et gestion des risques perdent toute utilité."
Ceci étant, le principal défi en matière de sécurité est sans doute culturel: "Le maillon le plus faible reste l’utilisateur", souligne Dieter Vandenbroeck. "Tant l’utilisateur final que le personnel et les tierces parties doivent être suffisamment formés pour résister à des cyberattaques."
Les organes de régulation ne baissent pas les bras. L’Union européenne, la Banque centrale européenne, l’organisation sectorielle Febelfin et le gouvernement belge multiplient les directives. "Tout cela fait peser une pression énorme sur les épaules de nos organismes financiers", note Dieter Vandenbroeck. "Heureusement, les directions sont de plus en plus impliquées et se disent prêtes à libérer davantage de moyens. La dernière étape voudrait qu’elles n’aient plus besoin du support des organes de régulation pour investir elle-même de manière proactive dans la cybersécurité."