Cybersécurité:
les risques sont réels
Édition 38

Cybercriminalité

Malgré la multiplication des cyberattaques, de nombreuses entreprises pratiquent la politique de l’autruche. Les faits, tendances et informations ci-dessous ont non seulement pour but de vous sensibiliser aux risques, mais aussi de vous montrer comment vous armer pour les contrer.

L’évolution de la cybersécurité

  • Uniquement centrée sur les catastrophes naturelles
  • Mesures physiques: évacuation, premiers secours, etc.
  • Numéro d’urgence pour une aide externe
  • Architecture informatique: Mainframes

1970

  • Dépendance aux nouvelles technologies
  • Simple ‘reprise sur sinistre’ en réponse aux possibles défaillances du système
  • Développement de logiciels antivirus
  • Gestion de l’identité des utilisateurs et des données d’accès
  • Architecture informatique: client/serveur

1980

  • Introduction de la gestion des risques dans toute l’entreprise
  • Meilleur suivi du cadre réglementaire
  • Accent sur la continuité des opérations en cas d’incident
  • Architecture informatique: internet

1990

  • Progrès en matière de sécurité informatique et de cybersécurité
  • Passage massif aux ressources en ligne
  • Introduction de l’outsourcing dans l’informatique, par exemple via le cloud
  • Lancement de plusieurs appareils connectés
  • Architecture informatique: e-commerce

2000

  • Chocs mondiaux: terrorisme, climat, politique
  • L’entreprise se concentre sur la résilience
  • Introduction de l’internet des objets
  • Amélioration de l’identification, de la gestion et de la protection de l’infrastructure critique
  • Opérations d’espionnage et cyberattaques sponsorisées par des États
  • Architecture informatique: numérique

2010
  1. 11970
  2. 21980
  3. 31990
  4. 42000
  5. 52010

Cinq ans de cyberattaques

12013Le site de réseau social Tumblr est piraté. Plus de 65 millions d’adresses e-mail et de mots de passe sont dérobés. Les informations sont mises en vente sur le Dark Web Lire plus
2Février 2014Mt. Gox, un négociant en monnaie virtuelle bitcoin, se déclare en faillite. Plus de 460 millions de dollars en bitcoins ont été volés sur leurs serveurs.
3Octobre 2014 Le système informatique de la Maison-Blanche est piraté. Des ordinateurs de collaborateurs sont verrouillés pour raisons de sécurité. Selon les rumeurs, il s’agit d’une opération de cyberterrorisme sponsorisée par un État ennemi. La Russie est citée. Lire plus
4Novembre 2014 Mécontent du film ‘The Interview’, une comédie dans laquelle deux journalistes doivent assassiner le président nord-coréen Kim Jong-un, un collectif qui se présente sous le nom de‘Guardians of Peace’ pirate les serveurs de Sony Pictures. D’énormes quantités de données sensibles sont volées et effacées. Principal suspect: la Corée du Nord. Lire plus
5Juin 2015Les dossiers et les données confidentielles de 21,5 millions de personnes sont volés sur le serveur de l’administration américaine. Les observateurs brandissent un doigt accusateur en direction du gouvernement chinois.
6Juillet 2015Les serveurs d’Ashley Madison, un site de relations extraconjugales, sont piratés. Quelque 9,7 gigaoctets de données confidentielles sur les clients sont diffusés un mois plus tard sur le Net. Lire plus
7Février 2016Des braqueurs de banques numériques tentent de voler 951 millions de dollars à la banque centrale du Bangladesh. Ils emportent 101 millions de dollars. Une petite partie du butin n’a pas encore été récupérée. Lire plus
8Septembre 2016Le pirate informatique Ardit Ferizi, mieux connu sous le pseudonyme de Th3Dir3ctorY, est condamné à 20 ans de prison. Il avait été arrêté pour avoir piraté des serveurs aux États-Unis et transmis des informations à des membres de l’État islamique. Lire plus
9Octobre 2016La cyberattaque lancée sur Dyn, un élément central de l’infrastructure internet, paralyse de grandes plateformes et d’importants services en ligne. Les groupements d’activistes informatiques Anonymous et New World Hackers revendiquent l’attentat. Ils utilisent un botnet composé d’innombrables appareils connectés comme des imprimantes, des caméras et même des babyphones. Lees meer
10Mars 2017WikiLeaks publie ‘Vault 7’ rassemblant des milliers de documents sur des opérations d’espionnages et outils de piratage de la CIA. Le monde découvre l’arsenal de piratage de l’État américain: logiciels malveillants, virus, chevaux de Troie, points faibles zero-day, et même la possibilité d’espionner via certains appareils de télévision numérique.
11Mai 2017La plus grande attaque de ransomware (ou rançongiciel) de l’histoire touche plus de 230.000 ordinateurs dans plus de 150 pays. La rumeur se répand qu’il s’agit d’une cyberattaque détournée du gouvernement nord-coréen. Pour une opération d’une telle ampleur, le butin est plutôt maigre: 52 bitcoins d’une valeur d’à peine 100.000 euros. Lire plus
12Juin 2017Petya a l’apparence d’un ransomware mais il s’agit d’un malware développé pour occasionner des dommages économiques maximaux, surtout à l’Ukraine. La Russie est à nouveau montrée du doigt. Les réseaux de grandes entreprises informatiques en souffrent, notamment ceux du géant pharmaceutique Merck aux États-Unis, de l’armateur danois Maersk, mais aussi de la compagnie pétrolière russe Rosneft. En Ukraine, des entreprises énergétiques, les aéroports, les transports en commun et la banque centrale subissent de graves dégâts. Lire plus
13Décembre 2017Yahoo! annonce que le piratage de 2013 était plus grave que prévu. Plus tôt en 2016, Yahoo! avait déjà admis que les informations personnelles d’un milliard de comptes clients avaient été dérobées en 2013. L’entreprise doit cette fois reconnaître que tous les comptes – quelque 3 milliards – sont compromis. Yahoo! a été racheté en juillet par Verizon, pour un prix sensiblement plus bas que prévu. Lire plus

Cyberattaques: la menace prend de l’ampleur

Les cyberattaques ont évolué. Auparavant, une poignée de petits génies pirataient un site pour attirer l’attention. Aujourd’hui, la cybercriminalité est de plus en plus le fait d’entreprises qui cherchent à acquérir un avantage concurrentiel. Elle prend également une dimension internationale, avec des États qui tentent d’obtenir un avantage économique ou politique.

"De Chine proviennent ainsi des cyberattaques ciblées de grande ampleur visant à mettre la main sur des propriétés intellectuelles", illustre Andy Deprez, associé EY Advisory. "L’objectif général de ce type d’attaque est d’améliorer la compétitivité d’entreprises d’États en difficulté. Si la tendance existe depuis longtemps, l’impact de ces attaques s’accroît, surtout à présent que la Chine traverse des troubles économiques. L’État et les entreprises se rapprochent, et la cybercriminalité est souvent sponsorisée par le gouvernement."

La Russie est le deuxième grand acteur sur la scène de la cybercriminalité. Son optique est cependant différente. "Son objectif est essentiellement politico-militaire", poursuit Bernard Ghigny, associé EY Financial Services. "Voyez les élections américaines: les bases de données des Démocrates et des Républicains ont été piratées. La cybercriminalité russe est très bien organisée."

Le gouvernement belge investit lourdement en vue d’accroître la force de frappe de notre cybersécurité. "Le gouvernement veut recruter rapidement une trentaine de spécialistes de cette matière", chiffre Bernard Ghigny. Ce ne sera pas chose facile, car la guerre des talents fait rage sur le marché des pros de la cybersécurité.


‘La cybercriminalité commanditée par des États s’étend comme une traînée de poudre. La Chine vise la propriété intellectuelle, la Russie les informations politiques et militaires.’ — Andy DeprezAndy Deprez, associé EY Advisory

‘La grande tendance est le spear phishing.’ — Andy DeprezAndy Deprez, associé EY Advisory

DDoS et spear phishing

La nature des attaques a elle aussi changé. Autrefois, les plus dangereuses étaient les attaques DDoS, autrement dit le bombardement de systèmes par d’innombrables demandes de connexions. Leur but? Paralyser un système fermé et ainsi causer des dommages. "Se protéger d’une telle attaque est une affaire technique, informatique", indique Andy Deprez.

Aujourd’hui, la grande tendance est au spear phishing. Via des e-mails ou des copies frauduleuses de véritables sites, des collaborateurs sont invités à cliquer sur des liens qui téléchargent des logiciels malveillants, ou à saisir un mot de passe. "Il ne s’agit plus d’e-mails qui vous demandent votre mot de passe dans un anglais approximatif", prévient Andy Deprez. "Les pirates vont très loin dans leurs tentatives de gagner la confiance de la victime."

Lors de telles attaques, le maillon le plus faible est toujours le facteur humain. La protection contre le spear phishing se concentre dès lors sur le comportement et la culture des collaborateurs. "Les outils que nous utilisons sont innovants", prolonge Andy Deprez. "Nous plaçons les collaborateurs dans un contexte réel et mettons à l’épreuve leurs compétences en matière de sécurité. Nous laissons par exemple une série de clés USB infectées près de la machine à café et discutons ensuite de la manière dont ils y ont réagi. Ou nous envoyons nous-même des e-mails suspects pour sonder leur réflexe de sécurité."

Numérique

La prolifération récente d’appareils connectés comporte des risques. À l’ère de l’internet des objets, il ne s’agit plus uniquement de tablettes et smartphones, mais aussi de machines à café, d’imprimantes, de voitures et d’autres appareils connectés au Web.

"Des cyberattaques d’envergure les ont déjà ciblés", confirme Bernard Ghigny. "Les entreprises en sont trop peu conscientes. La cybersécurité est un thème important pour les appareils qui sont aujourd’hui sur la table à dessin. Mais même avec les appareils déjà sur le marché, les entreprises courent un risque réel qui ne disparaîtra pas avant plusieurs années."

Actifs précieux

Cela dit, les défenses évoluent rapidement elles aussi. Si, dans le temps, la cybersécurité était centrée sur le concept du périmètre, "l’idée de créer une zone sûre avec un pare-feu est peu à peu abandonnée, dorénavant", précise Andy Deprez.

La tendance est donc à la protection optimale des actifs les plus précieux de l’entreprise. Il s’agit d’une sécurité basée sur le risque: les budgets sont affectés là où la menace est la plus élevée. "Cela ne relève plus uniquement de l’informatique", complète Andy Deprez. "L’identification et la protection contre les risques exigent l’implication de toutes les branches de l’entreprise."


‘Les machines à café, imprimantes, voitures et autres appareils reliés à l’internet constituent un réel danger.’ — Bernard GhignyBernard Ghigny, associé EY Financial Services

Top 5 des secteurs à risque


1 Organismes financiers


2 Informatique et télécommunications


3 Industrie manufacturière


4 Commerce de détail (retail)


5 Soins de santé

Source: IBM X-Force Cyber Security Intelligence Index

Secteurs à risques

Selon l’IBM X-Force Cyber Security Intelligence Index, le nombre de points de données compromis est passé de 600 millions en 2015 à plus de 4 milliards en 2016. Alors que les soins de santé étaient encore la principale cible des cyberattaques en 2016, c’est le secteur financier qui arrive en première position en 2017.

Cybercriminalité dans le secteur financier

Le secteur financier représente la cible préférée des cybercriminels. C’est en effet dans ce secteur qu’ils peuvent mettre la main sur les butins les plus importants. L’attaque numérique menée contre la banque centrale du Bangladesh l’a confirmé: par l’intermédiaire de collaborateurs agissant à leur insu, des pirates ont donné ordre de transférer 951 millions de dollars sur des comptes étrangers.

Log

Historiquement, les assaillants ne s’intéressaient pas à l’infrastructure informatique rigide, car la plateforme informatique était considérée comme une citadelle imprenable. "Cependant, la révolution numérique a modifié en profondeur les attentes des clients", avance Bernard Ghigny, associé EY Financial Services.

Ce secteur traditionnellement conservateur se renouvelle radicalement. Problème: ces plateformes monolithiques n’ont pas été conçues pour supporter des changements rapides. "Les applications innovantes exigent que les données sensibles et les transactions financières soient disponibles beaucoup plus aisément et rapidement, pour davantage d’utilisateurs et via de multiples canaux", énumère Bernard Ghigny. "Souvent, l’équipe informatique interne ne peut répondre suffisamment vite à toutes les demandes. C’est pourquoi le développement est souvent externalisé."

Avec un résultat désolant: les services informatiques centraux savent de moins en moins ce qu’il advient précisément de telles ou telles données, où elles sont stockées, qui y a accès et par quel canal. Fréquemment, les sirènes de l’innovation sont si puissantes qu’il faut réaliser un compromis entre sécurité optimale et satisfaction des clients.

Menaces

Les menaces sont très diverses. Des clients peuvent transmettre leur code de sécurité par e-mail ou par téléphone à des pirates; des collaborateurs risquent d’ouvrir des e-mails de phishing et d’introduire des logiciels malveillants dans le système. Épinglons également les attaques DDoS, la fraude à la carte de crédit et les cyberattaques sophistiquées – souvent à l’initiative de puissances étrangères.

Protection

"Les organismes financiers doivent comprendre qu’une sécurité à 100% n’existe pas", reprend Dieter Vandenbroeck, Manager EMEIA Financial Services - Information Security chez EY. Il convient, à ses yeux, d’envisager la cybersécurité sous l’angle de la gestion des risques, non comme une affaire purement informatique: "Il faut savoir quels risques on court, à quelle fréquence ils se présentent, quels dégâts ils peuvent entraîner et combien coûte la couverture de ces risques."

L’étape suivante consiste, à partir de la stratégie générale de l’entreprise, à déterminer quels risques couvrir en priorité. "Naturellement, le département informatique doit suivre", continue Dieter Vandenbroeck. "S’il existe de grosses fuites à ce niveau, stratégie et gestion des risques perdent toute utilité."

Ceci étant, le principal défi en matière de sécurité est sans doute culturel: "Le maillon le plus faible reste l’utilisateur", souligne Dieter Vandenbroeck. "Tant l’utilisateur final que le personnel et les tierces parties doivent être suffisamment formés pour résister à des cyberattaques."

Les organes de régulation ne baissent pas les bras. L’Union européenne, la Banque centrale européenne, l’organisation sectorielle Febelfin et le gouvernement belge multiplient les directives. "Tout cela fait peser une pression énorme sur les épaules de nos organismes financiers", note Dieter Vandenbroeck. "Heureusement, les directions sont de plus en plus impliquées et se disent prêtes à libérer davantage de moyens. La dernière étape voudrait qu’elles n’aient plus besoin du support des organes de régulation pour investir elle-même de manière proactive dans la cybersécurité."

Contact

Andy Deprez
associé EY Advisory

 

Bernard Ghigny
associé EY Financial Services

 
Lire plus