Cyberattaque : quels sont vos moyens de défense ?

En 2023, dans son rapport d’activité annuel, le dispositif cybermalveillance.gouv.fr a identifié les menaces auxquelles les entreprises ont été le plus confrontées. Parmi ces menaces figurent, en bonne place, le piratage de compte (23,5 % des attaques), l’hameçonnage (21,2 % des attaques) et le rançongiciel (16,6 % des attaques).

Quant aux menaces qui ont le plus augmenté sur cette même année 2023 figurent, notamment, la défiguration du site Internet (+ 61 %) et le déni de service (+ 41 %) qui visent à altérer ou à rendre inaccessible un site internet ou un serveur en exploitant une faille de sécurité.

Autant d’alertes qui méritent que l’on s’attarde sur les différents moyens d’action et de prévention qui s’offrent aujourd’hui aux entreprises pour, sinon pallier ces menaces, du moins rendre difficile l’action des auteurs de ces cyberattaques.

Cyberattaques : de quoi parle-t-on ?

Les cyberattaques prennent souvent la forme d’un piratage informatique qui consiste, pour son auteur, à prendre le contrôle d’un outil informatique ou d’un système d’information (qui ont pour fonction de collecter, de stocker, de traiter et/ou de diffuser des informations) au détriment et à l’insu de son auteur, le tout en vue d’obtenir frauduleusement des informations ou pour rançonner son propriétaire légitime.

Le piratage informatique peut, donc, prendre la forme d’un contrôle d’un outil informatique, c’est-à-dire d’un équipement type ordinateur, serveur informatique, tablette, smartphone, réseau informatique, routeurs, etc., ou d’un contrôle d’un compte en ligne, que ce soit une messagerie, un site web, un réseau social, etc.

Différents moyens d’intrusion sont utilisés par les pirates informatiques pour prendre le contrôle d’un outil informatique. Cela peut prendre la forme :

• de l’exploitation d’une faille de sécurité ou de la mauvaise configuration d’un logiciel ;
• d’une infection par un logiciel malveillant ;
• du piratage des mots de passe qui pourrait être trop simple à déchiffrer ;
• d’un appel ou d’un e-mail malveillant, destiné à récupérer des données de connexion, en recourant à la technique de l’hameçonnage ou « phishing » ;
• etc.

Les sanctions encourues par les cybercriminels diffèrent selon les infractions qui peuvent être retenues contre eux. Parmi ces infractions, citons :

• le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de 3 ans d’emprisonnement et de 100 000 € d’amende ; lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de 5 ans d’emprisonnement et de 150 000 € d’amende ;
• le fait d’entraver ou de fausser le fonctionnement d’un système de traitement automatisé de données est puni de 5 ans d’emprisonnement et de 150 000 € d’amende ;
• le fait d’introduire frauduleusement des données dans un système de traitement automatisé, d’extraire, de détenir, de reproduire, de transmettre, de supprimer ou de modifier frauduleusement les données qu’il contient est puni de 5 ans d’emprisonnement et de 150 000 € d’amende ;
• lorsque ces infractions ont été commises en bande organisée, la peine est portée à 10 ans d’emprisonnement et à 300 000 € d’amende.

Des peines complémentaires peuvent, en outre, être encourues, du type interdiction, pour une durée de cinq ans au plus, des droits civiques, civils et de famille, d’exercer une fonction publique ou d’exercer l’activité professionnelle ou sociale, confiscation de matériels, etc.

Il faut aussi noter que :

• la collecte frauduleuse de données à caractère personnel est punie de 5 ans d’emprisonnement et de 300 000 € d’amende ;
• le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende ;
• l’atteinte au secret des correspondances est punie d’une peine d’emprisonnement d’un an et de 45 000 € d’amende.

Le piratage d’un système d’information : que pouvez-vous faire ?

Le piratage d’un système informatique d’une entreprise va consister, pour le pirate, à prendre le contrôle, à l’insu de l’entreprise, des données qui y sont stockées en vue d’en faire un usage frauduleux (revente de données, demande de rançon, espionnage industriel, etc.).

Cette intrusion, qui peut résulter d’une simple négligence interne ou résulter d’une faille de sécurité, pourra se faire via l’installation d’un logiciel malveillant (un virus informatique) ou du vol de données de connexion à la suite d’un e-mail ou d’un appel frauduleux (technique du phishing).

1. Les moyens d’actions

Face à une cyberattaque de ce type, l’entreprise doit mettre en œuvre plusieurs moyens d’actions.
Le premier réflexe qui s’impose est de déposer plainte en joignant au dépôt de plainte l’ensemble des éléments de preuve qui pourront être récoltés, soit en interne, soit en externe auprès des différents prestataires informatiques de l’entreprise.

Ce dépôt de plainte, accompagné de tous ces éléments de preuve, sera nécessaire dans l’hypothèse où l’entreprise envisage de mettre en œuvre un éventuel contrat d’assurance qui aurait été souscrit contre les risques cyber.

Dans l’hypothèse où des vols de données auraient été commis, le règlement général sur la protection des données (RGPD) impose de notifier à la CNIL les violations de données à caractère personnel, et ce, dans les 72 heures de la constatation du vol de données.

Cette notification doit être documentée avec les informations suivantes :

• la nature de la violation,
• le nombre de personnes potentiellement concernées par le vol de données ;
• les conséquences probables de cette violation de données et les mesures envisagées pour els atténuer ;
• les mesures prises ou envisagées par l’entreprise pour éviter que l’évènement ne se reproduise.

Dans le même temps, il est recommandé :

• d’identifier la source de l’intrusion ;
• d’évaluer l’étendue de l’intrusion et de mettre en quarantaine les équipements concernés, pour éviter autant que faire se peut toute propagation de la cyberattaque ;
• en lien avec le service informatique de l’entreprise ou du prestataire chargé de cette maintenance, de réaliser une analyse complète du système, de changer les mots de passe, de mettre à jour les logiciels, etc.

2. Les moyens de prévention

La prévention consiste principalement à mettre en place des outils de cybersécurité qui vont permettre à un système d’information de résister à des évènements susceptibles de compromettre sa sécurité, sa disponibilité, son intégrité ou la confidentialité des données qu’il renferme.

Plusieurs moyens de prévention peuvent être mis en place pour, sinon empêcher, du moins retarder l’action de cybercriminels, et notamment :

• identifier toute activité qui pourrait apparaître comme inhabituelle ;
• sensibiliser les collaborateurs de l’entreprise aux risques cyber et nommer un référent numérique au sein de l’entreprise ;
• mettre à jour régulièrement les mots de passe et recourir aux techniques de double authentification ;
• sécuriser les accès aux différents systèmes d’information de l’entreprise et sauvegardez régulièrement les données sur plusieurs supports différents ;
• mettre à jour régulièrement les logiciels antivirus ;
• contractualiser une assurance spécifique auprès d’une compagnie adaptée à ce type de risques ;
• mettre en place des procédures visant d’une partie à s’exercer en cas de cyberattaque et à travailler en mode d’égaré en cas d’attaque avérée.

Le piratage d’un compte en ligne : que pouvez-vous faire ?

Le piratage d’un compte vise la prise de contrôle à l’insu de son propriétaire d’une messagerie, d’un réseau social, d’un site web en vue d’en faire un usage illicite, de recueillir frauduleusement des données, d’usurper une identité ou encore d’obtenir une rançon.

Bien souvent, cette cyberattaque est la résultante de la technique du phishing qui consiste, au moyen d’un e-mail frauduleux, à leurrer son destinataire pour l’inciter à communiquer des données personnelles, professionnelles, bancaires, etc. en se faisant passer pour un tiers de confiance.

1. Les moyens d’actions

Comme dans le cas d’un piratage d’un système d’information, il est nécessaire de déposer plainte et de contacter son assurance. De la même manière, dans l’hypothèse de vols de données à caractère personnel, il faut notifier cette attaque à la CNIL dans les 72 heures.

Dans le même temps, il est là encore recommandé :

• d’identifier la source de l’intrusion ;
• de changer les mots de passe associés aux comptes e-mails et aux numéros de téléphones impactés ;
• de prévenir les contacts de l’attaque frauduleuse ;
• toujours en lien avec le service informatique de l’entreprise ou du prestataire chargé de cette maintenance, d’évaluer l’étendue de l’intrusion, etc.

2. Les moyens de prévention

En plus des différents moyens de prévention évoqués précédemment, il est aussi recommandé dans ce cas de figure de :

• sécuriser les moyens de communication en activant les méthodes de double authentification ;
• sécuriser les supports de stockage amovibles ;
• savoir identifier les messages suspects, en analysant notamment la cohérence des adresses e-mails d’envoi ou de l’URL du site web visité, et ne pas ouvrir les pièces jointes ou les liens suspects ;
• appliquer les mises à jour régulières de sécurité des services de messageries utilisés dans l’entreprise ;
• éviter les connexions sur les réseaux Wi-Fi publics ;
• se déconnecter régulièrement des comptes après utilisation, etc.

Date de rédaction : 19/07/2024

Sources :

• Article 33 du règlement général sur la protection des données (notification à la CNIL des violations de données à caractère personnel)
• Article 323-1 à 323-8 du code pénal (atteintes aux systèmes de traitement automatisé de données)
• Article 226-18 du code pénal (collecte frauduleuse des données à caractère personnel)
• Article 226-4-1 du code pénal (usurpation d’identité)
• Article 226-15 du code pénal (atteinte au secret des correspondances).