Anne SOUVIRA

Commissaire divisionnaire, chef de la brigade d'enquête sur les fraudes aux technologies de l'information (Befti).

Cybercriminalité : les entreprises doivent se défendre

Qu'elle soit grande ou petite, l'entreprise ne peut ignorer les risques d'attaques cybercriminelles dont les conséquences peuvent être lourdes. Elle doit s'en prémunir, notamment en mettant en place des sessions de formation de ses salariés à la sécurité informatique.

La cybercriminalité contre l'entreprise est un concept vaste. Comment le définissez-vous ?

Anne Souvira. Ce n'est pas un concept si vaste ! Il recouvre deux types d'infractions bien identifiées : d'une part, le piratage ou le sabotage de réseaux et de systèmes informatiques avec les données qu'ils contiennent, et, d'autre part, l'utilisation frauduleuse des nouvelles techniques d'information et de communication pour commettre des infractions classiques telles les escroqueries. Il s'agit donc essentiellement d'infractions à la loi Godfrain du 5 janvier 1988 relative à la fraude informatique et à la loi Informatique et libertés du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

Pouvez-vous nous donner des exemples récents de fraudes informatiques ayant touché des entreprises ?

Les données personnelles sont devenues une sorte d'« or noir » du XXIe siècle. Leur appropriation par des escrocs, c'est du big business qui permet à ces individus de réaliser des économies et de développer un chiffre d'affaires à partir des bases extorquées. L'exemple de l'attaque des bases d'Orange est sans doute l'un des derniers en date, ce n'est évidemment pas le seul. Des criminels n'hésitent pas à détruire des réseaux pour récupérer des clients !
Les intrusions menées pour collecter des données à caractère personnel par des extractions de bases de données clients ou par contrefaçon de fichiers se multiplient, les entreprises doivent en avoir conscience. En 2011, on a enregistré en région parisienne (Paris et petite couronne) 48 plaintes complexes pour collecte frauduleuse de données personnelles. En 2013, ce chiffre est passé à 86. Les attaques de bases ou leur contrefaçon sont également en hausse. Si les entreprises sont plus nombreuses à déclarer les fraudes, toutes ne le font pas encore, et il existe un véritable chiffre noir 1 qui empêche de bien prendre en compte le phénomène.

Pourquoi ?

Les entreprises et les collectivités locales ne perçoivent pas assez la gravité des conséquences de ces infractions. Or, elles sont responsables des données personnelles qu'elles détiennent, dans leurs fichiers de RH, dans leurs bases de clients et de prospects ou encore dans les données de géolocalisation de leur personnel, etc. Depuis la loi Informatique et libertés, elles peuvent être mises en cause si elles ne les protègent pas au mieux à l'état de l'art. Pour un défaut de protection des données personnelles, l'entreprise personne morale risque jusqu'à cinq fois 300 000 euros d'amendes, et son dirigeant principal cinq ans d'emprisonnement et 300 000 euros d'amende ! Quant aux opérateurs de données électroniques, l'ordonnance du 24 août 2011 les oblige à déclarer les attaques et compromissions de données dont ils sont victimes.

Cela ressemble à une double peine : l'entreprise victime peut être condamnée...

Le droit français est parfois très bien fait. Il faut que le chef d'entreprise prenne conscience de ses responsabilités (protection des données personnelles dont il a la garde, protection du secret des affaires ou de fabrication) et des risques encourus : indisponibilité d'un réseau, destruction d'une base de données, perte de clientèle, présence de messages malveillants sur les sites, etc. Au-delà du préjudice commercial et de la perte de chiffre d'affaires et d'emplois pour l'entreprise, il y a aussi les coûts de remise en état des réseaux ou de reconstitution des fichiers...
Il faut donc que le chef d'entreprise et tous ses collaborateurs soient vigilants dans leur comportement d'usage de l'outil informatique qui est mis à leur disposition, à un moment où les sphères privées et professionnelles se rejoignent puisque les salariés ont souvent des utilisations personnelles de leurs outils professionnels et exposent parfois leur entreprise à des risques inconsidérés et qui se propagent.
Il est donc très important que l'entreprise ait une charte informatique, au même titre qu'elle doit avoir un règlement intérieur clair ou un CHSCT. Il est tout aussi essentiel que son responsable des systèmes informatiques ou son technicien informatique soient vigilants et veillent à la définition de process sécurisés et à une politique de sécurité informatique de l'entreprise couvrant le réseau autant que les systèmes de paiement et allant jusqu'au standard téléphonique, puisque les piratages d'autocommutateurs téléphoniques deviennent monnaie courante.
Enfin, il faut que soit mis en place un vrai programme de formation du personnel à la sécurité informatique. Sans formation, on n'arrivera pas à sécuriser les données que détient l'entreprise. C'est pour cela que j'essaie actuellement de sensibiliser les Chambres de commerce et d'industrie à la nécessaire mise en place de sessions de formation sur ce thème. Nous ne sommes pas dans un monde de Bisounours, et les entreprises ne peuvent plus plaider l'ignorance, le manque de temps ou la naïveté. Il faut que les entreprises, les instances consulaires, les organisations professionnelles s'emparent du dossier de la protection des données personnelles.

Les infractions sont-elles d'origine interne ou externe ?

Les deux cohabitent et portent aussi bien sur du sabotage que sur de l'espionnage. Les salariés prennent fréquemment, par méconnaissance, des risques importants. On ne mettra jamais assez en garde contre les infections virales liées à des clés USB ou à des téléphones personnels ! Ou encore contre le lien cliquable dans un mail d'inconnus ou l'ouverture d'une pièce jointe qui vous intrigue.

L'action n'est-elle pas difficile pour les PME ?

Si l'entreprise n'a pas les moyens informatiques internes, elle peut signer un contrat de maintenance avec des prestataires spécialisés et reconnus sur la place, qui l'assureront sur les conditions de récupération des données en cas de crise, la sauvegarde quotidienne des journaux de connexions, un plan de continuité de l'activité, une charte informatique. Il faut bien comprendre que la TPE-PME court les mêmes risques que de plus grandes entreprises. Elle doit donc s'en prémunir tout autant.

Quels sont les moyens et les missions de votre brigade d'enquête ?

La Befti est une des sept brigades spécialisées de la sous-direction des affaires économiques et financières de la direction régionale de la police judiciaire de la préfecture de police de Paris. Elle compte une trentaine de fonctionnaires dont douze investigateurs en cybercriminalité. Elle intervient en région parisienne (Paris, Hauts-de-Seine, Seine-Saint-Denis et Val-de-Marne) et est chargée de l'assistance technique aux services de la préfecture de police, de l'enquête en environnement informatique, et de la sensibilisation et de la formation des acteurs publics ou privés. Concrètement, cela veut dire que nous traitons environ 450 affaires par an de piratage informatique des réseaux, des systèmes et des données à caractère personnel ou non.

Et dans le reste de la France ?

Comme je viens de le dire, la Befti a un champ d'action régional, mais elle peut se projeter en extension de compétence sur tout le territoire national. Dans les autres villes, c'est la police judiciaire locale qui traite de ces questions de criminalité informatique, ou la gendarmerie nationale dans sa zone de compétence. Mais les savoir-faire sont à développer.

En cas d'atteinte des systèmes, quelle est la procédure à suivre ?

C'est à l'entreprise de décider si elle veut aller sur le terrain du judiciaire ou non. En droit, la plainte n'est pas nécessaire à l'action de la police. Des faits dénoncés et documentés permettent d'ouvrir une enquête. Il faut que les entreprises sachent que leurs agresseurs encourent des peines fortes qui pourraient être accrues avec la transposition en droit français, d'ici à 2015, de la directive européenne du 12 août 2013 relative aux attaques contre les systèmes d'information.
Le problème de la sauvegarde des traces techniques est crucial. Les traces de connexions au système d'information doivent être sauvegardées régulièrement et fournies pour analyse très rapidement, car les recherches entreprises par la suite dépendent de la rapidité de la réaction. En effet, les fournisseurs d'accès ne gardent pas les données longtemps et les délais entre les pays sont très disparates. Or, l'enquête se mène souvent à l'étranger et c'est une lutte contre le temps.
Il faut connaître le service de police judiciaire de son siège social afin de pouvoir prendre contact avec lui très vite. Il s'agit d'une enquête en collaboration avec l'entreprise et en toute discrétion. Le recours à un huissier de justice est toujours possible mais cela peut faire perdre du temps, et le recueil de la preuve sera moins aisé et aura un coût que toutes les TPE-PME ne peuvent pas payer.

http://www.constructif.fr/bibliotheque/2014-7/cybercriminalite-les-entreprises-doivent-se-defendre.html?item_id=3424
© Constructif
Imprimer Envoyer par mail Réagir à l'article