Les attaques informatiques visant des entreprises et organisations n’ont jamais été aussi nombreuses que ces derniers mois. Ces actes malveillants touchent tous les secteurs d’activités, sous de multiples formes. Pourtant, malgré des campagnes d’informations importantes, trop peu de PME et de TPE à notre échelle régionale adoptent les bons comportements pour se protéger contre la cybercriminalité. Manque d’intérêt ? Méconnaissances techniques ? Toujours est-il que la sécurité informatique doit devenir un axe prioritaire de réflexion pour tous dirigeants, et ce, quelque soit l’échelle de sa société.
Dés lors, comment se protéger de ces attaques ? Quels sont les gestes qui sauvent ? Rencontre avec Pascal Aznar, adjudant-chef de la brigade de Gendarmerie du Tarn, enquêteur et spécialiste en nouvelles technologies numériques.
Pourriez-vous dresser un état des lieux des actes de cybercriminalité actuels et des tendances émergentes ?
Un des principaux actes de malveillance concerne l’ingénierie sociale. L’ingénierie sociale, c’est de la collecte d’informations sur l’entreprise. Le principe est d’exploiter les failles humaines, c’est-à-dire les salariés, de manière à créer une porte d’entrée sur l’entreprise. Le but principal est de développer un lien de confiance avec un membre de la société. La stratégie est bien rodée. Les escrocs regardent en premier lieu toutes les informations qu’ils peuvent récolter sur Internet : solvabilité, nombre de salariés, photos, etc. Une fois qu’ils ont établi une structure, ils vont contacter la société par téléphone en ciblant principalement le chargé d’accueil. Forts des informations déjà récoltées, ils vont peu à peu amadouer l’interlocuteur afin de le faire parler et d’enregistrer de nouvelles informations : planning du directeur, nom des personnes décisionnaires… La finalité de cette opération est de récupérer un mail d’entreprise, voir le mail du patron ou celui de la comptable. Une fois la structure du mail acquise (nom de domaine / identifiant), les escrocs frappent.
Les informations récoltées grâce à l’ingénierie sociale permettent aux malfaiteurs de réaliser des faux ordres de virement. Ce sont toujours des groupes organisés, souvent à l’étranger, avec une ou plusieurs « mules » en France. En ce moment, ces faux ordres de virement arrivent de Chine. Les flux d’argents transitent généralement par la Hongrie et la Pologne. Dans le département, ces faux ordres de virement vont de 200.000 à 800.000€. C’est une technique sophistiquée car il faut avoir des connaissances informatique et du langage du droit des affaires.
Autre forte tendance 2015: les ransomwares. Ce sont des fichiers malveillants qui vont crypter un logiciel, une suite comptable, des données informatiques, etc. Les escrocs vont ensuite demander une rançon afin de décrypter ces mêmes données. Il ne faut jamais payer car c’est une forme de rançon. En effet, si avec chance les malfaiteurs envoient une clé de cryptage pour solutionner une partie du problème, ils peuvent pendant ce temps re-crypter d’autres données. C’est un engrenage qui n’en finit jamais. Les rançons ne sont pas très élevées, environ 500/600 euros pour une quantité déterminée de fichiers, d’où l’intérêt de procéder à plusieurs cryptages pour rendre l’activité lucrative.
Autre tendance plus minime : le vol de données. Via l’ingénierie sociale, les escrocs vont tenter de voler le fichier clientèle d’une société pour récupérer ses données. On ne veut plus cibler l’entreprise à l’instant T mais sur du moyen terme soit 4 à 5 ans. Les méfaits ont généralement lieu la nuit car il y a peu de superviseurs pour les détections d’intrusions la nuit dans le Tarn. Ce vol de données va être noyé dans les mises à jour effectuées et c’est bien souvent trop tard que l’on se rend compte du vol, si on s’en rend compte.
En cas d’attaques informatiques, quel est le comportement à adopter ?
Quand nous rentrons dans une société attaquée, c’est une scène de crime. Il faut donc isoler le PC ou le serveur qui a été compromis. Il faut isoler le réseau et ne pas couper le PC. On gèle la machine. L’employé qui a décelé l’attaque doit en informer le patron qui doit prendre une décision rapide : dépôt de plainte ou pas ? Si on décide de ne pas déposer plainte et d’intervenir soi même, il faut prendre les bonnes mesures de manière à faire toute la traçabilité sur ce qui a été fait. Par où les auteurs sont-ils rentrés ? Qu’ont-ils pris ? Où sont ils allés ? Dans le cas d’un dépôt de plainte, nous sommes là pour conseiller et faire gagner du temps à la société. En effet, si on laisse passer plus de 24h ou 48h, il va être beaucoup plus difficile de récupérer ses données.
C’est une obligation de dénoncer toutes les attaques informatiques, ne serait ce que par respect pour les partenaires de l’entreprise. De plus en plus de sociétés déposent plainte car elles ne s’en sortent pas toutes seules. L’infraction pénale reconnue s’appelle : l’atteinte au système de traitement automatisé de données. C’est minimum 3 ans d’emprisonnement. En cas de circonstances aggravantes, on peut monter jusqu’à 5 ans de prison. Il faut donc contacter la brigade de gendarmerie ou le poste de police immédiatement.
Quelle est la bonne conduite à adopter pour se protéger contre la cybercriminalité ?
Il est important pour tout professionnel de se former aux risques informatiques. L’ingénierie sociale étant la porte d’entrée principale des escrocs, la formation du personnel est primordiale. La question n’est pas de savoir comment je vais être attaqué mais quand. Lorsque nous allons dans les entreprises du Tarn, nous réalisons que les gens sont demandeurs de conseils. Mais c’est aussi votre rôle à vous, Caplaser, en tant qu’intégrateur informatique, de conseiller vos clients. Nous remarquons que souvent les patrons vont préférer un devis « sécurité » moins cher, les exposant alors à de nombreuses menaces. Il faut donc expliquer aux dirigeants pourquoi cette somme est justifiée. Nous invitons les sociétés à faire des audits de sécurités ou des tests de pénétrations par des sociétés agréées. Dans notre cadre de prévention partenariat, nous faisons des diagnostics de vulnérabilité gratuits et nous leur donnons des conseils pour améliorer leur sécurité.
Existe-t-il un profil type d’entreprise attaquée ? Pourquoi moi, patron de PME dans une activité non-sensible devrais-je me sentir concerné ?
La tendance nationale des entreprises les plus attaquées concernent le médical, paramédical, pharmaceutique et l’aéronautique et ses sous-traitants. Le Tarn suit cette tendance.
Toutefois, il faut retenir que la cybercriminalité est une activité lucrative et toutes les sociétés sont donc concernées. Un petit gain multiplié par de nombreuses attaques peut rapporter gros. En cas de vol de données (fichiers clients, projets industriels, etc.), les répercussions peuvent arriver longtemps après et fragiliser la société sans que le dirigeant ne comprenne pas toujours qu’elle en est la cause réelle.
Quel est votre regard sur les solutions Cloud en terme de sécurité informatique ?
Nous n’avons pour le moment constaté aucun piratage de Datacenter. Je conseille les entreprises à héberger dans le Cloud beaucoup plus que d’héberger en local afin de profiter de mesures de sécurités hautement renforcées. Par ailleurs, outre la cybercriminalité, l’hébergement en mode Cloud prémunit contre les risques liés aux catastrophes naturelles, problèmes techniques, etc. Je serai néanmoins partisan d’un hébergement national.
Fin de l’interview
Nous rappelons que la Gendarmerie du Tarn propose des diagnostics gratuits de vulnérabilités sur simple demande.