Cybercriminalité : les entreprises premières visées, mais les particuliers sont les véritables victimes

Les récentes attaques répétées des serveurs d’Orange ont une nouvelle fois braqué les projecteurs sur le cybercrime organisé. Quand on sait que la cybercriminalité génère une manne financière supérieure au marché de la drogue, avec en prime des risques plus restreints, on comprend comment elle devient de plus en plus structurée et puissante. Face aux organisations cybercriminelles, les grandes entreprises accusent un retard technique qui les oblige à des délais de réponse élevés. De plus, leurs activités informatiques étant le plus souvent organisées en silos, elles doivent multiplier les procédures pour protéger l’ensemble des secteurs des nouveaux risques.

L’obligation de communiquer à leurs clients les attaques subies pourrait passer pour de l’acharnement. En effet, la mauvaise publicité ajoute dans ce cas un effet collatéral dont elles se seraient bien passé. Pourtant, cette communication est nécessaire, car les véritables victimes sont bien les clients.

LA SÉCURITÉ DES PARTICULIERS AU COEUR DE LA CYBERCRIMINALITÉ

Le grand public est inquiet. Et à juste titre ! Il est le premier visé par le piratage industrialisé. À la différence des grandes entreprises, les particuliers n’ont pas les mêmes réflexes ou les moyens techniques et financiers de se protéger.

Prenons encore une fois l’exemple récent d’Orange. Suite à une intrusion dans leurs systèmes, un piratage de données personnelles a touché près de 1,3 million de personnes, clients ou figurant dans leur base de données. Ces données permettent aujourd’hui aux pirates de faire du phishing ou du social engineering. Grâce aux détails des informations récoltées (noms, prénoms, adresse mail, numéro de téléphone, date de naissance), un cybercriminel bien entraîné peut contacter sa proie, par mail et même par téléphone, en se faisant passer pour son banquier ou pour son opérateur téléphonique. Le phishing (ou hameçonnage) lui permet de transmettre des e-mails avec des liens frauduleux et de récupérer des informations bancaires par exemple, via de faux formulaires en ligne de plus en plus sophistiqués, et de soutirer ainsi par ce biais des sommes plus ou moins grandes à la victime. Lorsqu’un particulier subit un abus de ce type, son établissement bancaire a obligation de couvrir le préjudice, pour autant qu’il lui déclare au plus vite la fraude. Une franchise de 150 euros peut toutefois être demandée au client, dans le cas où la banque a la possibilité de prouver une négligence. Mais la procédure est longue et fastidieuse. Pire encore, par effet de masse, les banquiers ne supportent pas à eux seuls le coût de la fraude. Cela a pour conséquence une répartition du coût de celle-ci sur les commerçants et les consommateurs. « Faites vos jeux : la banque ne perd jamais ».

L’OBLIGATION DE DÉCLARER LES CYBERATTAQUES : UN MAL POUR UN BIEN

C’est grâce à la Commission nationale de l’informatique et des libertés (Cnil) que le grand public est en mesure de connaître aujourd’hui ce type d’incidents. En eff et, depuis l’an dernier, les « fournisseurs de services de communications électroniques accessibles au public » sont dans l’obligation de déclarer à la Cnil toute attaque ou faille informatique qui touche au traitement de données à caractère personnel dans les 24 heures. La législation impose également aux opérateurs d’informer les personnes concernées par le vol de données.

Bien évidemment, l’obligation de déclaration est susceptible de générer une très mauvaise publicité pour les opérateurs devant s’y soumettre. Mais ainsi, elle constitue très certainement un moyen de pression supplémentaire obligeant ces entreprises à tout faire pour protéger les données de leurs clients. Et elle permet à ces derniers de renforcer leur vigilance quant aux appels et aux mails contrefaits.

Pourquoi alors ne pas étendre cette règle à l’ensemble des grandes entreprises et aux services bancaires détenant des informations à caractère personnel ? Toutes les sociétés ont certes déjà l’obligation de mettre en oeuvre un ensemble de procédés afin de protéger leur système d’information dans le cadre de l’article 226-17 du code pénal, mais les obliger à rendre publique les cyberattaques qu’elles subissent serait un pas de plus vers la transparence.