Les récentes attaques répétées des serveurs d’Orange ont une nouvelle fois braqué les projecteurs sur le cybercrime organisé. Quand on sait que la cybercriminalité génère une manne financière supérieure au marché de la drogue, avec en prime des risques plus restreints, on comprend comment elle devient de plus en plus structurée et puissante. Face aux organisations cybercriminelles, les grandes entreprises accusent un retard technique qui les oblige à des délais de réponse élevés. De plus, leurs activités informatiques étant le plus souvent organisées en silos, elles doivent multiplier les procédures pour protéger des nouveaux risques l’ensemble des secteurs.
L’obligation de communiquer à leurs clients les attaques subies pourrait passer pour de l’acharnement. En effet, la mauvaise publicité ajoute dans ce cas un effet collatéral dont les elles se seraient bien passé. Pourtant, cette communication est nécessaire, car les véritables victimes sont bien les clients.
La sécurité des particuliers au cœur de la cybercriminalité
Le grand public est inquiet. Et à juste titre ! Il est le premier visé par le piratage industrialisé. À la différence des grandes entreprises, les particuliers n’ont pas les mêmes réflexes ou les moyens techniques et financiers de se protéger.
Prenons encore une fois l’exemple récent d’Orange. Suite à une intrusion dans leurs systèmes, un piratage de données personnelles a touché près de 1,3 million de personnes, clients d’Orange ou figurant dans leur base de données. Ces données permettent aujourd’hui aux pirates de faire du phishing ou du social engineering. Grâce aux détails des informations récoltées (noms, prénoms, adresse mail, numéro de téléphone, date de naissance), un cybercriminel bien entraîné peut contacter sa proie, par mail et même par téléphone, en se faisant passer pour son banquier ou pour son opérateur téléphonique, Le phishing (ou l’hameçonnage) lui permet de transmettre des emails avec des liens frauduleux et de récupérer des informations bancaires par exemple, via de faux formulaires en ligne de plus en plus sophistiqués, et de soutirer ainsi par ce biais des sommes plus ou moins grandes à la victime. Lorsqu’un particulier subit un abus de ce type, son établissement bancaire a obligation de le couvrir le préjudice, la victime doit déclarer au plus vite la fraude à son établissement bancaire, et donc de le rembourser. Une franchise de 150 euros peut être demandée au client, dans ce cas ou la banque à la possibilité de prouver une négligence et au-delàs de ce plafond la banque vous remboursera. Mais la procédure est longue et fastidieuse. Pire encore, par effet de masse, les banquiers ne supportent pas à eux seuls le coût de la fraude cela a pour conséquence une répartition du coût de celle-ci sur les commerçants et les consommateurs, « Faites vos jeux : la banque ne perd jamais ». Ces dernières refacturent cette fraude via leur différents produits bancaires, plus particulièrement, l’assurance des moyens de paiement.
L’obligation de déclarer les cyberattaques : un mal pour un bien
C’est grâce à la Commission nationale de l’informatique et des libertés (CNIL) que le grand public est en mesure de connaître aujourd’hui ce type d’incidents. En effet, depuis l’an dernier, les « fournisseurs de services de communications électroniques accessibles au public » sont dans l’obligation de déclarer à la CNIL toute attaque ou faille informatique qui touche au traitement de données à caractère personnel dans les 24 heures. La législation impose également aux opérateurs d’informer les personnes concernées par le vol de données.
Bien évidemment, l’obligation de déclaration est susceptible de générer une très mauvaise publicité pour les opérateurs devant s’y soumettre. Mais ainsi, elle constitue très certainement un moyen de pression supplémentaire obligeant ces entreprises à tout faire pour protéger les données de leurs clients, et elle permet à ces derniers de renforcer leur vigilance quant aux appels et aux mails contrefaits.
Pourquoi alors ne pas étendre cette règle à l’ensemble des grandes entreprises et aux services bancaires détenant des informations à caractère personnel ? Toutes les sociétés ont certes déjà l’obligation de mettre en œuvre un ensemble de procédés afin de protéger leur SI dans le cadre de l’article 226-17 du code pénal, mais les obliger à rendre publique les cyberattaques qu’elles subissent serait un pas de plus vers la transparence.