Cybercriminalité : les entreprises premières visées, mais les particuliers sont les véritables victimes – Par Jean-François Beuze, Président et Fondateur de SIFARIS

Les récentes attaques répétées des serveurs d’Orange ont une nouvelle fois braqué les projecteurs sur le cybercrime organisé. Quand on sait que la cybercriminalité génère une manne financière supérieure au marché de la drogue, avec en prime des risques plus restreints, on comprend comment elle devient de plus en plus structurée et puissante. Face aux organisations cybercriminelles, les grandes entreprises accusent un retard technique qui les oblige à des délais de réponse élevés. De plus, leurs activités informatiques étant le plus souvent organisées en silos, elles doivent multiplier les procédures pour protéger des nouveaux risques l’ensemble des secteurs.

L’obligation de communiquer à leurs clients les attaques subies pourrait passer pour de l’acharnement. En effet, la mauvaise publicité ajoute dans ce cas un effet collatéral dont les elles se seraient bien passé. Pourtant, cette communication est nécessaire, car les véritables victimes sont bien les clients.

La sécurité des particuliers au cœur de la cybercriminalité

Le grand public est inquiet. Et à juste titre ! Il est le premier visé par le piratage industrialisé. À la différence des grandes entreprises, les particuliers n’ont pas les mêmes réflexes ou les moyens techniques et financiers de se protéger.

Prenons encore une fois l’exemple récent d’Orange. Suite à une intrusion dans leurs systèmes, un piratage de données personnelles a touché près de 1,3 million de personnes, clients d’Orange ou figurant dans leur base de données. Ces données permettent aujourd’hui aux pirates de faire du phishing ou du social engineering. Grâce aux détails des informations récoltées (noms, prénoms, adresse mail, numéro de téléphone, date de naissance), un cybercriminel bien entraîné peut contacter sa proie, par mail et même par téléphone, en se faisant passer pour son banquier ou pour son opérateur téléphonique, Le phishing (ou l’hameçonnage) lui permet de transmettre des emails avec des liens frauduleux et de récupérer des informations bancaires par exemple, via de faux formulaires en ligne de plus en plus sophistiqués, et de soutirer ainsi par ce biais des sommes plus ou moins grandes à la victime. Lorsqu’un particulier subit un abus de ce type, son établissement bancaire a obligation de le couvrir le préjudice, la victime doit déclarer au plus vite la fraude à son établissement bancaire, et donc de le rembourser. Une franchise de 150 euros peut être demandée au client, dans ce cas ou la banque à la possibilité de prouver une négligence et au-delàs de ce plafond la banque vous remboursera. Mais la procédure est longue et fastidieuse. Pire encore, par effet de masse, les banquiers ne supportent pas à eux seuls le coût de la fraude cela a pour conséquence une répartition du coût de celle-ci sur les commerçants et les consommateurs, « Faites vos jeux : la banque ne perd jamais ». Ces dernières refacturent cette fraude via leur différents produits bancaires, plus particulièrement, l’assurance des moyens de paiement.

L’obligation de déclarer les cyberattaques : un mal pour un bien

C’est grâce à la Commission nationale de l’informatique et des libertés (CNIL) que le grand public est en mesure de connaître aujourd’hui ce type d’incidents. En effet, depuis l’an dernier, les « fournisseurs de services de communications électroniques accessibles au public » sont dans l’obligation de déclarer à la CNIL toute attaque ou faille informatique qui touche au traitement de données à caractère personnel dans les 24 heures. La législation impose également aux opérateurs d’informer les personnes concernées par le vol de données.

Bien évidemment, l’obligation de déclaration est susceptible de générer une très mauvaise publicité pour les opérateurs devant s’y soumettre. Mais ainsi, elle constitue très certainement un moyen de pression supplémentaire obligeant ces entreprises à tout faire pour protéger les données de leurs clients, et elle permet à ces derniers de renforcer leur vigilance quant aux appels et aux mails contrefaits.

Pourquoi alors ne pas étendre cette règle à l’ensemble des grandes entreprises et aux services bancaires détenant des informations à caractère personnel ? Toutes les sociétés ont certes déjà l’obligation de mettre en œuvre un ensemble de procédés afin de protéger leur SI dans le cadre de l’article 226-17 du code pénal, mais les obliger à rendre publique les cyberattaques qu’elles subissent serait un pas de plus vers la transparence.

Corinne
Depuis plus de 25 ans dans le métier de la communication et du marketing, Corinne a démarré sa carrière à la télévision avant de rejoindre une agence événementielle. Curieuse dans l’âme, elle poursuit sa carrière dans l’IT et intègre une société de conseil en éditique puis entre chez un éditeur de logiciels leader sur son marché, SEFAS. Elle est ensuite nommée Directrice Communication chez MGI Digital Graphic, constructeur de matériel d’impression numérique et de finition international coté en bourse. Revenue en 2008 chez SEFAS au poste de Directrice Marketing et Communication groupe, elle gère une équipe répartie sur 3 géographies (France, Etats-Unis et Angleterre), crée le groupe utilisateurs de l’entreprise et lance un projet de certification ISO 9001, ISO 14001 et ISO 26000 couronné de succès. Pendant 7 ans membre du conseil d’administration de l’association professionnelle Xplor France et 2 ans sa Présidente, Corinne a créé dès 2010 TiKibuzz, son agence de marketing et de communication. Elle devient Directrice de la Communication en charge des Relations Presse, du Lobbying et du marketing digital chez DOCAPOST, groupe La Poste, durant 3 ans avant de rejoindre la start-up FINTECH Limonetik, en 2013. C'est cette même année qu'elle crée votre média professionnel, DOCaufutur, l'avenir du document.

More from author

Restez connectez !

Nous diffusons une Newsletter mensuelle incluant des dossiers thématiques, interviewes et investigations réalisées par nos journalistes indépendants.
Vous souhaitez recevoir notre lettre d’informations?